что такое двойная авторизация
Двухфакторная аутентификация Google Authenticator — как включить и настроить 2FA
Работа в интернете всегда связана с риском утечки персональной информации и потери цифровых активов в результате взлома учетных записей торговых площадок и электронных кошельков. Какого бы уровня сложности пароль вы ни создали, лучше иметь второй уровень проверки доступа, так вы намного усложните жизнь хакерам. Программа генерации 2fa code будет для этого вполне подходящим вариантом.
Наверное, нет ни одного криптовалютного сервиса или биржи, которые бы не рекомендовали своим клиентам активировать дополнительную защиту аккаунта с помощью Google Authenticator. Настройка данной опции иногда является обязательным условием. И это правильно, лучше пусть юзер использует 2fa code, чем потеряет свои криптомонеты. Ведь если злоумышленник взломает пароль вашей учетной записи на криптобирже 2fa, это единственный барьер между ним и вашим депозитом.
В криптовалютных сервисах деньги клиентов защищает многоуровневая система безопасности и двухфакторная аутентификация — Google Authenticator является ее неотъемлемой частью. Если вы встретите биржу, на которой эта функция не предусмотрена, то бегите с нее без оглядки. Что собой представляет приложение для 2fa code и как выполняется его настройка мы вам сейчас и расскажем.
Навигация по материалу:
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация (2fa code) — это метод подтверждения права доступа юзера к учетной записи того или иного веб-сервиса с помощью системы одноразовых паролей.
Настройка 2FA — это включение дополнительных факторов для входа в систему. Например, с помощью смс, отпечатков пальца при помощи специального устройства или шестизначного кода Google Authenticator (GA) о котором мы и расскажем в данном материале.
Что такое шестизначный код GA — это одноразовый пароль, который постоянно генерируется в течение 30 секунд. За это время его нужно будет успевать ввести в поле при входе на биржу или в другие системы, где у вас стоит защита 2FA. Это шестизначный код генерируется даже при отключенном интернете.
Существует несколько вариантов практической реализации данного метода защиты аккаунта. В этом обзоре мы рассмотрим настройку специального приложения для генерации случайных кодов Google Authenticator. Эта программа была разработана для защиты учетных записей гугл, но получила широкое применение на криптовалютных биржах и других ресурсах.
Гугл аунтификатор используется как второй уровень защиты при входе в личный кабинет или выводе средств с торговой площадки, а на некоторых биржах даже и при формировании ордеров.
Программа, установленная на ваш мобильный девайс, создает каждые 30 секунд шестизначный цифровой пароль. Для подтверждения входа или другой операции вы должны ввести его в формуляр запроса. Если код прошел проверку на валидность, ваши права доступа подтверждены. Порядок активации Google Authenticator идентичен для всех веб-ресурсов.
Как включить 2FA?
Подробная инструкция по активации google authenticator, как работает схема защиты, и что необходимо для ее функционирования. В качестве наглядного примера выберем самую крупную и популярную криптобиржу Binance.
В первую очередь зарегистрируйтесь на сайте https://www.binance.com. В принципе на любой серьезной криптобирже есть инструкция по настройке двухфакторной аутентификации с помощью google authenticator, мы просто изложим ее в общих чертах, чтобы начинающие трейдеры были заранее подготовленными.
Для подключения и настройки 2fa code понадобится смартфон или планшет с установленным приложением и доступ к учетной записи.
Пошаговая инструкция по установке и настройке Google Authenticator
Скачать и установить Google Authenticator можно по официальным ссылкам:
Если у вас девайс на базе Android откройте Google Play Market и найдите там google authenticator, ну а счастливому владельцу продукции компании Apple нужно совершить аналогичное действие в App Store. Можно загрузить файл apk (for Android) с другого источника, но это не самый надежный вариант.
Сервис выведет QR-код и резервный ключ. Откройте Google Authenticator и нажмите символ фотоаппарата, чтобы программа отсканировала штрих-код.
Если по каким-то причинам произошел сбой, например, у вас не работает камера, введите 16-значный ключ 2FA в интерфейсе приложения на смартфоне и нажмите кнопку «Добавить». Неважно добавили вы аккаунт автоматически или вручную, ни в коем случае не забудьте сохранить в надежном месте (желательно на бумаге) код подключения.
Как создать пароль приложения Google Authenticator?
Пароль приложения представляет собой 16-значный код доступа, который дает приложению или устройству разрешение на доступ к вашему аккаунту Google.
Если вы используете двухэтапную аутентификацию и видите ошибку “неправильный пароль” при попытке войти в свою учетную запись Google, пароль приложения может решить проблему. В большинстве случаев вам нужно будет вводить пароль приложения только один раз для каждого приложения или устройства, поэтому не беспокойтесь о его запоминании.
Как восстановить Google Authenticator? Что делать, если телефон потерян?
Если у вас активирована двухфакторной аутификации, то, потеряв свой смартфон, вы потеряете и доступ к учетной записи. Записали 16-значный ключ 2FA — прекрасно, нет никаких проблем.
Скачайте программу для двухфакторной аутентификации на другое устройство и добавьте аккаунт вручную. Но если у вас кода восстановления все намного сложнее. Пользователи, прошедшие полную верификацию на бирже, могут обратиться в службу поддержки и там им объяснят, как восстановить гугл аутентификатор. Ну а если вы работаете инкогнито, то сбросить настройки аутентификации Google, можно следующим образом:
Важно! Теперь вам придется пройти полную верификацию личности и только после этого вы сможете заново активировать двухфакторку. Пока вы этого не сделаете ваш биржевой депозит будет заблокирован.
Настройка приложения Google Authenticator на нескольких устройствах
Программу можно настроить так, чтобы она генерировала коды подтверждения на двух или даже трех гаджетах.
Осталось проверить корректность работы 2fa-приложения на каждом девайсе, и сохранить настройки. Таким образом, вы застрахуете себя от потери доступа к 2fa code, маловероятно, что выйдут из строя или будут украдены 2 или 3 устройства одновременно.
Альтернативные приложения двухфакторной аутентификации
Альтернативой google authenticator является утилита Authy, у нее очень удобный интерфейс. Кроме мобильных устройств Authy, можно установить на Windows, macOS или Chrome.
Скачать и установить Authy можно по официальным ссылкам:
Также, для генерации одноразовых кодов, используются приложения:
Более простая, но менее безопасная альтернатива двухэтапной авторизации это получение кода на адрес электронной почты или через СМС. Последний метод широко практикуется коммерческими банками и электронными платежными системами, например, Киви или Яндекс Деньги.
Заключение
В заключение следует сказать, что если вы прочитаете о взломе двухфакторной аутентификации (google authenticator), а такие посты на форумах иногда встречаются, то, скорее всего, это случилось из-за небрежного хранения 16-значного кода. Хакер просто нашел его на ПК и воспользовался.
Судите сами, легко ли за 30 секунд подобрать нужную комбинацию из шести цифр и сколько вычислительных ресурсов нужно для такой акции? Настраивайте google authenticator и не забывайте о других правилах безопасности, особенно если вы торгуете на криптобирже.
Дата публикации 16.04.2020
Поделитесь этим материалом в социальных сетях и оставьте свое мнение в комментариях ниже.
Пять способов защитить свои интимные фото
Год назад утечка фотографий обнаженных знаменитостей познакомила многих с темой ненадежных паролей. Как же защитить свои аккаунты?
Помните утекшие в Интернет фотографии голых знаменитостей, наделавшие столько шуму год назад? Эта история не только разнообразила личную жизнь миллионов подростков по всему миру, но и имела неожиданный образовательный эффект.
Например, из нее многие люди узнали, что имя любимой собаки — не самый надежный пароль. А двухфакторная аутентификация — это не бесполезная заумь айтишников, а штука, необходимая даже владельцу айфона со стразами.
Скандальные картинки утекли из облачного сервиса iCloud, где хранились копии фотографий, сделанных на устройствах Apple. Хакеры, как предполагается, действовали самым незамысловатым путем — просто подобрали пароли, используя комбинацию фишинга и перебора возможных вариантов. После этой истории Apple включила для iCloud двухфакторную аутентификацию и настоятельно посоветовала ею не пренебрегать.
Вы можете десять раз подряд выговорить «двухфакторная аутентификация»? И мы нет 🙁 http://t.co/whFhIx5Cpb #security #безопасность
Однако и в iCloud, и в Gmail, и в Facebook, и во многих других интернет-сервисах дополнительная проверка — это лишь опция. Большинство людей ею не пользуются. Потому что неудобно. Ну или не пробовал, но наверняка же неудобно. И вообще, сейчас есть другие дела, поважнее.
Между тем лишиться своей почты или аккаунта в соцсети можно легко и непринужденно, даже не будучи Ким Кардашян или Кейт Аптон. И последствия могут быть довольно неприятными, особенно если ваш бизнес связан с онлайном.
Два замка лучше
Большинство людей под двухфакторной аутентификацией (2FA) понимают одноразовые пароли, которые приходят на мобильный телефон в виде SMS. Для онлайн-сервисов это действительно самый распространенный вариант защиты, хотя и далеко не единственный.
По большому счету двухфакторная аутентификация — это просто дверь с двумя замками. Одним запором выступает традиционная пара «логин — пароль», а вторым может быть что угодно. Да и замков можно навесить не два, а сколько душе угодно — просто ковыряться с ними придется несколько дольше, так что начать стоит хотя бы с двух.
SMS-пароли просты, понятны и относительно надежны, но не всегда удобны. Каждый раз для входа в аккаунт приходится искать телефон, ждать прихода SMS, вбивать циферки… Ошибся или не успел — процедура повторяется. Если сеть оператора перегружена, то SMS может опаздывать. Меня, например, такие ситуации жутко раздражают.
SIM-карта сокровищ: как потерять все, потеряв один лишь телефон — http://t.co/ElKB4U1unJ
Если сотовой сети совсем нет (не такая уж, кстати, редкость в путешествиях), то и пароля тоже нет. Наконец, телефон можно просто потерять. И остаться в этой ситуации еще и без других средств связи будет совсем грустно.
На случай подобных неурядиц многие сервисы, например Google и Facebook, предлагают запасные варианты. Например, созданный заранее список одноразовых ключей, которые можно распечатать и положить куда-нибудь в надежное место.
Пять способов защитить свои интимные фото с помощью двухфакторной аутентификации #privacy #security #2FA
Кроме того, SMS-пароль может запрашиваться не всякий раз при входе в аккаунт, а только в тех случаях, когда логин происходит с неизвестного устройства. Решать здесь вам, в соответствии с вашим персональным уровнем паранойи. Точно так же происходит авторизация и привязанных к аккаунту приложений вроде почтового клиента. Достаточно один раз скормить им специально сгенерированный пароль, и они этим удовлетворятся на долгое время.
В итоге получается, что если вы каждый день не заходите в Сеть с нового устройства, то включение аутентификации по SMS доставит не так уж много хлопот. Один раз настроил — и все работает.
Удостоверение на смартфоне
А вот если вы много путешествуете, то более разумным решением, возможно, будет двухфакторная аутентификация через приложение. В отличие от SMS, этот способ работает и офлайн. Просто одноразовый цифровой пароль генерируется не на сервере, а непосредственно на вашем смартфоне (подружить программу с сервисом, разумеется, нужно заранее, и для этого Интернет потребуется).
Бесплатных приложений для аутентификации существует масса, но в роли «отраслевого стандарта» выступает Google Authenticator. Эта программа поддерживает работу не только с Gmail, но и со множеством других сервисов: Facebook, «ВКонтакте», Tumblr, Dropbox, WordPress и так далее.
Если хочется чего-то более функционального, хорошим выбором может стать Twilio Authy. Эта программа может все то же, что и Google Authenticator, плюс добавляет несколько весьма полезных фишек.
Во-первых, это возможность сохранить полученные сертификаты в облачном хранилище и скопировать на другие свои устройства (смартфоны, компьютеры, планшеты — список поддерживаемых платформ очень широкий и включает даже Apple Watch). Если вдруг одно из устройств украдут, контроль над аккаунтом от вас никуда не денется. Вход в приложение защищен PIN-кодом, а ключ на скомпрометированном устройстве можно отозвать.
Во-вторых, Authy здорово облегчает жизнь при развертывании на новом устройстве по сравнению с тем же Google Authenticator.
Ключ на старт
Описанные выше варианты обладают одним очевидным недостатком. Если вы заходите в аккаунт с какого-то устройства и оно же выступает в роли «второго замка» — получателя SMS-паролей или носителя приложения, то дополнительная защита работает уже не так хорошо.
Более серьезный уровень безопасности способны обеспечить специализированные аппаратные ключи. Выглядеть они могут по-разному: USB-ключи, смарт-карты, офлайновые брелки-токены с цифровым дисплеем, — но устроены похожим образом. По сути это миниатюрный компьютер, который генерирует по запросу те же самые одноразовые ключи. Эти проверочные ключи пользователь потом вводит вручную, или они передаются в систему автоматически — например, через USB-интерфейс.
Аппаратные ключи не зависят от работоспособности сотовой сети и телефона. Зато их нужно специально покупать и потом носить не теряя. Что для некоторых людей представляет собой довольно серьезный челлендж.
Обычно аппаратные ключи используются для защиты интернет-банкинга, корпоративных систем и прочих «серьезных» дел. Хотя никто не мешает вам закрыть свой Google или WordPress-аккаунт аккуратным замочком в виде недорогой флешки, поддерживающей открытый отраслевой стандарт FIDO U2F (например, это популярные ключи YubiKey).
Предъявите ваши импланты
Традиционные аппаратные ключи, возможно, хороши в плане безопасности, но не так уж удобны в использовании. Необходимость каждый раз втыкать флешку в USB-порт большого энтузиазма не вызывает, да и к смартфону ее никак не подключишь.
Гораздо удобнее было бы сделать беспроводной ключ, работающий через Bluetooth или NFC. Именно это и позволяют новые спецификации стандарта FIDO U2F, принятые летом текущего года.
Подобную метку, удостоверяющую личность владельца аккаунта, можно поместить куда удобно: в брелок на ключах, банковскую карту, в имплантированный под кожу NFC-чип, наконец. А устройством для чтения такого ключа может выступить почти любой современный смартфон.
Один, два… много
На самом деле термин «двухфакторная аутентификация» уже устарел. Крупные сервисы вроде Google и Facebook используют для обеспечения безопасности многофакторный анализ: с какого устройства осуществляется вход в аккаунт, в каком браузере, из какой страны и города, нет ли в действиях пользователя чего-то необычного и так далее. Аналогичные системы применяют и банки для выявления мошеннических транзакций.
Так что будущее, вероятно, именно за продвинутыми многофакторными решениями, позволяющими сохранить разумный баланс между удобством и безопасностью. Примером перспективных исследований в этой области может служить проект Abacus, обнародованный на недавней конференции Google I/O.
В новой реальности вашу личность удостоверит не столько пароль, сколько куча разных мелких деталей: где вы, что делаете, как говорите и печатаете, как дышите, как бьется ваше сердце, сколько киберпротезов опознано в вашем теле и тому подобные данные. А сенсором и каналом передачи для всего этого, скорее всего, выступит ваш же смартфон.
Вот только один пример. Швейцарские исследователи предлагают использовать для дополнительной аутентификации окружающий пользователя фоновый шум.
Идея технологии Sound-Proof довольно проста. Когда вы пытаетесь залогиниться с персонального компьютера на каком-нибудь сайте, сервер отправляет запрос приложению на вашем смартфоне. В течение нескольких секунд компьютер и смартфон записывают звук и передают на сервер зашифрованный «отпечаток». Остается лишь сравнить их, чтобы удостовериться: в аккаунт входит именно владелец смартфона, а не злостный хакер из другого полушария.
Разумеется, и эта схема неидеальна. Например, злостный хакер может сидеть рядом с вами в ресторане, и фоновый звук окажется примерно одинаков. Здесь злоумышленника должны отсечь уже другие дискриминирующие факторы.
Впрочем, Sound-Proof и Abacus — проекты завтрашнего дня. Когда они дойдут до реальности, ситуация в интернет-безопасности тоже наверняка изменится: появятся новые вызовы и угрозы.
А сегодня просто не забудьте включить двухфакторную аутентификацию. Как это сделать для большинства популярных ресурсов, подробно расписано, например, на сайте Telesign Turn It On.
О пользе и надежности двухфакторной аутентификации
Если говорить совсем коротко, то если сервис предлагает вам воспользоваться опцией с двухфакторной аутентификацией, но ей не нужно пренебрегать. Лучшего способа предупреждения кражи аккаунта пока не придумали. Неважно, кто вы и что за данные храните в сети, если вы хотите их защитить от кражи, то нужно при любой возможности пользоваться именно двухфакторной аутентификацией. Она работает как на самом бюджетном Android-смартфоне, так и на топовой версии iPhone. Но об этом уже, наверное, все слышали.
Но не все слышали о том, что между различными способами двухфакторной аутентификации есть существенная разница. Это как системы распознавания лица — вроде бы принцип у всех одинаковый, но скорость работы, устойчивость к обману и общая надежность очень разные. При этом, как обычно, самые быстрые и удобные для пользователя схемы являются и самыми ненадежными.
Давайте посмотрим, какие способы двухфакторной аутентификации существуют и какие у них есть за и против.
4. Двухфакторная аутентификация с помощью SMS
Получение текстовых сообщений для подтверждения входа в аккаунт — самый распространенный способ. А заодно и худший из возможных.
Принцип прост. Вы сообщаете сервису свой телефонный номер, когда создаете аккаунт. После подтверждения этого номера каждый раз при входе в сервис вы будете получать SMS, которая позволит подтвердить, что вы — это вы. Все предельно просто и удобно, поэтому большинство компаний предлагают именно такой способ защиты пользовательских данных.
Удобство использования и простота системы — это прекрасно, но во всем остальном рассылка SMS не очень надежна. Начнем с того, что пересылку SMS никогда не создавали как систему обеспечения безопасности, а сама эта система стандартизирована и не может быть изменена сервисом. Так что даже такие насквозь зашифрованные сервисы для параноиков, как Signal, пересылают SMS-сообщения в виде открытого текста. Нейтан Колье (Nathan Collier), ведущий аналитик по вредоносному ПО в Malwarebytes, описывает SMS так:
Короткие текстовые сообщения SMS, которые пересылаются и хранятся на серверах в открытом виде, могут быть перехвачены при передаче. Более того, возможна пересылка SMS на неверный номер. А даже если она и приходит к нужному абоненту, то от него сервис не получает информации ни о том, было ли сообщение прочитано, ни даже о том, было ли вообще получено.
Еще большую проблему представляет тот факт, что операторы могут (и такое действительно случалось) быть обмануты в ходе авторизации новой SIM-карты с использованием чужого телефона. Если кто-то захочет получить доступ к вашему банковскому счету или накупить вещей с вашей кредитки в онлайн-магазине, то все, что ему нужно, так это убедить представителя вашего оператора в том, что он — это вы, вы потеряли свой телефон и ваш номер надо переписать на новую SIM карту.
Реальность и перспективы рынка IT‑профессий
Какие профессии наиболее популярны и высокооплачиваемы?
Субботний кофе №179
Налейте чашку вкусного субботнего кофе и познакомьтесь с новостями недели. Honor вернулась в строй, KIVI представила новые ТВ, Microsoft показала конкурента Chromebook, а Swatch выпустила интересные часы.
Тест Kia Cerato GT Line. Номер три в России
По данным на конец 2019 года, седан Kia Cerato занимал третье место по продажам в России среди автомобилей сегмента C в ценовом диапазоне до 1.5 миллионов рублей.
Обзор Fujitsu ARROWS NX9 F‑52A
Впервые Fujitsu ARROWS Nx9 F-52A был показан на презентации осенне-зимних новинок NTT Docomo 5 ноября прошлого года, а в продажу поступил уже 18 декабря…
Описанная ситуация справедлива и для аутентификации с помощью электронной почты. Во многих случаях именно email используется как единственный способ восстановления доступа к аккаунту. И тот же банк может использовать систему пересылки электронного письма, когда вы регистрируетесь, например, с нового устройства. Это все попросту небезопасно. И все об этом знают, но продолжают пользоваться, потому что просто и удобно. Возможно, ситуацию можно улучшить, изменив способ использования электронной почты, но об этом – в следующем пункте.
3. Приложения для аутентификации
Приложения для аутентификации, такие как Google Authenticator или Authy, предлагают значительное улучшение безопасности в сравнении с двухфакторной аутентификацией на основе SMS. Они работают на основании временных одноразовых паролей (Time-Based One Time Passwords, или TOTP), которые приложение в вашем телефоне генерирует на основании сложных алгоритмов и без подключения к какой-либо сети. Интернет-страница или сервис используют те же алгоритмы для проверки корректности присланного пароля.
Поскольку система генерации TOTP-паролей работает в офлайн-режиме, она не страдает от тех проблем, которые возможны при перехвате SMS. Однако у нее есть свой набор недостатков. Этичные хакеры неоднократно демонстрировали, что данные, пересылаемые в этой системе, могут быть перехвачены и с ними возможны манипуляции в тот момент, когда вы вводите TOTP-пароль на веб-сайте. Это непросто, но возможно.
Важнее, что эта система уязвима к фишингу. Создать фишинговый сайт, который выглядит и ведет себя как настоящий, не так сложно. При этом даже передаваемые вами данные будут добираться до настоящего сервиса, так что вы сможете им пользоваться — зашифрованные TOTP-пароли придут и к вам и от вас. Потому что мошеннический сайт будет выполнять все необходимые действия в нужный момент, так что вы никак не сможете заметить разницу. Ведь все нужные подтверждения будут получены. Разумеется, в следующий раз мошенникам не понадобитесь ни вы, ни ваше устройство, чтобы обмануть сервис.
Еще одной проблемой является тот факт, что если вы действительно потеряли свой телефон, то получить проверочные коды будет непросто. Некоторые приложения, такие как Authy, могут работать на нескольких устройствах и имеют главный пароль для настройки, так что вы можете создавать бэкапы, которые позволят моментально восстановить доступ. И большинство компаний обеспечивает вас резервными кодами для восстановления доступа на тот случай, если обычная система полетела к чертям. Но эти сведения также передаются через Интернет, что ослабляет степень защиты при использовании временных паролей, хотя и обеспечивает большее удобство пользователям.
2. Двухфакторная аутентификация на основе push-сообщений
Некоторые сервисы, в первую очередь мы говорим об Apple и Google, отправляют вам быстрое сообщение о том, что кто-то пытается войти в ваш аккаунт на устройстве. Обычно вы получаете информацию о том, что за устройство и где примерно оно находится, а также вам предлагается немедленно согласиться с тем, что это разрешенная операция, или, напротив, заблокировать попытку. Если это вы, то просто тапаете кнопку, и все работает. Это и есть аутентификация на основе push-сообщений.
Двухфакторная аутентификация на базе push-сообщений в паре моментов лучше и SMS-варианта, и варианта на базе временных кодов. Она даже в определенной степени удобнее их, поскольку опирается на стандартную систему уведомлений вашего смартфона, — остается лишь прочитать и тапнуть «да» или «нет». Она даже достаточно устойчива к фишингу и пока демонстрирует высокий уровень защиты от хакерских атак. Но это пока.
Asus Vivobook 15 OLED. Взгляни по‑новому!
Самый доступный и яркий ноутбук с OLED-экраном. OLED-экран, процессор AMD Ryzen 7, металлический корпус и клавиатура с цифровым блоком за 59 990 рублей.
Производительность Exynos 2100 — синтетические тесты и не только
Обзор планшета Xiaomi Pad 5
Мощный планшет для видео и игр с экраном Dolby Vision и чипсетом Qualcomm Snapdragon 860.
Быстрый обзор смарт-браслета со встроенными наушниками за 2 000 рублей – Kumi SmartBand N8
Устройство два в одном: фитнес-браслет и беспроводные наушники…
В то же время система двухфакторной аутентификации на основе push-сообщений усугубляет некоторые недостатки и SMS, и TOTP-вариантов. Во-первых, вы должны быть онлайн, чтобы получать данные. Так что система попросту не подойдет тем, у кого не смартфон или кто по какой-то причине оказался не в сети. Во-вторых, вы должны всегда иметь смартфон под рукой — и именно тот, который привязан к аккаунту. Кроме того, никакой индустриального стандарта система не имеет, так что совершенно нормальной ситуацией будет, что push-уведомление от Google будет приходить на ваш смартфон, а только потом вы сможете залогиниться на других сервисах, подтверждая, что вы — это вы. Хотя это будут уже и не сервисы Google.
Если не считать этих двух недостатков, то двухфакторная аутентификация на основе push-сообщений на данный момент и надежна, и удобна. К тому же у Google есть планы по ее дальнейшему развитию в обоих направлениях.
1. Аппаратная двухфакторная аутентификация
Самый надежный способ защитить ваш сетевой аккаунт от взлома — это использовать специальное устройство для подтверждения личности. Специальные ключи в виде флешки — это двухфакторная аутентификация на аппаратной основе. Она самая редкая и наименее удобная в практическом использовании.
Вы настраиваете устройство таким образом, что каждый раз, когда вам необходимо войти в аккаунт с нового устройства или просто по истечении некоторого времени, вам понадобится именно этот девайс. Работает он по принципу, что устройство отправляет на сервер код вызов-ответ, который уникален для каждого сервера и устройства. Сам пароль при этом не передается, поскольку система основана на сравнении хешей. На данный момент такая система считается защищенной и от фишинга, и от взлома. И снова повторим — пока.
Вы можете настроить несколько девайсов в качестве такого ключа так, чтобы при потере одного из них не лишиться доступа к собственному аккаунту, но вам все равно всегда нужен будет такой ключ, чтобы иметь возможность залогиниться. Тут будет уместным сравнение с вашими ключами от машины или квартиры: лучше иметь пару комплектов, не считая аварийного, который стоит доверить другу или соседу, иначе проблем не избежать.
Но есть и отличия. Например, если вы используете аппаратную защиту в двухфакторной аутентификации для аккаунтов Google, компания обяжет вас создать дополнительный аварийный метод ее прохождения иным способом. Это, конечно, хорошо, но делает всю систему уязвимой. Потому что вместо чисто аппаратной защиты вы должны также использовать менее надежную альтернативу, которой могут воспользоваться и злоумышленники.
Кроме того, такая система защиты не является в полной мере бесплатной. Все три первых варианта всегда бесплатны, но специальное устройство-ключ стоит определенных денег. За каждый такой девайс вы можете отдать от 20 до 100 долларов. Не говоря уж о том, что не всякий сервис вообще допускает такой метод или оставляет его использование бесплатным. К тому же в случае со смартфоном ключ в виде флешки — не самое удобное решение. Можно найти варианты, работающие не через USB, а использующие NFC и Bluetooth, но они менее надежны, и вам все равно нужно будет держать ключ рядом со смартфоном.
Так какой лучше?
Любой способ двухфакторной аутентификации будет надежнее, чем отказ от нее. Даже с помощью SMS вы получите уровень защиты намного более высокий, чем если будете полагаться только на пароли. Программа Google Advanced Protection Program когда-нибудь в будущем, может быть, сделает нашу жизнь намного безопаснее и избавит от тех проблем и ограничений, что мы знаем сейчас, но похоже, что вам всегда нужно будет выбирать между удобством и безопасностью.
Пожалуй, что правильнее всего было бы отказаться от двухфакторной аутентификации на основе SMS-сообщений, поскольку она самая уязвимая и не требует со стороны злоумышленников никаких особенных технических знаний и навыков — достаточно почитать информацию на одном из множества сайтов. Этой уязвимостью активно пользуются, но пока простота использования и инерция сервисов оставляют ее в лидер ах по применимости.