Аутентификация – проверка подлинности чего-либо, например, проверка введенного пароля путем сравнивания с указанным при регистрации.
Пароль сегодня – самый популярный инструмент защиты доступа, но даже очень надежный пароль уязвим, а потому многими сервисами и программами предлагается, помимо пароля, использовать какой-либо инструмент дополнительной защиты.
В целом аутентификация не обязательно должна быть именно двойной, она может быть и тройной: например, сначала вы вводите постоянный пароль, потом получаете одноразовый пароль по СМС, а затем должны еще подтвердить отпечаток пальца.
Наличие двойной аутентификации зависит от сервиса или используемого программного обеспечения: вы не можете использовать ее там, где она не заложена разработчиком. Да и сама двойная аутентификация бывает различной, в этой главе мы поговорим о самых популярных методах.
Файл-ключ
Некоторые программы предлагают использовать в связке с паролем файл-ключ. Файл-ключ – инструмент защиты, когда программе для авторизации необходимо предоставить какой-либо файл.
Такой вариант используется в популярной программе для шифрования TrueCrypt и ее форке VeraCrypt. При создании контейнера вы указываете какой-нибудь файл, и в дальнейшем для дешифрации программа будет требовать с вас предоставление этого файла.
В качестве файла-ключа можно использовать почти любой файл, файл при этом останется неповрежденным. Но помните, что в этот файл нельзя вносить никаких изменений, иначе изменится его структура, и он перестанет работать. Не стоит использовать слишком большие ключи, это бессмысленно: VeraCrypt, например, использует первые 1024 килобайта файла.
Совет
Не стоит использовать большие файлы в качестве файла-ключа – это бессмысленно.Лучше, чтобы этот файл было максимально сложно найти или догадаться, что это и есть файл-ключ. Поэтому не стоит называть его key / ключ и иными наименованиями, указывающими на него. Используйте для этого обычный документ или картинку, не привлекающую внимания.
Совет
Маскируйте файлы-ключи под обычные файлы.Никогда не отказывайтесь от этого инструмента в дополнение к паролю. Файл-ключ страхует в случае кражи пароля, например при банальном подглядывании или использовании кейлоггера.
Наверное, у кого-то из вас возникнет вопрос, где и как хранить файл-ключ. У меня файл-ключ хранится на компьютере в открытом доступе, хотя и в папке, где ничем не отличается от других файлов. Этот файл не требует хранения в защищенном месте, потому как является лишь дополнением к паролю. Копия этого файла у меня хранится в защищенных криптоконтейнерах на переносном жестком диске и облачном хранилище. Этот файл нельзя потерять, так как без него вы не сможете получить доступ к данным.
SMS-коды
SMS-коды – средство дополнительной защиты, когда пользователю на его номер, указанный в профиле, высылается SMS с авторизационным кодом. Довольно надежный механизм, но только в том случае, когда ваш номер не известен злоумышленникам. К сожалению, восстановить номер или перехватить СМС сегодня не является проблемой.
Есть разные методы перехвата СМС: восстановление сим-карты, доступ к данным на уровне оператора, взлом устройства, принимающего СМС, эксплуатирование уязвимостей на уровне SS7, поддельная базовая станция. Главное, вы должны понять, что СМС – это ненадежно, хотя и лучше, чем отсутствие двойной аутентификации.
Совет
По возможности откажитесь от СМС в пользу более надежных методов двойной аутентификации.Подтверждением этому является тенденция отказа от СМС в качестве инструмента двойной аутентификации и замена его более надежными средствами со стороны ряда корпораций, например Google.
Email коды
Вполне надежный метод, только если есть доступ к email с другого устройства. Если вы авторизуетесь со своего компьютера и на этом же компьютере принимаете email с кодом, смысл двойной аутентификации теряется.
Совет
Не принимайте email коды на том же устройстве, с которого осуществляется авторизация.Таблица с кодами
Таблица с кодами – способ дополнительной защиты, когда вам выдается таблица с нумерованными кодами. При авторизации запрашивается какой-либо код из таблицы.
Такую таблицу обязательно надо распечатать, не имеет смысла хранить ее в электронном виде. Ее основная задача – защищать от кражи пароля, например при помощи вредоносного программного обеспечения.
Злоумышленники могут получить доступ к вашему компьютеру и украсть у вас пароль, но он им ничего не даст, так как для авторизации будет необходимо указать код из таблицы, которой нет на вашем компьютере.
К сожалению, пользователи часто не понимают этого, храня таблицу с кодами в электронном виде. Этим они облегчают злоумышленникам задачу, фактически сводя на нет двухфакторную аутентификацию.
Совет
Распечатайте таблицу с кодами и никогда не храните ее в электронном виде.Авторизация через мобильное приложение
Авторизации через приложение на мобильном телефоне, на мой взгляд, лучший способ дополнительной защиты, за исключением случаев авторизации с устройства, где установлено это самое приложение.
Есть различные реализации данного метода, самый простой из которых – push-уведомления, но мне больше нравится реализация с QR-кодом. При авторизации после ввода корректных логина и пароля вам выводится QR-код и просьба ввести расшифровку. Расшифровать этот QR-код можете только вы через ваше приложение. Это делает абсолютно бессмысленной кражу ваших паролей.
Биометрические данные
Как правило, биометрические данные используются как альтернатива паролю, а не инструмент двойной аутентификации, и мы подробно говорим о них в специальной главе курса. Но если у вас есть возможность использовать, например, отпечаток пальца или сетчатку глаза для двухфакторной аутентификации – подключайте и не задумывайтесь.
Главная проблема биометрических данных в том, что при физическом доступе к жертве их можно использовать без ее согласия. Например, известно, что правоохранительные органы прикладывают пальцы умерших к телефонам для их последующей разблокировки. Но при наличии пароля эта угроза аннулируется, а все преимущества, включая невозможность подбора или кражи (по крайней мере, без телесных увечий), остаются.
Это самые популярные на сегодня средства для двухуровневой аутентификации, использование любого из них в связке с паролем будет большим плюсом к вашей безопасности.