5 способів двофакторної аутентифікації, їх переваги та недоліки

Про використання двофакторної автентифікації для надійного захисту своїх даних у Мережі сьогодні замислюються дедалі більше людей. Багатьох зупиняє складність і незрозумілість технології, що не дивно, адже є кілька варіантів її реалізації. Ми розглянемо їх усі, розібравши переваги та недоліки кожного.

У основі двофакторної аутентифікації лежить використання як традиційної зв'язки «логін-пароль», а й додаткового рівня захисту — так званого другого чинника, володіння яким потрібно підтвердити отримання доступу до облікового запису чи іншим даним.

Найпростіший приклад двофакторної аутентифікації, з яким постійно стикається кожен із нас, — це зняття готівки через банкомат. Щоб отримати гроші, потрібна карта, яка є тільки у вас, та PIN-код, який знаєте тільки ви. Отримавши вашу карту, зловмисник не зможе зняти готівку не знаючи PIN-коду і так само не зможе отримати гроші знаючи його, але не маючи картки.

Програми-автентифікатори

Цей варіант багато в чому схожий на попередній, з тією лише відмінністю, що замість отримання кодів по SMS вони генеруються на пристрої за допомогою спеціального додатка (Google Authenticator, Authy). Під час налаштування ви отримуєте первинний ключ (найчастіше у вигляді QR-коду), на основі якого за допомогою криптографічних алгоритмів генеруються одноразові паролі з терміном дії від 30 до 60 секунд. Навіть якщо припустити, що зловмисники зможуть перехопити 10, 100 або навіть 1 000 паролів, передбачити з їх допомогою, яким буде наступний пароль, неможливо.

  • Якщо зловмисники отримають доступ до первинного ключа на вашому пристрої або через злому сервера, вони зможуть генерувати майбутні паролі.
  • При використанніавтентифікатора на тому самому пристрої, з якого здійснюється вхід, втрачається двофакторність.

Перевірка входу за допомогою мобільних додатків

переваги
переваги

  • Якщо зловмисники перехоплять приватний ключ, вони зможуть видавати себе за вас.
  • Сенс двофакторної аутентифікації втрачається при використанні одного й того самого пристрою для входу.

Апаратні токени

Фізичні (або апаратні) токени є надійним способом двофакторної аутентифікації. Будучи окремими пристроями, апаратні токени, на відміну від перерахованих вище способів, ні при якому розкладі не втратить своєї двофакторної складової. Найчастіше вони представлені у вигляді USB-брелоків із власним процесором, що генерує криптографічні ключі, які автоматично вводяться при підключенні до комп'ютера. Вибір ключа залежить від конкретного сервісу. Google, наприклад, рекомендує використовувати токени стандарту FIDO U2F, ціни на які починаються від 6 доларів без урахування доставки.

  • Жодних SMS та додатків.
  • Немає потреби в мобільному пристрої.
  • Є повністю незалежним девайсом.

Резервні ключі

Як бачите, у використанні двофакторної аутентифікації є деякі нюанси, але складними вони здаються лише на перший погляд. Яким має бути ідеальне співвідношення захисту та зручності, кожен вирішує для себе сам. Але в будь-якому випадку всі проблеми виправдовуються з лишком, коли справа заходить про безпеку платіжних даних або особисту інформацію, не призначену для чужих очей.

Де можна і потрібно включити двофакторну автентифікацію, а також про те, які послуги її підтримують, можна прочитати тут.