Кража и утечка данных могут иметь очень вредные последствия как для пользователя, так и для владельцев веб-сайтов и приложений. К счастью, многие компании уже используют двухфакторную аутентификацию (2FA) в дополнение к паролю, чтобы гарантировать, что посторонние лица не получат доступ к данным пользователя. Например, Google недавно объявил, что планирует сделать двухфакторную аутентификацию по умолчанию для пользователей. Однако, несмотря на популярность, эксперты все еще сомневаются в том, насколько безопасен 2FA в некоторых случаях. Но сначала давайте разберемся, что такое двухфакторная аутентификация.
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация (2FA) — это мера безопасности, которая требует двух факторов для проверки вашей цифровой личности. Это означает, что доступ не предоставляется, если пользователь не может предоставить второй идентификатор в дополнение к правильному имени пользователя и паролю, причем оба они должны быть уникальными. Таким образом, во время процесса многофакторной аутентификации он запрашивает дополнительную информацию, например Google Authenticator, Magic Link или код доступа, отправленный через SMS, для входа в учетную запись.
Примером такой аутентификации является процесс входа в систему при использовании Instagram. Первая часть процесса включает в себя ввод пароля и имени пользователя. Затем следует код безопасности, который отправляется пользователю по электронной почте или по SMS.
Многие другие веб-сайты используют подобные приложения-аутентификаторы для генерации уникальных кодов, которые создаются специальными приложениями, разработанными для этой функции. Таким приложением также является Google Authenticator.
Как работает 2FA?
Процесс работы 2FA варьируется в зависимости от того, какая информация запрашивается у пользователя. Процесс входа в систему может включать в себя комбинацию следующих двух вариантов:
- Данные для входа – имя пользователя и пароль – уже известны физическому лицу. Уже существуют приложения, которые надежно сохраняют эту информацию. Примеры включают приложения Google Password Manager или Passkey.
- Данные, относящиеся к физическому аспекту человека, например биометрические данные.
- Приложения, генерирующие коды подтверждения в приложениях для мобильных телефонов.
Компании используют два из этих трех требований, а также данные для входа и номера телефонов для защиты пользователя.
Несколько мифов о 2FA
После этого стоит только уточнить, насколько безопасен 2FA.
2FA уязвима для многих хакерских атак. Это может произойти, например, когда пользователь случайно, даже не осознавая этого, разрешает доступ к запросу, отправленному хакером. Другой такой случай заключается в том, что коды отправляются через ненадежные сторонние каналы. Безопасность отправки кода по SMS может зависеть от оператора мобильной связи.
С момента разработки концепции существовали огромные разногласия по поводу безопасности 2FA. Аутентификацию можно выполнить, отправив SMS, используя ссылку для проверки в учетной записи электронной почты и других приложениях. Бывают также случаи, когда процесс 2FA выполняется автоматически путем ввода информации, хранящейся в браузере.
Однако большинство компаний не волнует, насколько 2FA повышает безопасность, и рассматривают это как требование закона. Небольшие компании обычно не тратят значительные суммы денег на безопасность. Они создают политику безопасности на лету и случайно используют 2FA, не понимая, как она работает. Некоторые компании считают это помехой для потребительского опыта, поскольку это требует более длительного, чем обычно, процесса входа в систему.
Когда возникает вопрос о безопасности 2FA, ответ однозначный: да. И всё же это не панацея.
