Постоянно встречаю сообщения из серии "мою почту взломали", "мой телеграм-канал увели", "получили доступ к моему личному кабинету в банке" и так далее и тому подобное. Во многих случаях люди сами в этом виноваты: они используют крайне примитивные, легко подбираемые пароли, а потом удивляются, что к их конфиденциальной информации кто-то получил доступ или же кто-то увел их аккаунт.
О важности использования устойчивых паролей и о необходимости использовать разные пароли для разных аккаунтов - много раз говорилось, о необходимости использования менеджеров паролей (тем более, что это очень удобно и быстро) - много раз говорилось, а в этой статье давайте поговорим о более продвинутых и намного более современных средствах защиты, тем более что современные тенденции аутентификации - уход от паролей как таковых и заменой их ключами доступа (passkey), связанными с биометрией (отпечаток пальца или скан лица), со специальным программным обеспечением или же со специальными физическими носителями (флешками). Пока это все обычно работает как дополнительные средства проверки, но в обозримом будущем оно станет основным средством доступа.
Двойная аутентификация
Уже достаточно давно многие сервисы стали предлагать дополнительное средство защиты вашего аккаунта, которое называется "двойной аутентификацией", а большинство банков и вовсе в обязательном порядке требует использования такого вида защиты, и без него вас в личный кабинет просто не пустят. Отправка уникального кода по SMS на ваш телефон - именно один из таких средств двойной аутентификации, и это средство было бы очень надежным, если бы люди доверчиво не сообщали эти коды всяким телефонным мошенникам.
Но тут уж, что называется, каждый сам себе - злобный Буратино: до сих пор масса людей пишут пин-код от банковской карты фломастером на самой карте - чтобы не забыть. А когда у них эту карту уводят и со счета снимают все деньги в банкомате - бегут в банк и требуют вернуть украденные у них деньги. Излишне говорить, что в таком случае совершенно точно никто ничего не вернет.
Так вот, отправка кода по SMS - далеко не единственный и уж точно не самый удобный способ аутентификации, и сейчас многие сервисы предлагают различные альтернативные варианты.
Приложение с генератором кодов
Это значительно более удобный способ, чем аутентификация с помощью кода по SMS. Как он работает? Вам нужно в соответствующем сервисе указать, что вы хотите добавить идентификацию с помощью приложения - такой способ поддерживают, например, Google, "Госуслуги", большинство платежных систем, типа PayPal, некоторые социальные сети (тот же VK) и так далее. Сервис при этом сгенерирует для вас специальный QR-код.
После этого вам нужно выбрать приложение, которое вы будете использовать для аутентификации (на самом деле их существует немало), установить его на смартфон, залогиниться (или зарегистрироваться, если вы его установили в первый раз), после чего в приложении отсканировать этот QR код, и после этого приложение будет готово работать с данным сервисом. Каким образом? При входе в сервис после обычного логина-пароля сервис будет требовать специальный одноразовый код, генерируемый приложением для данного сервиса. Код этот действует только 30 секунд, после чего приложение генерирует новый код.
Выглядит это как-то так (для Google Authenticator): название приложения (учетка Google, PayPal, VK, Госуслуги и так далее), под ним - одноразовый код из шести цифр, справа - временная диаграмма, показывающая, сколько примерно секунд осталось до генерирования нового кода.
Изображение отсюда
Наиболее часто используемое приложение для аутентификации - Google Authenticator: он есть для Android и для iOS. Регистрация в Google Authenticator - ваша учетная запись в Google, однако он может работать и без привязки к аккаунту: просто при использовании аккаунта приложение будет хранить привязку к соответствующим сервисам в вашей учетной записи, и если вы, например, поменяете телефон, то вам не придется заново перепривязывать сервисы к данному приложению: достаточно просто установить его, залогиниться - и все связи будут восстановлены.
Такой способ аутентификации значительно удобнее, чем код по SMS. Кроме того, представьте себе, что у вас в поездке украли телефон с симкартой. Всё, никакие коды по SMS вы получить не можете! Но если вы использовали приложение-аутентификатор - просто купили новый телефон, установили приложение, залогинились - можно пользоваться.
Однако замечу, что у Google Authenticator есть один заметный минус. У него почему-то нет защиты от входа в приложение. То есть вы его установили, залогинились - и всё: при запуске приложение сразу выдает коды. Как-то это не очень безопасно, как мне кажется. Нет, понятно, что в современных условиях обязательно нужно использовать блокировку смартфона, чтобы к его содержимому в случае утраты не получил доступ посторонний. Но все-таки что мешало хотя бы опционально сделать дополнительную защиту от входа в это приложение - я не понимаю.
Какие еще существуют приложения для двухфакторной аутентификации? Их много, я приведу только два из них, наиболее используемых.
Microsoft Authenticator - популярное приложение для двухфакторной аутентификации, которое ориентирована на использование с продуктами компании Microsoft, но также поддерживает работу с любыми другими приложениями с двухфакторной аутентификацией, а кроме того, может хранить логины/пароли, платежную информацию, адреса и проверенные идентификации. И оно по умолчанию при запуске требует идентификации: код, отпечаток пальца или сканирование лица.
Authy - известная альтернатив Google Authenticator. Существует для разных платформ, подходит для ПК, имеет возможность сохранять все данные в облаке, есть защита при входе.
Физические ключи безопасности
Во многих случаях можно использовать специальные физические (аппаратные) ключи безопасности, которые обычно представляют собой флешку, вставляемую в USB-порт ПК (ноутбука, планшета, смартфона). Также это может быть карточка с чипом NFC, которую нужно прикладывать к приемнику NFC (например, смартфону).
Они работают по стандарту открытой аутентификации U2F, продвижением которого занимается альянс FIDO, и эти ключи нередко называют "ключами FIDO".
Мы сейчас не будем углубляться в технические тонкости того, как это все устроено, посмотрим только на то, как это все выглядит на практике.
Такие ключи безопасности выпускают как крупные корпорации - Google, Apple, - так и компании, специализирующиеся на выпуске подобных устройств - например, Token2 (я сам их ключами пользуюсь), Yubiko (кстати, в Яндекс.Маркете по запросу "аппаратный ключ аутентификации" практически только ключи Yubikey и выдаются), Thetis, SoloKeys и другие.
Вот как это работает на примере ключа от Google - Titan Security Key.
Упаковка.
В комплекте: ключ под порт USB-A, переходник под Type-C, руководство пользователя.
Давайте подключим этот ключ в качестве дополнительного способа двухфакторной аутентификации в аккаунте Google. (Защита аккаунта Google, если в нем хранятся контакты, и другие данные, а также если к нему привязаны всякие сервисы - это очень важно!)
Заходим в управление аккаунтом Google. Там заходим в раздел "Безопасность", там находим "Двухэтапная аутентификация". Включаем ее, если она не включена.
Гугл предлагает различные альтернативные способы двухфакторной аутентификации: письмо на почту, SMS на номер телефона, подтверждение на доверенных устройствах (смартфонах, планшетах), аутентификация через приложение (то, что мы только что рассмотрели выше), резервные коды (распечатанные на бумаге) и наконец - через электронный ключ. Вот этот вид - электронный ключ, - мы и выбираем.
Там выбираем "Создать ключ доступа" и в появившемся окне нажимаем "Использовать другое устройство".
После этого появляется вопрос системы безопасности Windows, где нужно выбрать для сохранения ключа доступа - ключ безопасности. Сам ключ предварительно нужно вставить в порт USB.
Система предложит задать PIN-код для ключа безопасности (дополнительный уровень защиты). Излишне говорить, что этот PIN-код должен быть достаточно надежным (например, у ключей Token2 есть специальная серия ключей PIN+, которые просто не дадут задать слабый PIN).
После этого надо будет коснуться площадки ключа безопасности.
Ну и все - Google сообщил, что на данном электронном ключе создан ключ доступа, и с его помощью можно подтверждать свою личность.
Аналогичным образом этот ключ доступа может быть использован для любых сервисов, поддерживающих использование ключей безопасности FIDO.
Вы спросите, а что будет, если мне срочно нужен будет доступ к какому-то сервису, а ключа этого нет под рукой? Ну так практически любой сервис поддерживает самые разные способы доступа при двухфакторной аутентификации: подобный ключ доступа - альтернативный вариант. Нет под рукой ключа - через приложение с одноразовыми кодами, через SMS и так далее.
Ключ - просто более быстрое и более защищенное средство идентификации. Например, PayPal при включенной двухфакторной аутентификации отправляет SMS и требует ввода кода и при входе в личный кабинет (приложение) и почти при каждом переводе денег. Добавляете в качестве альтернативного средства подтверждения вот этот электронный ключ - больше никакой возни с SMS и вбиванием кодов, просто прикасаетесь к этому ключу при запросе - и все. Оказались где-то без ключа - выбираете отправку SMS.
В качестве заключения
Везде, где дело касается важных конфиденциальных данных - ваши контакты, заметки, документы, финансы - необходимо использовать двухфакторную аутентификацию (дополнительную проверку), и для этой аутентификации задавать различные альтернативные варианты проверки.
Хороший современный способ двухфакторной аутентификации - программа-генератор одноразовых кодов.
Еще более удобный и хорошо защищенный способ - использование аппаратного ключа безопасности.
Не пренебрегайте этими способами, не давайте злоумышленникам шанс получить доступ к вашей конфиденциальной информации!
