Типи двофакторної (авторизації) автентифікації в інтернеті (2FA)

Двофакторна (авторизація) перевірка справжності (або 2FA — Two-Factor Authentication) — це один з кращих способів поліпшити безпеку облікових записів онлайн, пише Electronic Frontier Foundation.
На щастя, вона все частіше зустрічається в інтернеті. Зазвичай, всього кілька кліків в налаштуваннях забезпечують додатковий рівень безпеки облікових записів, на додаток до стандартного паролем.
Веб-ресурс, який захищений за допомогою 2FA, крім введення пароля облікового запису також запросить у вас додатковий секретний код, який ви можете отримати на телефон або спеціальний ключ безпеки USB. Після пароля ви вводите код з текстового повідомлення або мобільного додатка, або підключаєте ключ безпеки до входу в систему. Термін 2FA має кілька синонімів — Multi-Factor Authentication (MFA), двоступенева перевірка (2SV) або Login Approvals. І незалежно від назви, головне завдання 2FA однакова: навіть якщо хтось сторонній дізнається ваш пароль, він не зможе отримати доступ до акаунтів без введення секретного коду з вашого телефону або спеціального ключа безпеки.
Всього існує чотири основних типи 2FA, і корисно знати їх переваги та недоліки. Деякі сайти пропонують лише один варіант 2FA, але іноді є можливість вибирати кілька різних варіантів.
Слід зазначити, що додатковий рівень захисту через 2FA не означає, що ви можете «розслабитися» і використовувати слабкий пароль. Завжди створюйте унікальні, надійні паролі для кожного облікового запису, а 2FA використовуйте в якості верхнього рівня захисту, який посилить безпеку.
Підтвердження через SMS
У разі активації двофакторної ідентифікації через SMS вам потрібно вказати номер телефону. Наступного разу, під час авторизації на ваш телефон надійде SMS з коротким кодом доступу (від 4 до 8 цифр), який потрібно ввести на додаток до паролем. Це дуже популярна і універсальна технологія, оскільки більшість людей мають мобільні телефони, що підтримують SMS. Такий метод значно підвищує безпеку аккаунта в порівнянні з введенням тільки логіна і пароля.
Однак є й недоліки. Деякі люди не захочуть залишати свій номер телефону на сайтах або інших платформах. Ще гірше, коли сайти використовують номер для розсилки реклами, відстеження переходів і скидання паролів. До речі, дозвіл на скидання пароля за допомогою мобільного телефону є серйозною проблемою, оскільки це означає, що зловмисники, які зможуть заволодіти вашим телефонним номером або телефоном, отримають доступ до вашого облікового запису, навіть не знаючи ваш пароль.
Ще одне ускладнення – ви не зможете ввійти в систему з допомогою SMS 2FA, якщо ваш телефон розрядився чи ні мобільної мережі. Це особливо актуально під час перебування за кордоном.
Автентифікація за допомогою програмного додатка
Інший варіант двофакторної аутентифікації на телефоні – це використання програми, яка генерує коди локально на смартфоні на основі секретного ключа. Наприклад, існує дуже популярний генератор кодів від Google, також варто відзначити безкоштовний FreeOTP. Цей метод двофакторної аутентифікації називається Time-based One Time Password (TOTP) — одноразовий пароль на основі часу — і є частиною архітектури відкритої аутентифікації (OATH). Важливо: OATH не слід плутати з OAuth, остання – це технологія типу «Увійти через Facebook» або «Увійти через Twitter».
Якщо сайт застосовує цей тип 2FA, він повинен згенерувати QR-код, що містить секретний ключ. У свою чергу, ви повинні сканувати QR-код за допомогою мобільного додатку на смартфоні. Після сканування програма буде генерувати новий 6-значний код кожні 30 секунд. Подібно SMS 2FA, вам доведеться ввести один з цих кодів, крім логіна і пароля, щоб увійти.
Цей тип 2FA краще, ніж SMS 2FA, адже ви можете використовувати його, навіть якщо телефон не підключено до мобільної мережі, а також тому, що секретний ключ зберігається фізично на вашому телефоні. Якщо хтось заволодіє вашим номером телефону, він все одно не зможе отримати коди 2FA. Але є серйозні недоліки: якщо сам апарат розрядився або вкрадений, і у вас немає роздрукованих кодів або збереженої копії оригінального QR-коду ви можете втратити доступ до свого облікового запису. З цієї причини багато сайтів пропонують вам активувати SMS 2FA тільки як резервний варіант. Крім того, якщо ви часто авторизуєтесь на різних комп’ютерах, не дуже зручно кожен раз розблокувати телефон, запускати програму і вводити код, хоча це спірний момент.
Push-аутентифікація
Деякі технології, такі як Duo Push і метод Trusted Devices від Apple, надсилають запит на одне з ваших пристроїв під час входу в систему. Запит покаже, що хтось (можливо ви) намагається увійти в систему, а також визначить місцезнаходження користувача. Після цього ви можете схвалити або відхилити спробу входу.
Метод 2FA має дві переваги: підтвердження запиту зручніше, ніж введення коду, і стійкіше до фішингу. Адже при використанні SMS і програми перевірки автентичності, фішинговий сайт може запитати про ваш код додатково до пароля і перенаправити цей код на легітимний сайт під час входу в систему. Оскільки 2FA з використанням методу Push зазвичай відображає приблизне місце розташування на основі IP-адреси, з якого був введений логін, а більшість фішингових зловмисників не працюють з тих же діапазонів IP-адрес, що їх жертви, ви зможете виявити фішинг-атаки, якщо визначте, що прогнозоване місце розташування відрізняється від вашої фактичної локації. Однак це вимагає, щоб ви приділяли пильну увагу подібним індикаторами безпеки. І оскільки місце розташування оцінюється лише приблизно, то багато хто просто ігнорує будь-які аномалії. Таким чином, додатковий захист від фішингу, яка тут надається, є обмеженою.
Недоліки технології push: метод не стандартизовано, тому у вас не буде великого вибору програмних додатків автентифікації. Крім того, ви не зможете досягти консолідації всіх своїх основних даних в одному додатку. Також цей спосіб вимагає надійного інтернет-з’єднання, тоді як програма типу Генератор кодів не вимагає ніякого підключення, а SMS-повідомлення можуть працювати навіть на примітивних телефонах, які підтримують тільки SMS.
FIDO U2F / Ключі безпеки
Універсальний другий фактор (Universal Factor Second, U2F) — відносно новий стиль 2FA, що зазвичай використовують невеликі пристрої USB, NFC або Bluetooth Low Energy (BTLE), які часто називаються «ключі безпеки». Щоб налаштувати його, ви реєструєте на сайті свій пристрій U2F. Далі сайт запропонує підключити пристрій і “промацати” його, щоб дозволити авторизацію.
Подібно push-технології, це означає, що вам не потрібно вводити код. Адже пристрій U2F розпізнає сайт, на якому ви знаходитесь, і відповідає коду, який є специфічним саме для цього сайту. Це означає, що U2F-метод є фішинг-захищеним, оскільки браузер передає ім’я сайту під час комунікацій з пристроєм U2F, і пристрій U2F не буде відповідати на сайти, у яких він не був зареєстрований. U2F також добре розроблений з точки зору конфіденційності: ви можете використовувати одне і те ж U2F-пристрій для кількох сайтів, але у кожного з них пристрій записано під іншим ідентифікатором, тому неможливо використовувати єдину унікальну ідентифікацію пристрою для відстеження.
Серед недоліків U2F — слабка підтримка цієї технології браузерами, мобільними пристроями, також вона досить дорога. Зараз тільки Chrome підтримує U2F, хоча Firefox також працює над реалізацією цієї технології. Крім того, підтримка серед мобільних пристроїв недостатня, оскільки більшість пристроїв U2F використовують USB-порт.
Є кілька пристроїв U2F, які працюють з мобільними телефонами NFC і BTLE. До речі, NFC підтримується тільки в Android. Розробники від Apple не дозволяють програмним додаткам в iOS взаємодіяти з апаратним забезпеченням NFC, що перешкоджає ефективному використанню NFC U2F.
Пристрої BTLE менш зручні, оскільки вимагають потужного акумулятора, а процес спарингу менш інтуїтивний, ніж дотик пристрої NFC. Однак недостатня мобільна підтримка не означає, що використання U2F не дозволяє увійти в систему на мобільних пристроях. Більшість сайтів, які підтримують U2F, також підтримують TOTP і резервні коди. Ви можете одночасно входити на свій мобільний пристрій за допомогою одного з цих способів, одночасно використовуючи своє стійке до фішингу U2F-пристрій для входу в ПК. Це особливо ефективно для мобільних сайтів і додатків, які вимагають тільки один раз увійти в систему і залишатися на зв’язку.
Нарешті, якщо припустити, що ви вже маєте смартфон, то більшість інших методів 2FA є безкоштовними для вас. В той час, як U2F пристрої коштують від $10 до $20.
Бонус: бекап-коди
Деякі сервіси надають 10 кодів резервного копіювання, які можна роздрукувати на папері або зберегти і застосувати, якщо телефон не працює або ви втратили ключ безпеки. Незалежно від того, який метод 2FA ви обрали, краще сховати ці резервні коди в захищеному місці, щоб ніхто не міг використовувати їх для входу у ваш аккаунт.