Что такое аутентификация и Двухфакторная аутентификация простыми словами (виды и примеры)

Что такое аутентификация и Двухфакторная аутентификация Соцсети

Безопасность аккаунтов в социальных сетях, мессенджерах и на страницах развлекательных и информационных сайтов часто находится под угрозой. Но не по вине программистов, веб-мастеров или уязвимых баз данных. А из-за нежелания пользователей заранее разобраться в параметрах безопасности. Кроме надежного пароля, состоящего из 8-10 знаков нижнего и верхнего регистра, цифр и символов, не помешает активировать еще и двухфакторную аутентификацию. Как и зачем – пора разбираться.

Коротко о главном

Аутентификация – процедура проверки подлинности. В 99% случаев на сайтах или в социальных сетях проводится по классическому сценарию: пользователь вводит логин и пароль, которые сравниваются с базой данных.

Если проверка пройдена, то доступ ко всем возможностям сразу открывается. Раньше для защиты аккаунтов хватало лишь сложного и запутанного пароля, но с недавних пор злоумышленники научились обходить проверку и добираться до конфиденциальной информации. А потому появилась альтернатива классическому способу.

Двухфакторная аутентификация (или еще двухэтапная, сокращенно – 2FA) кроме логина и пароля задействует дополнительную систему подтверждения входа. Какую – зависит от инструментов под рукой: многие настраивают SMS-коды, прикрепляют к профилю адрес электронной почты или рассчитывают на помощь специальных сервисов. Важен даже не способ реализации, а в принципе наличие дополнительной проверки, усложняющей жизнь злоумышленникам.

Преимущества и недостатки каждого из способов защиты:

  • Аутентификация. Потребуется лишь логин и пароль от зарегистрированного на сайте (в социальных сетях, мессенджерах или игровых клиентах) аккаунта. После ввода конфиденциальная информация сверяется с базой данных и, если текстовые поля заполнены корректно, то результатом проверки становится доступ к личному кабинету (корзине, платежным системам и иным разделам, скрытым от неавторизированных пользователей). Преимущество очевидное: экономия времени – никаких дополнительных действий, настроек и проверок. Ключевой недостаток – низкий уровень безопасности: если кому-то еще известны логин и пароль, то с прохождением авторизации, как и с доступом к конфиденциальной информации, не возникнет проблем.
  • Двухфакторная аутентификация. Запрашивает кроме логина и пароля (базовой конфиденциальной информации) дополнительные данные. Например, одноразовый код, отправленный в SMS на прикрепленный к личному аккаунту номер мобильного телефона, или цифровую комбинацию, переданную в письме на e-mail. Ключевое преимущество 2FA – почти максимальный уровень безопасности. Кроме пароля злоумышленникам предстоит перехватить еще и SMS с код-паролем или дополнительную информацию из e-mail. Двухфакторная аутентификация еще и предупреждает о попытках взлома: те же социальные сети сразу рассказывают о том, с какого IP-адреса и техники совершалась попытка входа.

    Недостатков у 2FA несколько: требуется больше времени на прохождение авторизации, а дополнительные средства проверки должны быть под рукой (ту же SMS принять в роуминге пожелают далеко не все).

Виды двухфакторной аутентификации

Различают целую коллекцию методов идентификации пользователей, способных дополнить классический сценарий заполнения текстовых полей Login и Password:

  • SMS с одноразовым код-паролем. Крайне распространенный вариант проверки доступа. Применяется банковскими сервисами и на этапе авторизации, и при подтверждении транзакций. Доступен для настройки и на сторонних сайтах, а еще в социальных сетях и мессенджерах.
  • Письмо на адрес электронной почты. Альтернатива классическим SMS. Выдает код-пароль в письме, высылаемом на e-mail, или специальную ссылку для прохождения авторизации. Вариант не слишком совершенный – к почте злоумышленники способны подобрать пароль методом брута – через связки логинов и паролей, найденных в специальных базах данных.
  • Подтверждение через специальные сервисы. Актуальный способ идентификации. Одноразовые код-пароли выдаются не через SMS, а с помощью специальных «аутентификаторов» (Google и Microsoft Authenticator). Выдаются случайно сгенерированные код-пароли или в течение короткого промежутка времени – на 2-3 минуты, а после обновляются, или же в зависимости от заданного вопроса, который появляется в социальных сетях или мессенджере. Вопрос – часто числовой – необходимо перенести в «аутентификатор», а тот уже выдаст ответ для прохождения авторизации.
  • Аутентификация через QR-код. Доступна в некоторых мессенджерах, дополнительно проверяет версию программного обеспечения и даже IP-адрес.
  • Биометрия. Биометрическая проверка основана на взаимодействии с некоторыми конкретными пользовательскими данными, распознаваемыми с помощью специальных инструментов: голос, сетчатка глаза, лицо, отпечаток пальца. Подделать столь сложную информацию практически невозможно.
  • Альтернативные решения. Кроме распространенных вариантов периодически появляются и эксклюзивные – NFC-карты, USB-токены, электронные ключи. Вне зависимости от конструкции или даже назначения дополнительных проверок суть не меняется – аутентификация проходит с помощью двух факторов, то есть – в несколько этапов.

Встречается и аутентификация посредством GPS: идентификация пользователей происходит на основе текущего географического положения с точностью до 5 метров. Определяется местоположение несколькими способами, но в основном с помощью беспроводных точек связи, передающих координаты искомому сайту (мессенджеру, социальной сети) по запросу. Если заданное в настройках аккаунта местоположение не сходится с передаваемыми координатами, то авторизация закончится ошибкой.

Примеры настройки двухфакторной аутентификации

Многоэтапная идентификация пользователей встречается повсеместно – и в социальных сетях, и в мессенджерах, и в банковских сервисах, вынуждающих вводить высылаемый на номер мобильного телефона код-пароль для подтверждения транзакций. И настраивается усложненная аутентификация разными способами.

Разработчики социальной сети «ВКонтакте» рекомендуют сразу открыть «Настройки» и перейти в раздел «Безопасность», включающий целую категорию параметров, связанных с «Подтверждением входа».

Добавляются и номера мобильных телефонов (классический вариант с передачей разового код-пароля через SMS), и резервные цифровые комбинации, и сервисы для генерации кодов (включая Google или Microsoft Authentication). Перед настройкой предстоит ввести пароль от аккаунта VK, а после активировать подтверждение входа. Уже следующая авторизация закончится отображением дополнительного текстового поля для ввода переданного кода.

Доступна двухфакторная аутентификация и в мессенджерах. Та же браузерная версия WhatsApp идентифицирует пользователей с помощью QR-кода (без пройденной проверки не разблокируется доступ ни к перепискам, ни чату для добавления сообщений), считываемого с мобильной техники. Тем самым мессенджер даже проверяет и местоположение владельца аккаунта – если тот находится слишком далеко от компьютера, то выданный доступ мгновенно блокируется до тех пор, пока не пройдена новая проверка.

Telegram придерживается альтернативной стратегии – разрешает в разделе «Конфиденциальность» активировать двухэтапную аутентификацию с помощью заранее подготовленного пароля.

После добавления конфиденциальной информации мессенджер начнет запрашивать кроме код-пароля, высылаемого через SMS, еще и пароль для прохождения авторизации.

Дополнительно разработчики рекомендуют прикрепить еще и адрес электронной почты – на случай, если с прохождением проверки возникнут сложности.

Проверка в Instagram привязана к адресу электронной почты – если система обнаружит подозрительную авторизацию, то в интерфейсе сразу появится соответствующее предупреждение, а вместе с тем и кнопка «Отправить код безопасности». Высылается конфиденциальная информация на прикрепленный к странице e-mail (если почтовый ящик не привязан, то высылается SMS на номер мобильного телефона).

Предусмотрена проверка и в игровых клиентах. Steam после ввода логина и пароля на неизвестном оборудовании запрашивает код, генерируемые каждые 30 секунд в мобильном сервисе Steam Mobile, доступном для iOS и Android

Надежна ли двухфакторная аутентификация

Специалисты периодически расходятся во мнении: и присваивают технологии как почти «непроницаемый» статус (киберпреступникам предстоит буквально совершить подвиг – перехватить SMS, взломать почту или выкрасть доступ к сгенерированным код-паролям через систему выдачи токенов), так и репутацию временного лекарства от всех болезней. И последнее утверждение связано даже не с реализацией двухфакторной аутентификации, а все с той же неподготовленностью и бессознательностью пользователей.

Многие банально игнорируют дополнительные настройки безопасности: не спешат прикреплять номера телефонов, не активируют системы подтверждения входа, и даже не пытаются сменить пароль в духе qwerty или 12345 на чуть более сложные комбинации. Как результат – жизнь злоумышленников во многом до сих пор безоблачна.

Зато дальновидных вебмастеров становится с каждым годом все больше – многие владельцы сайтов интегрируют технологию 2FA даже на форумах и информационных сайтах с помощью того же E-Num. Услуга доступна каждому желающему и интегрируется в код сайта за считанные минуты.

После пройденной настройки привычная авторизация начнет разворачиваться по иному сценарию (принцип действия, представленный ниже, подготовлен в качестве наглядного примера):

Выбор способа идентификации – через логин и пароль (менее безопасный вариант) и с помощью E-Num, вынуждающего кроме базовой конфиденциальной информации вводить еще и код, сгенерируемый в одноименном мобильном сервисе (доступны версии для iOS и Android).

Второй вариант исключает заполнение поля «пароль» и предлагает добавить лишь логин (номер мобильного телефона, e-mail).

После система отобразит QR-код или цифровой запрос, на который и подберет подходящий ответ E-Num.

Описанная выше процедура значительно повышает безопасность профиля. Особенно, если и сервис E-Num на iOS и Android защищен с помощью систем проверки биометрических данных (отпечаток пальца, сетчатка глаза, вроде технологий Touch ID и Face ID).

В заключении

Двухфакторная аутентификация не панацея – злоумышленники уже научились обходить дополнительную проверку с помощью фишинговых атак или через формы для восстановления аккаунтов (сайты высылают ссылки для смены пароля на почту, доступ к которой часто открывается методом подбора конфиденциальной информации без дополнительных инструментов защиты, вроде одноразовых SMS-кодов).

Но на подобный взлом потребуется много времени, а потому ради доступа к перепискам случайных пользователей из VK или Telegram киберпреступники даже не станут заморачиваться. А, значит, в «домашних условиях» беспокоиться не о чем и все профили в социальных сетях будут находиться под полной защитой, если заранее разобраться с настройками.

Более глобальный анализ двухфакторной аутентификации показывает, что у злоумышленников возникают проблемы с биометрией – сканеры отпечатка пальца и технологии, связанные с распознаванием лица, до сих пор никому не подвластны. И не случайно разработчики мобильной техники и ноутбуков движутся в сторону развития перечисленных технологий.

Сергей Смирнов

Автор блога sergeysmirnovblog.ru. На блоге я делюсь своим опытом, полезными статьями на тему заработка и всем, что так или иначе связанно с этой деятельностью. Делаю обзоры онлайн-курсов, делюсь проверенными и новейшими полезными инструментами и сервисами, составляю рейтинги партнерских программ, которыми пользуюсь сам и многое, многое другое.

Оцените автора
( 3 оценки, среднее 5 из 5 )
Добавить комментарий