Что такое двухфакторная аутентификация и зачем она нужна

Двухфакторная аутентификация нужна потому, что один пароль злоумышленников уже не останавливает. Пароли утекают в сеть при взломах сайтов, через фишинг и вредоносные программы, а второй шаг входа — код из приложения, аппаратный ключ или отпечаток пальца — закрывает эту брешь. По данным Microsoft, двойная проверка блокирует более 99,9 % атак на учётные записи.

Двухфакторная аутентификация (2FA) — это способ защиты учётных записей, при котором вход подтверждается двумя доказательствами разного типа, например паролем и одноразовым кодом, поэтому кража одного из них не открывает злоумышленнику доступ.

Второй фактор давно входит в базовые правила безопасности в интернете — наряду с надёжными паролями и регулярными обновлениями программ. Даже если пароль уже в чужих руках, аккаунт остаётся недоступным.

Как работает двухфакторная аутентификация

Сервис проверяет два независимых доказательства того, что входите именно вы, причём доказательства должны быть разной природы. Национальный институт стандартов и технологий США (NIST) делит их на три группы, и настоящая двухфакторность — это сочетание доказательств из двух разных групп, а не два пароля подряд.

  • Фактор знания — то, что вы помните: пароль или PIN-код.
  • Фактор владения — то, что физически при вас: смартфон с приложением-генератором, аппаратный ключ.
  • Биометрия — то, чем вы являетесь: отпечаток пальца, лицо или голос.

На практике всё занимает секунд десять: вводите пароль, сервис запрашивает второй шаг — шестизначный код, подтверждение в уведомлении или касание ключа. Злоумышленник, выудивший ваш пароль на фишинговом сайте, застревает именно здесь: вашего телефона у него нет.

Второй фактор не отменяет первый: пароль по-прежнему должен быть длинным и уникальным для каждого сайта. Создавать и хранить такие комбинации удобнее всего через менеджер паролей — многие из них умеют заодно генерировать одноразовые коды для второго шага.

Какими бывают вторые факторы

Чаще всего вторым фактором служит SMS-код, код из приложения-генератора, push-уведомление или аппаратный ключ безопасности. Различаются они не столько удобством, сколько тем, какие атаки способны выдержать.

Приложения-генераторы — Google Authenticator, Microsoft Authenticator и им подобные — работают по открытому стандарту TOTP, принятому ещё в 2011 году: код вычисляется из секретного ключа и текущего времени и меняется каждые 30 секунд. Интернет для этого не нужен, поэтому коды появляются даже без связи.

Push-уведомления устроены ещё проще: при входе на смартфон приходит запрос «Это вы входите?» с кнопками подтвердить или отклонить. Перехватывать здесь нечего — но защита работает, лишь пока вы читаете запросы, а не жмёте «подтвердить» на автомате.

Самый стойкий вариант — аппаратные ключи и passkeys по стандарту WebAuthn, который консорциум W3C утвердил в 2019 году. Такой ключ криптографически привязан к настоящему адресу сайта, поэтому на фишинговой копии он просто не сработает: выманивать код бесполезно — кода не существует.

Насколько разные методы держат удар, показало совместное исследование Google, Нью-Йоркского университета и Калифорнийского университета в Сан-Диего (2019) — более 350 тысяч реальных попыток взлома. В таблице — доля атак, которые метод остановил.

Второй фактор Автоматические боты Массовый фишинг Целевые атаки
SMS-код 100 % 96 % 76 %
Push-уведомление на устройстве 100 % 99 % 90 %

Данные: исследование Google, 2019. Аппаратные ключи в таблицу не попали — отдельных процентов для них авторы не приводят, но отмечают: среди пользователей, полагавшихся только на ключи, жертв целевого фишинга не оказалось вовсе.

Насколько это действительно защищает

От массовых атак защита почти абсолютная. Те самые 99,9 % от Microsoft — не рекламный лозунг, а подсчёт 2019 года, и более свежее исследование компании, уже 2023 года и на реальных данных, его подтвердило:

  • включённая проверка вторым фактором снижает риск взлома аккаунта на 99,22 %;
  • даже если пароль уже утёк в сеть — на 98,56 %.

Откуда такие высокие цифры? Подавляющее большинство взломов автоматизировано. Боты круглосуточно перебирают пароли из утёкших баз, и любой второй фактор делает эту тактику бессмысленной — даже обычный SMS-код отсекает таких ботов полностью.

Стопроцентной гарантии, впрочем, не бывает. Против целенаправленного нападения на конкретного человека SMS останавливает лишь 76 % попыток, поэтому для самых ценных аккаунтов лучше выбирать методы посильнее — генератор кодов или аппаратный ключ.

Почему SMS — самое слабое звено

Потому что SMS-код привязан не к вашему телефону, а к номеру, который можно украсть дистанционно. Атака называется SIM swap: мошенник убеждает оператора перевыпустить якобы утерянную SIM-карту или переносит номер к другому оператору — и все ваши коды приходят уже ему.

Именно поэтому NIST в руководстве SP 800-63B отнёс одноразовые коды по SMS и телефонным звонкам к отдельной категории «ограниченных» методов. Украинская правительственная команда CERT-UA тоже не советует делать SMS основным вторым фактором и предлагает вместо него генератор кодов или аппаратный ключ.

Это не значит, что SMS-защита бесполезна: она заметно надёжнее одного лишь пароля. Если сервис не предлагает ничего другого — включайте SMS без колебаний, а метод посильнее добавите, как только появится возможность.

Как включить двухфакторную защиту

В большинстве сервисов всё включается за несколько минут в разделе безопасности. CERT-UA в 2024 году опубликовала пошаговые инструкции для Telegram, Signal, WhatsApp, Viber, Google и Facebook — двухэтапная проверка есть в каждом из них.

  1. Откройте настройки аккаунта — раздел «Безопасность», «Вход» или «Конфиденциальность».
  2. Найдите пункт «Двухфакторная аутентификация» и выберите способ — по возможности приложение-генератор.
  3. Отсканируйте QR-код приложением и введите первый сгенерированный код для подтверждения.
  4. Сохраните резервные коды восстановления отдельно от телефона — подойдёт распечатка или менеджер паролей.

Одно такое приложение обслуживает сколько угодно сервисов сразу, так что заводить отдельное под каждый сайт не придётся — все коды будут жить на одном экране.

Резервные коды — не формальность: CERT-UA отдельно напоминает создавать их сразу при настройке. Потеряете телефон — именно они вернут доступ к аккаунту без долгой переписки со службой поддержки.

С чего начать? С почтового ящика. К нему привязано восстановление паролей остальных сервисов, поэтому для злоумышленника это главный приз. Дальше — мессенджеры, соцсети, облачные хранилища и рабочие аккаунты.

Типичные ошибки со вторым фактором

Больше всего вреда приносят не уловки злоумышленников, а собственные недосмотры. Вот три самые распространённые.

  • Резервные коды лежат в заметках того же телефона, что и генератор: потеряли устройство — лишились всего разом.
  • Push-запросы подтверждаются машинально. Пришло уведомление о входе, которого вы не совершали, — значит, пароль уже украден: отклоните запрос и немедленно смените его.
  • Защита включена только там, где сервис настаивал, а почта, через которую восстанавливаются все остальные пароли, осталась с одним лишь паролем.

Двухфакторная аутентификация — тот редкий случай в цифровой безопасности, когда несколько минут настройки отсекают больше девяноста девяти из ста массовых атак. Остальное — дело привычки читать запросы на вход, а не подтверждать их вслепую.

Об авторе
Богдан Лисенко
Богдан помогает людям чувствовать себя уверенно среди технологий. Пишет о цифровых навыках и защите приватности простым языком: как не потерять деньги на мошенниках, настроить пароли и понять, куда идут твои данные. Считает, что безопасность в сети — это привычки, а не магия, и терпеливо объясняет каждый шаг так, будто помогает соседу настроить телефон.