Двофакторна автентифікація (2FA)

Визначення

💡 Двофакторна автентифікація (2FA): Рівень захисту, який змушує вас двічі підтвердити, що це саме ви, перш ніж отримати доступ до своєї електронної пошти. Уявіть: ім’я користувача та пароль (те, що ви знаєте), плюс код із вашого телефона (те, що ви маєте). По суті, це як охоронець, який перевіряє і ваше посвідчення, і запрошення, перш ніж впустити вас до клубу.

Що робить 2FA?

Ось у чому річ: паролі погано захищають вашу електронну пошту. Їх можуть вгадати, викрасти під час витоку даних або обманом змусити вас віддати їх у фішинговій атаці. І щойно хтось отримує ваш пароль, він уже всередині.

Двофакторна автентифікація вирішує цю проблему, вимагаючи другого підтвердження особи. Навіть якщо хакери викрадуть ваш пароль, вони все одно не зможуть отримати доступ до вашого облікового запису без цього другого фактора (зазвичай це код, надісланий на ваш телефон або згенерований застосунком-автентифікатором). Згідно з дослідженням Google, увімкнення 2FA блокує 100% автоматизованих атак ботів і 96% масових фішингових атак. Зовсім не дрібне покращення.

Для електронної пошти це навіть важливіше, ніж зазвичай. Ваша вхідна скринька — це майстер-ключ до всього іншого. Скидання паролів, фінансові звіти, робочі документи, приватні розмови. Якщо хтось отримає доступ до вашої електронної пошти, він фактично зможе захопити все ваше цифрове життя. Який сенс у надійному паролі, якщо одне фішингове посилання зводить нанівець усе? 2FA — це замок, який справді працює.

Типи 2FA

Для другого фактора є кілька варіантів, і не всі вони однаково безпечні:

SMS-коди — найпоширеніший варіант. Ви вводите пароль, а потім сервіс надсилає на ваш телефон 6-значний код. Просто, працює всюди, але це не найбезпечніший варіант. Навіть близько ні. Хакери можуть перехоплювати SMS-повідомлення через перевипуск SIM-картки або атаки соціальної інженерії на вашого мобільного оператора.

Застосунки-автентифікатори генерують часові коди, що змінюються кожні 30 секунд (саме тому їх називають TOTP-кодами, але не будемо ускладнювати). Застосунки на кшталт Google Authenticator, Authy або Microsoft Authenticator створюють ці коди офлайн, тому їх значно важче викрасти. Саме це більшість фахівців із безпеки рекомендують для захисту вашого поштового акаунта.

Апаратні ключі — це фізичні пристрої (наприклад, YubiKey, приблизно за $25-50), які ви підключаєте до комп’ютера або прикладаєте до телефона. Потрібен найбезпечніший варіант? Ось він. Вони найбезпечніші, бо хакерам буквально нічого перехоплювати. Але цей пристрій треба носити із собою, і якщо ви його загубите, то не зможете увійти, доки не скористаєтеся резервним методом.

Біометрична автентифікація використовує ваш відбиток пальця або обличчя, щоб підтвердити, що це ви. На телефонах це досить зручно, хоча технічно зазвичай такий метод використовують разом з іншим фактором, а не як повну заміну.

Більшість людей починають із SMS-кодів, бо це просто, а потім переходять на застосунки-автентифікатори, коли розуміють, що SMS — не найкращий варіант. Апаратні ключі в основному потрібні людям із підвищеними вимогами до безпеки (журналістам, активістам, керівникам).

Як увімкнути 2FA

Налаштування займає близько п’яти хвилин і трохи відрізняється залежно від провайдера.

У Gmail:

• Перейдіть до налаштувань свого облікового запису Google на myaccount.google.com
• Натисніть Безпека на лівій бічній панелі
• Прокрутіть до Як ви входите в Google і натисніть 2-етапна перевірка
• Натисніть Почати і дотримуйтесь підказок
• Виберіть свій другий фактор (номер телефону для SMS або застосунок-автентифікатор)
• Збережіть резервні коди в безпечному місці на випадок, якщо втратите доступ до телефона

В Outlook:

• Увійдіть у account.microsoft.com
• Натисніть Безпека угорі
• Виберіть параметри Додаткова безпека
• У розділі Двоетапна перевірка натисніть Увімкнути
• Дотримуйтесь майстра налаштування (зазвичай він починається з номера вашого телефона)
• Завантажте застосунок Microsoft Authenticator, якщо натомість хочете використовувати коди в застосунку

У Yahoo Mail:

• Перейдіть на сторінку безпеки свого облікового запису Yahoo
• Натисніть Двоетапна перевірка
• Увімкніть її
• Введіть свій номер телефону для отримання SMS-кодів
• Підтвердьте код, який вам надішлють
• Створіть резервні способи входу на випадок, якщо телефон розрядиться або перестане працювати

У Proton Mail процес трохи інший, адже безпека для них — головне. Вони підтримують TOTP-застосунки-автентифікатори й апаратні ключі, але навмисно не пропонують SMS (бо це менш безпечно).

Найкращі практики

Використовуйте застосунок-автентифікатор, а не SMS. Так, SMS простіше налаштувати. Але й перехопити їх теж простіше. Застосунки-автентифікатори справді безпечніші й майже такі ж зручні, щойно ви їх налаштуєте.

Одразу збережіть резервні коди. Кожен сервіс надає вам набір одноразових кодів, коли ви вмикаєте двофакторну автентифікацію. Зробіть скриншот, роздрукуйте їх, збережіть у менеджері паролів. Як вам зручно. Просто не пропускайте цей крок, бо коли телефон зламається об 11 вечора, вони вам знадобляться.

Увімкніть 2FA і для резервної електронної пошти. Якщо ваш резервний поштовий акаунт не захищений, хакери можуть використати його, щоб скинути пароль і повністю обійти 2FA. Це дещо нівелює сенс.

Зареєструйте кілька пристроїв, якщо це можливо. Більшість сервісів дозволяють налаштувати 2FA на телефоні й планшеті. Зробіть це. Резервування рятує, коли один із пристроїв недоступний.

Не використовуйте всюди той самий другий фактор. Якщо ви всюди використовуєте SMS і хтось зробить перевипуск вашої SIM-картки, то отримає доступ одразу до всіх ваших облікових записів. Комбінуйте. Для важливих облікових записів використовуйте застосунок-автентифікатор, а для менш важливих — SMS.

Регулярно перевіряйте довірені пристрої. Той робочий ноутбук, який ви повернули два роки тому? Він досі у списку ваших довірених пристроїв. Підчищайте це кожні кілька місяців.

Пов’язаний вміст

• Конфіденційність електронної пошти в Spark: усе, що вам потрібно знати
• Spark представляє спільні вхідні для команд

Пов’язані терміни

• Автентифікація електронної пошти
• Фішинговий лист
• Сертифікат електронної пошти
• Поштовий акаунт