Двухфакторная аутентификация нужна потому, что один пароль злоумышленников уже не останавливает. Пароли утекают в сеть при взломах сайтов, через фишинг и вредоносные программы, а второй шаг входа — код из приложения, аппаратный ключ или отпечаток пальца — закрывает эту брешь. По данным Microsoft, двойная проверка блокирует более 99,9 % атак на учётные записи.
Двухфакторная аутентификация (2FA) — это способ защиты учётных записей, при котором вход подтверждается двумя доказательствами разного типа, например паролем и одноразовым кодом, поэтому кража одного из них не открывает злоумышленнику доступ.
Второй фактор давно входит в базовые правила безопасности в интернете — наряду с надёжными паролями и регулярными обновлениями программ. Даже если пароль уже в чужих руках, аккаунт остаётся недоступным.
Как работает двухфакторная аутентификация
Сервис проверяет два независимых доказательства того, что входите именно вы, причём доказательства должны быть разной природы. Национальный институт стандартов и технологий США (NIST) делит их на три группы, и настоящая двухфакторность — это сочетание доказательств из двух разных групп, а не два пароля подряд.
- Фактор знания — то, что вы помните: пароль или PIN-код.
- Фактор владения — то, что физически при вас: смартфон с приложением-генератором, аппаратный ключ.
- Биометрия — то, чем вы являетесь: отпечаток пальца, лицо или голос.
На практике всё занимает секунд десять: вводите пароль, сервис запрашивает второй шаг — шестизначный код, подтверждение в уведомлении или касание ключа. Злоумышленник, выудивший ваш пароль на фишинговом сайте, застревает именно здесь: вашего телефона у него нет.
Второй фактор не отменяет первый: пароль по-прежнему должен быть длинным и уникальным для каждого сайта. Создавать и хранить такие комбинации удобнее всего через менеджер паролей — многие из них умеют заодно генерировать одноразовые коды для второго шага.
Какими бывают вторые факторы
Чаще всего вторым фактором служит SMS-код, код из приложения-генератора, push-уведомление или аппаратный ключ безопасности. Различаются они не столько удобством, сколько тем, какие атаки способны выдержать.
Приложения-генераторы — Google Authenticator, Microsoft Authenticator и им подобные — работают по открытому стандарту TOTP, принятому ещё в 2011 году: код вычисляется из секретного ключа и текущего времени и меняется каждые 30 секунд. Интернет для этого не нужен, поэтому коды появляются даже без связи.
Push-уведомления устроены ещё проще: при входе на смартфон приходит запрос «Это вы входите?» с кнопками подтвердить или отклонить. Перехватывать здесь нечего — но защита работает, лишь пока вы читаете запросы, а не жмёте «подтвердить» на автомате.
Самый стойкий вариант — аппаратные ключи и passkeys по стандарту WebAuthn, который консорциум W3C утвердил в 2019 году. Такой ключ криптографически привязан к настоящему адресу сайта, поэтому на фишинговой копии он просто не сработает: выманивать код бесполезно — кода не существует.
Насколько разные методы держат удар, показало совместное исследование Google, Нью-Йоркского университета и Калифорнийского университета в Сан-Диего (2019) — более 350 тысяч реальных попыток взлома. В таблице — доля атак, которые метод остановил.
| Второй фактор | Автоматические боты | Массовый фишинг | Целевые атаки |
|---|---|---|---|
| SMS-код | 100 % | 96 % | 76 % |
| Push-уведомление на устройстве | 100 % | 99 % | 90 % |
Данные: исследование Google, 2019. Аппаратные ключи в таблицу не попали — отдельных процентов для них авторы не приводят, но отмечают: среди пользователей, полагавшихся только на ключи, жертв целевого фишинга не оказалось вовсе.
Насколько это действительно защищает
От массовых атак защита почти абсолютная. Те самые 99,9 % от Microsoft — не рекламный лозунг, а подсчёт 2019 года, и более свежее исследование компании, уже 2023 года и на реальных данных, его подтвердило:
- включённая проверка вторым фактором снижает риск взлома аккаунта на 99,22 %;
- даже если пароль уже утёк в сеть — на 98,56 %.
Откуда такие высокие цифры? Подавляющее большинство взломов автоматизировано. Боты круглосуточно перебирают пароли из утёкших баз, и любой второй фактор делает эту тактику бессмысленной — даже обычный SMS-код отсекает таких ботов полностью.
Стопроцентной гарантии, впрочем, не бывает. Против целенаправленного нападения на конкретного человека SMS останавливает лишь 76 % попыток, поэтому для самых ценных аккаунтов лучше выбирать методы посильнее — генератор кодов или аппаратный ключ.
Почему SMS — самое слабое звено
Потому что SMS-код привязан не к вашему телефону, а к номеру, который можно украсть дистанционно. Атака называется SIM swap: мошенник убеждает оператора перевыпустить якобы утерянную SIM-карту или переносит номер к другому оператору — и все ваши коды приходят уже ему.
Именно поэтому NIST в руководстве SP 800-63B отнёс одноразовые коды по SMS и телефонным звонкам к отдельной категории «ограниченных» методов. Украинская правительственная команда CERT-UA тоже не советует делать SMS основным вторым фактором и предлагает вместо него генератор кодов или аппаратный ключ.
Это не значит, что SMS-защита бесполезна: она заметно надёжнее одного лишь пароля. Если сервис не предлагает ничего другого — включайте SMS без колебаний, а метод посильнее добавите, как только появится возможность.
Как включить двухфакторную защиту
В большинстве сервисов всё включается за несколько минут в разделе безопасности. CERT-UA в 2024 году опубликовала пошаговые инструкции для Telegram, Signal, WhatsApp, Viber, Google и Facebook — двухэтапная проверка есть в каждом из них.
- Откройте настройки аккаунта — раздел «Безопасность», «Вход» или «Конфиденциальность».
- Найдите пункт «Двухфакторная аутентификация» и выберите способ — по возможности приложение-генератор.
- Отсканируйте QR-код приложением и введите первый сгенерированный код для подтверждения.
- Сохраните резервные коды восстановления отдельно от телефона — подойдёт распечатка или менеджер паролей.
Одно такое приложение обслуживает сколько угодно сервисов сразу, так что заводить отдельное под каждый сайт не придётся — все коды будут жить на одном экране.
Резервные коды — не формальность: CERT-UA отдельно напоминает создавать их сразу при настройке. Потеряете телефон — именно они вернут доступ к аккаунту без долгой переписки со службой поддержки.
С чего начать? С почтового ящика. К нему привязано восстановление паролей остальных сервисов, поэтому для злоумышленника это главный приз. Дальше — мессенджеры, соцсети, облачные хранилища и рабочие аккаунты.
Типичные ошибки со вторым фактором
Больше всего вреда приносят не уловки злоумышленников, а собственные недосмотры. Вот три самые распространённые.
- Резервные коды лежат в заметках того же телефона, что и генератор: потеряли устройство — лишились всего разом.
- Push-запросы подтверждаются машинально. Пришло уведомление о входе, которого вы не совершали, — значит, пароль уже украден: отклоните запрос и немедленно смените его.
- Защита включена только там, где сервис настаивал, а почта, через которую восстанавливаются все остальные пароли, осталась с одним лишь паролем.
Двухфакторная аутентификация — тот редкий случай в цифровой безопасности, когда несколько минут настройки отсекают больше девяноста девяти из ста массовых атак. Остальное — дело привычки читать запросы на вход, а не подтверждать их вслепую.
