Двухфакторная аутентификация

Защита от утечки данных: Двухфакторная аутентификация​

Что такое Двухфакторная аутентификация?​

Двухфакторная аутентификация - это когда служба требует дополнительный шаг для аутентификации вас при входе, помимо простого имени пользователя и пароля. Это может представлять собой текстовое сообщение, код, сгенерированный приложением (иногда называемый по его техническим именем "TOTP" или "Временный одноразовый пароль"), уведомление, аппаратное устройство или даже биометрическую аутентификацию.​

Существует несколько факторов аутентификации, но этот сайт рассматривает два наиболее распространенных: то, что вы знаете, и то, что у вас есть. То, что вы знаете, это имя пользователя и пароль, в то время как то, что у вас есть, обычно является шестизначным кодом, который у вас на устройстве, или средством безопасности (рассмотрено далее). Когда требуется только две формы аутентификации, это называется "двухфакторной" аутентификацией (часто сокращается как 2FA). Когда требуется более двух форм аутентификации, это "многофакторная" аутентификация, или MFA. Технически все 2FA является MFA, но не все MFA является 2FA.​

Зачем мне нужна Двухфакторная аутентификация?​

Согласно Microsoft, эта техника может остановить до 99,9% несанкционированных попыток доступа к аккаунту. С включенной MFA даже если злоумышленник узнает ваше имя пользователя и пароль, он все равно не сможет войти без второго фактора.​

Что следует искать в решении для Двухфакторной аутентификации?​

Выбирая решение для MFA, убедитесь, что это что-то, что вы будете использовать постоянно. Например, если вам нужна возможность входа в учетную запись с любого компьютера в любое время, аппаратное устройство может быть неудобным для вас. Вы также должны избегать SMS 2FA всякий раз, когда это возможно, потому что злоумышленнику относительно легко украсть номер вашего телефона и получить входящий текст 2FA. Используйте SMS, если нет других вариантов, но используйте что-то лучшее, если у вас есть выбор. Недавно уведомления о входе также стали риском в атаке, известной как "усталость от MFA", при которой злоумышленник будет засорять пользователя запросами до тех пор, пока пользователь не примет вход, чтобы прекратить запросы, или случайно примет один. Рекомендуемый порядок методов 2FA от самых надежных до наименее надежных: аппаратные ключи, TOTP, уведомления о входе, электронная почта (особенно

если она защищена TOTP или лучше), и, наконец, SMS. TOTP будет оптимальным вариантом для большинства людей.​

Прошу обратить внимание, что порядок приведен в алфавитном порядке, а не в порядке рекомендации.​

​

2FAS​

Преимущества:​

Доступно на Android и iOS​

Синхронизация с Mac через браузерное расширение и общий буфер обмена (см. Недостатки)​

Недостатки:​

Недоступно на F-Droid​

Для синхронизации устройства требуется iCloud, данные не шифруются даже с расширенной защитой данных​

​

Aegis Authenticator​

Преимущества:​

Доступно на F-Droid​

Позволяет автоматические резервные копии (только в облаке)​

Недостатки:​

Только для Android​

​

ente Authenticator​

Преимущества:​

Доступно на Android и iOS​

Доступно на F-Droid​

Недостатки:​

Требуется учетная запись ente (бесплатно в настоящее время, но планируется взимать плату в будущем)​

​

Почетное упоминание: Ключи безопасности​

Для большинства пользователей TOTP обеспечит наилучшее сочетание безопасности и удобства. Однако для тех, кому требуется дополнительная защита, существует множество ключей безопасности, которые обеспечивают максимальную защиту при минимальных дополнительных затратах и усилиях. Ключи безопасности (иногда называемые "ключами безопасности") - это физические устройства, подключаемые к компьютеру через USB. Если учетная запись настроена на использование ключа безопасности, устройство должно быть подключено, а не введен код. Они являются почти идеальной дополнительной мерой безопасности, потому что их нельзя удаленно взломать или атаковать методом "******", так, как это можно сделать с другими ключами, но они подвержены потере и повреждению способами, которые не свойственны другим ключам. Некоторые из наиболее часто рекомендуемых ключей безопасности включают OnlyKey и Yubikey. Менее распространенные, но с открытым исходным кодом, включают Nitrokey (несколько иной источник) и SoloKey.​

Другие формы аутентификации​

Как указывалось выше, существует много дополнительных форм аутентификации, включая что-то, что вы есть (биометрическая идентификация, такая как сканирование отпечатков пальцев или радужки глаза), и то, где вы находитесь (веб-сайт, который требует, чтобы ваш IP-адрес соответствовал вашему месту жительства или работы, например). Лично я не рекомендую использовать их, когда есть выбор по разным причинам. Факторы, связанные с местоположением, могут быть чрезвычайно вторжительными и могут помешать другим стратегиям конфиденциальности, которые я рекомендую, таким как использование ***. Что вы - это широко признано как безопасное, потому что ресурсы, необходимые для подделки биометрической идентичности человека, обычно являются интенсивными и предназначены только для угроз высокого уровня. Однако стоит отметить, что исторически такие вещи становятся менее сложными со временем, и если ваша биометрическая информация утекла, то вы не можете изменить ее так же, как можно изменить пароль или OTP-ключ (программный

/аппаратный токен). Как я уже говорил, самое важное - это найти решение 2FA, которое вы будете использовать постоянно, поэтому, если это единственные решения, которые подходят вам, я бы рекомендовал их, однако я бы побудил вас придерживаться чего-то, что у вас есть, всякий раз, когда это возможно. (Оно, к тому же, получило широкую поддержку).​

Начало работы​

2FA обычно можно включить в разделе "Безопасность" вашей учетной записи, хотя иногда это может быть подобным, но отличным настройкам, таким как "Вход" или "Аккаунт". Иногда это также называется "двухэтапным входом" или "приложением для аутентификации". Некоторые веб-сайты явно перечислят Google Authenticator, но любое приложение для двухфакторной аутентификации, перечисленное здесь, подойдет. Я предлагаю вам немедленно остановиться и включить 2FA для ваших наиболее важных учетных записей. Банк, электронная почта и другие учетные записи, без которых вы не можете обойтись. Сделайте это прямо сейчас, прежде чем делать что-либо еще.​

Для остальных ваших учетных записей я рекомендую включать 2FA "по мере необходимости". Это означает, что вы включаете его на персональной основе по мере входа или использования. Например, в следующий раз, когда вы входите в eBay, включите 2FA. Затем, в следующий раз, когда вы входите в Discord, включите 2FA. Со временем у каждой учетной записи будет уникальный, надежный пароль.​

Советы и хитрости​

На большинстве сайтов есть опция на втором экране входа "запомнить это устройство на 30 дней" или нечто подобное. Это позволит вам оставаться в системе без ввода вашего кода 2FA в течение указанного времени. В прошлом я рекомендовал это с некоторыми оговорками, но теперь я больше не рекомендую этого из-за роста вредоносных программ, которые могут красть ваши аутентификационные файлы, позволяя злоумышленнику полностью обойти процесс входа.​

Вход в систему каждый раз не обеспечит полной защиты от такого рода атаки, но это, возможно, помешает злоумышленнику украсть каждый файл cookie аккаунта, а не только те, в которые вы вошли, когда ваше устройство было заражено.​

При регистрации в системе 2FA большинство сайтов выдаст вам резервные коды. Убедитесь, что вы записали их в надежном месте, если потеряете устройство 2FA. Я рекомендую сохранять их в разделе "Заметки" вашего менеджера паролей, но будьте осторожны, так как это может создать одну точку отказа. Обязательно предпримите дополнительные меры предосторожности, если вы поступаете таким образом.​

Некоторые менеджеры паролей предлагают возможность хранить ваш ключ 2FA для более удобного процесса входа. Это может быть полезно, но так же, как и при сохранении резервных кодов, вы создаете единую точку отказа. Убедитесь, что вы предпринимаете дополнительные меры предосторожности, если выбираете этот способ.​

Если вы используете аппаратный ключ, я рекомендую приобрести две копии и хранить вторую в надежном месте в качестве резервной копии, если первая сломается. Как и с другими видами резервного копирования данных, не забудьте регулярно ее обновлять.​

2FA Directory - полезный сайт для проверки, позволяют ли сервисы, которые вы используете или собираетесь использовать, двухфакторную аутентификацию, и какого рода она является.​