Что следует знать о двухфакторной аутентификации

[TheAndrey 16 047]

Использование двухфакторной аутентификации (2FA) - это хороший способ защитить свои аккаунты от получения несанкционированного доступа. Это своего рода ваша «страховка» на случай, если пароль даст слабину.

Существует много методов подтверждения входа в аккаунт. Сегодня мы поговорим о самом простом и доступном всем методе - подтверждение по генерируемому коду (TOTP). Этот метод хорош тем, что работает полностью оффлайн и поэтому бесплатен. Вместе с тем, этот метод требует повышенной ответственности по обеспечению сохранности учётных данных, так как потеря этих данных обернётся невозможностью войти в аккаунт. Обычно, люди столкнувшись с этой проблемой хотя бы раз, навсегда забывают об использовании двухфакторной аутентификации, считая это чем-то сложным, возвращаясь к использованию единственного пароля.

 В этой теме я делюсь своим опытом использования мобильных приложений для генерации кодов. От выбора приложения будет зависеть, как часть вам придётся сталкиваться с проблемами.

 

Google Authenticator – не рекомендуется

Первым в списке идёт, наверное, самое распиаренное приложение для генерации кодов. Оно упоминается чуть ли не в каждом руководстве по настройке 2FA. Данное приложение хорошо выполняет свою задачу, но только до поры, до времени...

Google Authenticator не имеет функций резервного копирования и экспорта данных. Вы рано или поздно столкнётесь с этой проблемой: сброс настроек телефона или поломка; неудачное обновление приложения и др. - это подтверждают многочисленные отзывы.

Использование приложения от Google допускается только при выполнении одного или нескольких условий:

• Вы позаботились о резервных способах входа в каждый аккаунт. Обычно вам предложат сохранить или распечатать резервные коды доступа. В случае RedServer – проверьте актуальность указанного адреса почты, на него можно запросить код.
• При настройке 2FA вы записали секретный ключ. Добавив его вручную в приложение, можно возобновить генерацию кодов.

 Если вам предлагают использовать Google Authenticator – смело игнорируйте. На самом деле, для генерации кодов подойдёт вообще любое приложение, которое поддерживает алгоритм TOTP. Все приложения из списка ниже тоже его реализуют и являются отличной заменой известному аутентификатору.

 Как отказаться от использования Google Authenticator?
Так как приложение не позволяет извлечь сохранённые данные, вам придётся выполнить перенастройку 2FA на каждом из аккаунтов. Сначала отключаете, а потом настраиваете заново уже с использованием другого приложения. Только убедившись, что код для входа в новом приложении подходит, старый можно убирать из GA.

 

 Яндекс.Ключ – оптимально

Это приложение в основном предназначено для пользователей Яндекса, поскольку требуется для настройки 2FA на аккаунте (у Яндекса свой особый метод аутентификации). Стоит отметить, что данное приложение тоже имеет поддержку алгоритма TOTP и пригодно для добавления в него сторонних аккаунтов.

Интересно то, что данное приложение более-менее имеет функцию резервного копирования. Для резервного копирования требуется ввод номера телефона и пароля для шифрования данных. Резервная копия хранится на серверах Яндекса всего 6 месяцев. Эту функцию можно использовать для переноса данных на новый телефон. Недостатком является одно: резервное копирование осуществляется только вручную и поддержка только российских номеров телефона +7.

 

 Twilio Authy – рекомендуем

Пожалуй, самое лучшее из рассмотренных приложений, полностью сосредоточенное на двухфакторной аутентификации для различных сервисов. Из примечательных особенностей: автоматическая синхронизация данных с серверами Twilio (по-сути является резервным копированием), поддержка одновременной работы с несколькими устройствами; различные методы подтверждения входа (например, Push-уведомление).

•  Для использования приложения потребуется регистрация по номеру телефона, а также придумать пароль для шифрования ваших данных. Пароль шифрования ни в коему случае не забывать, иначе данные не восстановить никак - приложение периодически будет напоминать вам об этом.
•  Восстановление данных осуществляется аналогичным образом: вводим номер телефона и потом ранее установленный пароль для расшифровки данных.
•  Приложение умеет работать с несколькими устройствами одновременно (нужно включить опцию в настройках). Достаточно добавить новый аккаунт, как он появится на других. В целом, это значительно повышает надёжность и у вас не возникнет проблем со входом в аккаунт, если одно из устройств сломается - код можно будет получить на другом.

 Насколько это безопасно?
Достаточно. Двухфакторной аутентификация называется неспроста: для входа в аккаунт требуется пароль и код подтверждения. Приложению вы на хранение передаёте только ключ для генерации кодов, сам пароль от вашего аккаунта оно не знает, а одно без другого бесполезно. Кроме того, вас никто не заставляет указывать логины от аккаунтов - все их можно подписать как-угодно, главное чтобы было понятно вам. На генерацию кодов это никак не влияет.

 

 Microsoft Authenticator – рекомендуем

Приложение от всем известной корпорации и производителя «окон». Как и предыдущее, тоже сосредоточено на обеспечении всевозможных методов аутентификации. Кроме кодов 2FA, приложение умеет хранить пароли, если Вы их часто забываете.

 Для работы функции автоматического резервного копирования требуется привязка учётной записи Microsoft.