Двойной уровень безопасности: что такое двухфакторная аутентификация и зачем это нужно?

Во времена, когда онлайн-сервисы поголовно использовали криптографические токены, чтобы генерировать пароли для электронного удостоверения личности пользователя, люди часто сталкивались с «утечками» – высланный пользователю токен можно было относительно легко перехватить из-за наличия уязвимостей в подобной системе.

Современные системы идентификации, по понятным причинам, отошли от несовершенных ключей доступа благодаря мощному решению – двухфакторной аутентификации (ДФА), которая позволяет проводить идентификацию на комбинации двух компонентов.

Как это работает

Представьте себе небольшое помещение с двумя дверьми, куда разрешается входить ограниченному количеству людей, только попасть туда хочет каждый. Чтобы «отбить» лишних, вы ставите двух охранников около каждой из дверей. Если через первого охранника пройти можно, например, показав пригласительный билет (а подделать его технически не так-то и сложно), то вот второй вышибала пускает в само помещение исключительно по паспорту, что уже задачка на порядок труднее для «жуликов», подделывающих бумажки.

Аналогичным образом работает и двухфакторная аутентификация.

Есть система и два ключа: один ключ пользователь имеет на руках с самого начала – то есть речь идет об обычных логинах или паролях – другой приходит на некоторое устройство сразу же, после прохождения первого рубежа. Второй ключ чаще всего доставляется на мобильный телефон пользователя в виде SMS, голосового сообщения или через специальное приложение.

О преимуществах и недостатках

У подобного метода есть два железобетонных плюса:

• код безопасности меняется постоянно, что естественно безопаснее «долгосрочного» логина-пароля;
• устройства, как телефон, у всех обычно под рукой, и это делает ДФА удобной.

Но не обошлось и без минусов:

• никто не может защитить текстовые сообщения от такого же банального перехвата, как и с токенами;
• приходится выкладывать номер мобильного телефона в Сеть из-за чего может приходить спам;
• процесс аутентификации занимает намного больше времени, чем обычный ввод пароля.

Необходимо ли включать ДФА?

На этот вопрос есть два ответ: и да, и нет. Допустим, вы пользуетесь сервисом обработки фотографий онлайн. Долгая двухслойная проверка каждый раз, когда вы захотите обрезать картинку, будет не самой уместной. Другое дело, когда речь идет об интернет-банкинге, учетных записях сервисов, где вы совершаете покупки, или социальных сетях – такие вещи определенно стоит защищать ДФА.

Кстати, если у вас имеется собственный вебсайт, то включить ДФА лишним не будет в том числе. «Дорогое содержимое» аккаунтов ваших пользователей должно быть надежно защищено от злоумышленников.