Що таке двофакторна автентифікація і навіщо вона потрібна

Двофакторна автентифікація потрібна, бо сам пароль уже не втримує зловмисників. Паролі витікають у мережу через зломи сайтів, фішинг і шкідливі програми, а другий крок входу — код із застосунку, апаратний ключ чи відбиток пальця — закриває цю діру. За даними Microsoft, подвійна перевірка зупиняє понад 99,9 % атак на облікові записи.

Двофакторна автентифікація (2FA) — це метод захисту облікових записів, який вимагає підтвердити вхід двома різними типами доказів, наприклад паролем і одноразовим кодом, тому викрадення лише одного з них не дає зловмиснику доступу.

Другий фактор давно входить до базових правил безпеки в інтернеті — поруч із надійними паролями й регулярними оновленнями програм. Навіть коли пароль уже в чужих руках, акаунт лишається недоступним.

Як працює двофакторна автентифікація

Сервіс перевіряє два незалежні докази того, що входите саме ви, і ці докази мусять бути різної природи. Національний інститут стандартів і технологій США (NIST) поділяє їх на три групи, а справжня двофакторність — поєднання доказів із двох різних груп, не два паролі поспіль.

  • Фактор знання — те, що ви пам’ятаєте: пароль або PIN-код.
  • Фактор володіння — те, що фізично у вас: смартфон із застосунком-генератором, апаратний ключ.
  • Біометрія — те, чим ви є: відбиток пальця, обличчя чи голос.

На практиці все триває секунд десять: вводите пароль, сервіс просить другий крок — шестизначний код, підтвердження у сповіщенні або дотик до ключа. Зловмисник, який виловив ваш пароль на фішинговому сайті, застрягає саме тут, бо вашого телефона в нього немає.

Другий фактор не скасовує перший: пароль однаково має бути довгим і неповторюваним для кожного сайту. Створювати й зберігати такі комбінації найзручніше через менеджер паролів — багато з них уміють ще й генерувати одноразові коди для другого кроку.

Які бувають другі фактори

Другим фактором найчастіше слугує SMS-код, код із застосунку-генератора, push-сповіщення або апаратний ключ безпеки. Відрізняються вони не так зручністю, як тим, які атаки здатні витримати.

Застосунки-генератори — Google Authenticator, Microsoft Authenticator та подібні — працюють за відкритим стандартом TOTP, ухваленим ще 2011 року: код обчислюється із секретного ключа й поточного часу та змінюється кожні 30 секунд. Інтернет для цього не потрібен, тож коди з’являються навіть без зв’язку.

Push-сповіщення влаштовані ще простіше: під час входу на смартфон приходить запит «Це ви входите?» з кнопками підтвердити чи відхилити. Перехоплювати тут нічого — але захист працює, лише поки ви читаєте запити, а не тиснете «підтвердити» на автоматі.

Найстійкіший варіант — апаратні ключі та passkeys за стандартом WebAuthn, який консорціум W3C затвердив 2019 року. Такий ключ криптографічно прив’язаний до справжньої адреси сайту, тому на фішинговій копії він просто не спрацює: виманити код тут нема як, бо коду не існує.

Наскільки різні методи тримають удар, показало спільне дослідження Google, Нью-Йоркського університету та Каліфорнійського університету в Сан-Дієго (2019) — понад 350 тисяч реальних спроб злому. У таблиці — частка атак, які метод зупинив.

Другий фактор Автоматичні боти Масовий фішинг Цільові атаки
SMS-код 100 % 96 % 76 %
Push-сповіщення на пристрої 100 % 99 % 90 %

Дані: дослідження Google, 2019. Апаратні ключі в таблицю не потрапили — окремих відсотків для них автори не наводять, але зауважують, що серед користувачів, які покладалися лише на ключі, жертв цільового фішингу не виявилося жодної.

Наскільки це справді захищає

Проти масових атак захист майже абсолютний. Ті самі 99,9 % від Microsoft — не рекламний слоган, а підрахунок 2019 року, і свіжіше дослідження компанії, вже 2023 року й на реальних даних, його підтвердило:

  • увімкнена перевірка другим фактором знижує ризик зламу акаунта на 99,22 %;
  • навіть коли пароль уже витік у мережу — на 98,56 %.

Чому цифри такі високі? Переважна більшість зломів — автоматизовані. Боти цілодобово перебирають паролі з витеклих баз, і будь-який другий фактор робить цю тактику марною — навіть звичайний SMS-код відсікає таких ботів повністю.

Стовідсоткової гарантії, втім, не існує. Проти цілеспрямованого нападу на конкретну людину SMS зупиняє лише 76 % спроб, тож для найцінніших акаунтів варто обирати сильніші методи — генератор кодів або апаратний ключ.

Чому SMS — найслабша ланка

Бо SMS-код прив’язаний не до вашого телефона, а до номера, який можна вкрасти дистанційно. Атака зветься SIM swap: шахрай переконує оператора перевипустити нібито загублену SIM-картку або переносить номер до іншого оператора — і всі ваші коди приходять уже йому.

Саме через це NIST у настановах SP 800-63B відніс одноразові коди через SMS і телефонні дзвінки до окремої категорії «обмежених» методів. Українська урядова команда CERT-UA так само не радить робити SMS основним другим фактором і пропонує натомість генератор кодів чи апаратний ключ.

Це не означає, що SMS-захист марний: він набагато кращий за сам лише пароль. Коли сервіс не пропонує нічого іншого — вмикайте SMS без вагань, а сильніший метод додасте, щойно з’явиться можливість.

Як увімкнути двофакторний захист

У більшості сервісів усе вмикається за кілька хвилин у розділі безпеки. CERT-UA 2024 року опублікувала покрокові інструкції для Telegram, Signal, WhatsApp, Viber, Google і Facebook — двоетапна перевірка є в кожному з них.

  1. Відкрийте налаштування акаунта — розділ «Безпека», «Вхід» або «Конфіденційність».
  2. Знайдіть пункт «Двофакторна автентифікація» і виберіть спосіб — за можливості застосунок-генератор.
  3. Відскануйте QR-код застосунком і введіть перший згенерований код для підтвердження.
  4. Збережіть резервні коди відновлення окремо від телефона — підійде роздруківка або менеджер паролів.

Один такий застосунок обслуговує скільки завгодно сервісів одразу, тож заводити окремий під кожен сайт не доведеться — усі коди житимуть на одному екрані.

Резервні коди — не формальність, і CERT-UA окремо наголошує створювати їх одразу під час налаштування. Загубите телефон — саме вони повернуть доступ до акаунта без довгого листування зі службою підтримки.

З чого почати? З поштової скриньки. На неї зав’язане відновлення паролів решти сервісів, тому для зловмисника вона — головний приз. Далі — месенджери, соцмережі, хмарні сховища й робочі акаунти.

Типові помилки з другим фактором

Найбільше шкоди завдають не хитрощі зловмисників, а власні недогляди. Ось три найпоширеніші.

  • Резервні коди лежать у нотатках того самого телефона, що й генератор: загубили пристрій — втратили все разом.
  • Push-запити підтверджуються механічно. Прийшло сповіщення про вхід, якого ви не робили, — отже, пароль уже викрадено: відхиліть запит і негайно змініть його.
  • Захист увімкнено лише там, де сервіс вимагав, а пошта, через яку відновлюються всі інші паролі, лишилася із самим лише паролем.

Двофакторна автентифікація — той рідкісний випадок у цифровій безпеці, коли кілька хвилин налаштувань відсікають понад дев’яносто дев’ять зі ста масових атак. Решта — справа звички читати запити на вхід, а не підтверджувати їх наосліп.

Про автора
Богдан Лисенко
Богдан допомагає людям почуватися впевнено серед технологій. Пише про цифрові навички та захист приватності простою мовою: як не втратити гроші на шахраях, налаштувати паролі та зрозуміти, куди йдуть твої дані. Вважає, що безпека в мережі — це звички, а не магія, і терпляче пояснює кожен крок так, ніби допомагає сусідові налаштувати телефон.