Двойная аутентификация

Аутентификация – проверка подлинности чего-либо, например, проверка введенного пароля путем сравнивания с указанным при регистрации.

Пароль сегодня – самый популярный инструмент защиты доступа, но даже очень надежный пароль уязвим, а потому многими сервисами и программами предлагается, помимо пароля, использовать какой-либо инструмент дополнительной защиты. 

В целом аутентификация не обязательно должна быть именно двойной, она может быть и тройной: например, сначала вы вводите постоянный пароль, потом получаете одноразовый пароль по СМС, а затем должны еще подтвердить отпечаток пальца.

Наличие двойной аутентификации зависит от сервиса или используемого программного обеспечения: вы не можете использовать ее там, где она не заложена разработчиком. Да и сама двойная аутентификация бывает различной, в этой главе мы поговорим о самых популярных методах.

Файл-ключ

Некоторые программы предлагают использовать в связке с паролем файл-ключ. Файл-ключ – инструмент защиты, когда программе для авторизации необходимо предоставить какой-либо файл.

Такой вариант используется в популярной программе для шифрования TrueCrypt и ее форке VeraCrypt. При создании контейнера вы указываете какой-нибудь файл, и в дальнейшем для дешифрации программа будет требовать с вас предоставление этого файла. 

В качестве файла-ключа можно использовать почти любой файл, файл при этом останется неповрежденным. Но помните, что в этот файл нельзя вносить никаких изменений, иначе изменится его структура, и он перестанет работать. Не стоит использовать слишком большие ключи, это бессмысленно: VeraCrypt, например, использует первые 1024 килобайта файла.

Лучше, чтобы этот файл было максимально сложно найти или догадаться, что это и есть файл-ключ. Поэтому не стоит называть его key / ключ и иными наименованиями, указывающими на него. Используйте для этого обычный документ или картинку, не привлекающую внимания.

Никогда не отказывайтесь от этого инструмента в дополнение к паролю. Файл-ключ страхует в случае кражи пароля, например при банальном подглядывании или использовании кейлоггера.

Наверное, у кого-то из вас возникнет вопрос, где и как хранить файл-ключ. У меня файл-ключ хранится на компьютере в открытом доступе, хотя и в папке, где ничем не отличается от других файлов. Этот файл не требует хранения в защищенном месте, потому как является лишь дополнением к паролю. Копия этого файла у меня хранится в защищенных криптоконтейнерах на переносном жестком диске и облачном хранилище. Этот файл нельзя потерять, так как без него вы не сможете получить доступ к данным.

SMS-коды

SMS-коды – средство дополнительной защиты, когда пользователю на его номер, указанный в профиле, высылается SMS с авторизационным кодом. Довольно надежный механизм, но только в том случае, когда ваш номер не известен злоумышленникам. К сожалению, восстановить номер или перехватить СМС сегодня не является проблемой.

Есть разные методы перехвата СМС: восстановление сим-карты, доступ к данным на уровне оператора, взлом устройства, принимающего СМС, эксплуатирование уязвимостей на уровне SS7, поддельная базовая станция. Главное, вы должны понять, что СМС – это ненадежно, хотя и лучше, чем отсутствие двойной аутентификации.

Подтверждением этому является тенденция отказа от СМС в качестве инструмента двойной аутентификации и замена его более надежными средствами со стороны ряда корпораций, например Google.

Email коды

Вполне надежный метод, только если есть доступ к email с другого устройства. Если вы авторизуетесь со своего компьютера и на этом же компьютере принимаете email с кодом, смысл двойной аутентификации теряется.

Таблица с кодами

Таблица с кодами – способ дополнительной защиты, когда вам выдается таблица с нумерованными кодами. При авторизации запрашивается какой-либо код из таблицы.

Такую таблицу обязательно надо распечатать, не имеет смысла хранить ее в электронном виде. Ее основная задача – защищать от кражи пароля, например при помощи вредоносного программного обеспечения.

Злоумышленники могут получить доступ к вашему компьютеру и украсть у вас пароль, но он им ничего не даст, так как для авторизации будет необходимо указать код из таблицы, которой нет на вашем компьютере.

К сожалению, пользователи часто не понимают этого, храня таблицу с кодами в электронном виде. Этим они облегчают злоумышленникам задачу, фактически сводя на нет двухфакторную аутентификацию.

Авторизация через мобильное приложение

Авторизации через приложение на мобильном телефоне, на мой взгляд, лучший способ дополнительной защиты, за исключением случаев авторизации с устройства, где установлено это самое приложение.  

Есть различные реализации данного метода, самый простой из которых – push-уведомления, но мне больше нравится реализация с QR-кодом. При авторизации после ввода корректных логина и пароля вам выводится QR-код и просьба ввести расшифровку. Расшифровать этот QR-код можете только вы через ваше приложение. Это делает абсолютно бессмысленной кражу ваших паролей.

Биометрические данные

Как правило, биометрические данные используются как альтернатива паролю, а не инструмент двойной аутентификации, и мы подробно говорим о них в специальной главе курса. Но если у вас есть возможность использовать, например, отпечаток пальца или сетчатку глаза для двухфакторной аутентификации – подключайте и не задумывайтесь.

Главная проблема биометрических данных в том, что при физическом доступе к жертве их можно использовать без ее согласия. Например, известно, что правоохранительные органы прикладывают пальцы умерших к телефонам для их последующей разблокировки. Но при наличии пароля эта угроза аннулируется, а все преимущества, включая невозможность подбора или кражи (по крайней мере, без телесных увечий), остаются.

Это самые популярные на сегодня средства для двухуровневой аутентификации, использование любого из них в связке с паролем будет большим плюсом к вашей безопасности.