Многофакторная аутентификация Как включить 2FA и повысить безопасность
Многофакторная аутентификация активируем 2FA и повышаем безопасность
Вы находитесь всего в одном шаге от того, чтобы ваша онлайн-жизнь перевернулась с ног на голову. Проблема в паролях, которые являются неудачным способом обеспечения безопасности ценных ресурсов.
Специальный раздел
Лучшие практики кибербезопасности для защиты ваших цифровых активов
Признайтесь себе: Ваши личные и деловые данные подвергаются угрозе 24/7 — и сохранять защиту этих цифровых активов при покупках, банкинге и онлайн-развлечениях остается главной задачей. И вот хорошие новости: Чем когда-либо доступнее становятся инструменты и стратегии, направленные на обеспечение безопасности. Практические советы по кибербезопасности от ENBLE предоставляют практические советы, чтобы оставаться в безопасности и быть продуктивными уже сегодня, несмотря на постоянно эволюционирующую угрозу завтра.
Не позволяйте себе успокоиться ложным чувством безопасности, уверенностью в том, что создание более длинного, сложного и трудноугадываемого пароля somehow защитит вас онлайн. Вы можете создать пароль, который настолько длинный и сложный, что понадобится пять минут, чтобы его набрать, но это ничего не изменит, если сервис, где вы используете этот пароль, неправильно его хранит, а затем сервер этого сервиса подвергается взлому. Это происходит постоянно.
Даже при разумных политиках, обеспечивающих сильные, случайно сгенерированные и непереиспользуемые пароли, люди остаются самым слабым звеном в цепи безопасности. Социальная инженерия может убедить даже умных людей ввести свои учетные данные на фишинговом сайте или передать их по телефону.
Также: Лучшие менеджеры паролей, чтобы избежать проблем с авторизацией
- Обзор Apple Watch Ultra 2 почему я думаю, что вам это понравится | ...
- Обзор Intel Core i9-14900K и Core i5-14600K промежуточные процессор...
- Обзор Lenovo Legion 9i Ноутбук RTX 4090, установивший мировой рекорд
Решение заключается в двухфакторной аутентификации, также известной как 2FA. (Некоторые сервисы, придерживаясь подробностей, называют ее многокритериальной аутентификацией или двухэтапной проверкой, но термин 2FA является наиболее распространенным, поэтому в дальнейшем я буду использовать именно его.)
Включение 2FA для сервиса изменяет требования к безопасности, заставляя вас предоставить по крайней мере два доказательства личности при доступе к защищенному сервису. Эти две формы аутентификации могут быть представлены любой комбинацией по крайней мере двух из следующих элементов:
- «Что-то, что вы знаете», например, пароль или PIN-код
- «Что-то, что вы являетесь», такое как отпечаток пальца или другой биометрический идентификатор
- «Что-то, что у вас есть», например, доверенный смартфон, который может генерировать или получать коды подтверждения, или устройство безопасности на основе аппаратных средств
Если кто-то украдет ваш пароль и попытается войти с неизвестного устройства, то ему потребуется предоставить второе подтверждение личности, обычно в виде цифрового кода. Если запрос на вход пришел от человека, который украл мои учетные данные, его тут же остановят. Без этого кода они не смогут продолжить процесс входа в систему.
Также: Что такое паскей? Волшебство отказа от использования паролей
В основном системы двухфакторной аутентификации, которые вы видите сегодня, используют первый элемент (ваш пароль) и последний элемент (ваш смартфон). Смартфоны стали повсеместно распространены, что делает их идеальными средствами безопасности.
Ваш смартфон может помочь вам в аутентификации, предоставляя уникальный код, который вы используете вместе с паролем для входа в систему. Вы можете получить этот код одним из двух способов: отсылкой в виде текстового сообщения от сервиса или генерацией приложением, установленным на вашем телефоне. (Некоторые сервисы также позволяют вам подтвердить уведомление на вашем смартфоне.)
Отчет от Microsoft заключает, что двухфакторная аутентификация (2FA) работает, блокируя 99.9% автоматических атак. Если провайдер услуг поддерживает многофакторную аутентификацию, Microsoft рекомендует использовать ее, даже если это простая SMS-парольная одноразовая аутентификация. Отдельный отчет от Google пришел к подобным выводам.
Также: Прекратите использовать встроенный менеджер паролей в вашем браузере. Вот почему
Двухфакторная аутентификация остановит большинство случайных атак. Однако она не является идеальной. Решительный злоумышленник, направленный на конкретную учетную запись, может найти способы обойти ее, особенно если он может завладеть электронной почтой, используемой для восстановления пароля, или перенаправить звонки и SMS-сообщения на устройство, которым он управляет. Но если кто-то настолько настроен на взлом вашей учетной записи, то у вас есть более серьезная проблема.
Готовы приступить? Для настройки дополнительной безопасности для большинства онлайн-сервисов требуются минимальные технические навыки. Если вы можете использовать камеру своего смартфона, набрать шестизначный номер и нажать OK в диалоговом окне, у вас есть все необходимые навыки. Самая сложная часть работы заключается в поиске страницы с соответствующими настройками.
Вот все, что вам нужно знать о том, как включить 2FA, чтобы повысить вашу безопасность.
Как настроить 2FA с использованием мобильного телефона или электронной почты?
Если вы используете SMS-сообщения, все, что вам нужно сделать, это связать номер мобильного телефона с вашей учетной записью. (Вы также можете использовать виртуальную телефонную линию, например, номер Google Voice, который может получать SMS-сообщения.) Настройте учетную запись на отправку кода на этот номер каждый раз, когда вы входите с недоверенного устройства. На приведенном ниже скриншоте показано, как выглядит эта опция в онлайн-платформе для перевода денег Wise.
Самый простой способ 2FA – код, отправляемый в SMS-сообщении на зарегистрированный телефон. Это страница настройки 2FA для платежной системы Wise.
При настройке этой формы 2FA на учетной записи в первый раз вам обычно потребуется повторно ввести пароль, а затем ввести номер телефона, на который вы хотите получать коды аутентификации. После завершения этого процесса вы получите код на этом устройстве. Введите код, чтобы подтвердить, что вы его получили, и установка 2FA будет завершена, а служба пометит это устройство как доверенное. (Это также хорошее время для генерации кода для восстановления, его печати и хранения в безопасном месте, чтобы вы могли восстановить его, если ваш основной метод 2FA будет недоступен.)
Также: 6 простых правил кибербезопасности, которые вы можете применить сейчас
Некоторые сервисы позволяют вам настроить доверенный адрес электронной почты для получения кодов аутентификации. Процесс идентичен использованию текстовых сообщений. Введите ваш предпочтительный адрес электронной почты, подождите, пока код придет в приложение для электронной почты, и введите код, чтобы подтвердить, что этот метод работает.
Как настроить 2FA с помощью приложения аутентификатора?
Чтобы настроить приложение аутентификатора как доверенное устройство, вам сначала нужно доказать, что вы можете войти в службу, используя свой пароль, а затем доказать, что вы – это вы на доверенном устройстве, используя биометрию или PIN-код.
Для этого первоначального процесса настройки требуется подключение к данным. После этого все происходит на вашем устройстве. Процесс регулируется хорошо известным стандартом – алгоритмом одноразовых паролей на основе времени (TOTP), который использует приложение аутентификатора как сложный калькулятор, генерирующий коды, используя текущее время на вашем устройстве и общий секрет. Онлайн-сервис использует тот же секрет и собственную отметку времени, чтобы генерировать коды, которые сравниваются с вашим вводом. Обе стороны подключения могут корректировать часовые пояса без проблем, хотя ваши коды сломаются, если время на вашем устройстве неверное.
Чтобы начать, вам сначала нужно установить приложение аутентификатора на мобильное устройство, которое вы хотите использовать в качестве вашего второго фактора аутентификации. Вот несколько приложений аутентификатора, которые вам следует рассмотреть:
- Если у вас есть устройство iOS, вы можете получить приложение Google Authenticator из App Store. (Оно оптимизировано для использования на iPhone, но также должно работать на iPad.) На устройствах Android установите приложение Google Authenticator из Google Play Store.
- Приложение Microsoft Authenticator, которое использует тот же стандарт для создания аутентификационных токенов, доступно для Android-устройств из Google Play Store и для iOS-устройств из App Store.
- Twilio Authy также доступен из App Store и из Google Play Store.
- Если вы используете 1Password в качестве менеджера паролей, поддержка 2FA встроена в приложение 1Password на всех платформах. Инструкции по использованию функции One-Time Password см. на странице поддержки 1Password. Популярный вариант с открытым исходным кодом, Bitwarden, предлагает аналогичные функции.
И еще: Как использовать Microsoft Authenticator в качестве менеджера паролей
После установки приложения на ваше устройство, следующим шагом является его настройка для работы с каждой учетной записью, где вы включили 2FA.
Процесс настройки обычно требует ввода общего секрета (длинной текстовой строки) с помощью мобильного приложения. Все вышеперечисленные мобильные приложения поддерживают использование камеры смартфона для снятия QR-кода, содержащего общий секрет вашей учетной записи. Это гораздо проще, чем вводить сложную алфавитно-цифровую строку вручную.
Например, на скриншоте ниже отображен QR-код, который я увидел при настройке учетной записи Dropbox.
В вашем мобильном приложении выберите опцию добавления новой учетной записи, затем сделайте снимок штрих-кода, чтобы автоматически настроить поддержку 2FA.
В вашем аутентификаторе выберите опцию добавления новой учетной записи, выберите опцию штрих-кода, направьте смартфон на штрих-код на экране вашего компьютера и дождитесь заполнения необходимых полей приложением.
После настройки учетной записи в приложении аутентификатора, оно начинает генерировать коды на основе общего секрета и текущего времени. Для завершения процесса настройки введите текущий код из приложения аутентификатора.
И еще: Лучшие VPN-сервисы, протестированные и обзорные
В следующий раз, когда вы попытаетесь войти с нового устройства или веб-браузера, вам потребуется ввести текущий код, отображаемый приложением аутентификатора.
Некоторые настройки 2FA включают опцию генерации специальных паролей приложений для использования с устаревшими приложениями, которые не поддерживают современную аутентификацию. Настройки безопасности вашей учетной записи должны провести вас через этот процесс. (Но на самом деле, если вы используете такое устаревшее приложение, которое требует пароль приложения, вы живете в эпоху плейстоцена и вам следует заменить его современной альтернативой.)
В рамках процесса настройки 2FA вам также следует сгенерировать один или несколько кодов восстановления, которые можно распечатать и хранить в надежном месте. Если ваш смартфон потерян или поврежден, вы сможете использовать эти коды для восстановления доступа к вашей учетной записи.
Как перенести учетные записи 2FA на новый смартфон?
Если вы используете SMS-сообщения в качестве второго фактора аутентификации, перенос вашего номера на новый телефон автоматически перенесет вашу настройку 2FA.
И еще: Лучшие телефоны, которые вы можете купить прямо сейчас
Некоторые приложения аутентификаторов позволяют генерировать коды на нескольких устройствах. 1Password и Authy попадают в эту категорию. Настройте приложение на новом телефоне, установите приложение, войдите в систему, а затем проверьте каждую учетную запись, чтобы убедиться, что коды, сгенерированные на новом телефоне, работают правильно. Microsoft Authenticator позволяет резервировать коды в облаке и восстанавливать их на новом устройстве. Пошаговые инструкции см. в статье “Резервное копирование и восстановление учетных данных учетной записи в приложении аутентификатора“. Authy также предлагает подобную функцию.
Однако для Google Authenticator и других приложений без особых функций вам придется вручную создавать каждую учетную запись на новом устройстве. Установите приложение аутентификатора на новое устройство и повторите процесс настройки для каждой учетной записи, которую вы использовали на старом телефоне. Настройка учетной записи в новом приложении аутентификатора автоматически отключает коды, генерируемые старым устройством.
Не неудобно ли активировать 2FA?
Включение 2FA для сервиса изменяет требования безопасности, заставляя вас предоставить как минимум два документа, подтверждающих вашу личность, при первом доступе к защищенному сервису на неизвестном устройстве. После успешного прохождения этой проверки, обычно есть возможность пометить устройство как доверенное, что означает, что запросы 2FA должны быть относительно редкими на устройствах, которыми вы регулярно пользуетесь.
Большинство (но не все) сервисы, поддерживающие 2FA, предлагают выбор методов аутентификации. Например, Google и Microsoft могут отправлять уведомления на доверенное устройство, где вы подтверждаете вход по нажатию на уведомление. Все больше сервисов поддерживают использование аппаратных ключей безопасности (см: Обзор YubiKey: аппаратная 2FA более безопасна, но будьте осторожны с этими подводными камнями.)
Какой метод аутентификации лучше?
Лучший метод аутентификации – тот, с которым вы чувствуете себя наиболее комфортно, если у вас вообще есть выбор. По возможности, следует настроить как минимум два варианта верификации, чтобы избежать риска блокировки учетной записи.
Когда у меня есть выбор, я предпочитаю использовать приложение-аутентификатор, а не получать коды через текстовое сообщение, и вы тоже должны, по двум веским причинам. Первая причина – это вопрос простой логистики. Бывают моменты, когда у вас есть доступ к интернету (через подключение ENBLE или Wi-Fi), но вы не можете получать текстовые сообщения из-за слабого или отсутствующего сигнала мобильной связи или использования другой SIM-карты во время путешествия. Вторая причина – это небольшой, но реальный шанс того, что злоумышленник сможет получить SIM-карту с вашим номером телефона путем социальной инженерии, процесс, называемый SIM-свопинг или сим-джекинг.
Также: 5 быстрых советов, чтобы усилить безопасность вашего Android-телефона уже сегодня
Самым популярным приложением для двухфакторной аутентификации является Google Authenticator, которое доступно на iOS и Android. Но так как процесс генерации безопасных токенов основан на открытых стандартах, существует множество альтернатив! Одна из самых рекомендуемых альтернатив – Authy, бесплатное кросс-платформенное приложение-аутентификатор, позволяющее управлять кодами на нескольких устройствах с возможностью резервного копирования и синхронизации этих учетных данных.
Или, возможно, вам вообще не нужно отдельное приложение-аутентификатор. Все больше менеджеров паролей, таких как Bitwarden и 1Password, предлагают возможность генерировать коды для двухфакторной аутентификации и синхронизировать их вместе с хранилищем паролей.
Если вы предпочитаете, вы также можете смешивать и сочетать приложения-аутентификаторы на доверенном устройстве. Я использую 1Password для сохранения как паролей, так и кодов двухфакторной аутентификации для большинства сайтов и сервисов, что делает процесс входа еще более безупречным. Однако, для учетных записей с высокой ценностью, включая коды верификации для установки 1Password на новом устройстве, я использую отдельное приложение Microsoft Authenticator. Здесь я подробно рассказываю о ваших вариантах приложений-аутентификаторов: “Защитите себя: Как выбрать правильное приложение для двухфакторной аутентификации.”
Как узнать, какие сервисы поддерживают двухфакторную аутентификацию?
Когда я начал писать об этой технологии более десяти лет назад, поддержка двухфакторной аутентификации была относительно редкой. Сегодня это распространенная практика и все чаще становится обязательной функцией чек-листа, которую требуют безопасно настроенные клиенты от онлайн-сервисов.
- Учетные записи Google, включая потребительские Gmail и бизнес-аккаунты Google Workspace, предлагают широкий спектр альтернатив двухэтапной верификации и сейчас поддерживают ключи доступа. На этой странице справки вы найдете начальные инструкции: Двухэтапная верификация (google.com)
- Все учетные записи Microsoft, включая бесплатные аккаунты, используемые с Outlook.com, Xbox, Skype и другими потребительскими сервисами, поддерживают различные варианты аутентификации, которыми непосредственно управляет владелец аккаунта. “Как использовать двухэтапную верификацию с вашей учетной записью Microsoft”.
- Администраторы бизнес- и корпоративных подписок Microsoft 365 управляют аутентификацией пользователей с помощью облачной платформы управления идентификацией и доступом от Microsoft – Entra ID (ранее известной как Azure Active Directory). Если ваш отдел ИТ активировал эту функцию, следуйте этим инструкциям: “Настройте вход в Microsoft 365 для многофакторной аутентификации”.
- Для аккаунтов Apple необходимо предоставить шестизначный код подтверждения при первом входе на новом устройстве. Apple предполагает, что у вас под рукой есть еще одно доверенное устройство Apple. (Если у вас нет доступа к другому устройству, подключенному к вашей учетной записи Apple, вы можете использовать доверенный номер телефона.) Официальные инструкции можно найти в этой статье поддержки Apple: “Двухфакторная аутентификация для Apple ID”.
Также: Как проверить шифрование в Google Messages
Поддержка двухфакторной аутентификации (2FA) является общепринятой среди социальных медиа-сервисов (Facebook, X/Twitter, Instagram и так далее). Каждый онлайн-сервис хранилища данных, достойный рассмотрения, поддерживает 2FA, а также большинство регистраторов доменов и компаний по хостингу веб-сайтов. Если вы не уверены в отношении конкретного сервиса, лучшим местом для проверки является превосходный репозиторий открытой информации, называемый 2FA Directory, который управляется шведским некоммерческим организационным объединением 2factorauth и поддерживается на GitHub.
Если высокоценный сервис, от которого вы зависите, не поддерживает 2FA, возможно, стоит рассмотреть переход на тот, который поддерживает.
С каких сервисов стоит начать?
Вероятно, у вас есть учетные данные для входа в десятки онлайн-сервисов, поддерживающих 2FA, поэтому лучшая стратегия – составить приоритетный список и последовательно пройти по нему. Я рекомендую следовать этим приоритетам:
Менеджеры паролей/идентификации: Использование менеджера паролей, вероятно, является самым важным способом гарантировать сильный и уникальный пароль для каждого сервиса, но при этом создается единственная уязвимость. Добавление поддержки 2FA устраняет эту потенциальную слабость. Обратите внимание, что для некоторых программ для управления паролями поддержка 2FA является платной опцией.
Аккаунты Microsoft, Google и Apple: Если вы используете сервисы от одной из этих крупных платформенных компаний, поддержка 2FA является необходимой. К счастью, это также просто. (См. предыдущий раздел для ссылок на подробные инструкции.)
Аккаунты электронной почты: Если злоумышленник получает доступ к вашему почтовому ящику, он часто может нанести вред, потому что электронные сообщения являются стандартным средством отправки ссылок для сброса пароля. От компрометированного почтового ящика также можно использовать сообщения для атаки ваших друзей и коллег (например, отправка вредоносных вложений). Если вы используете Outlook.com, Exchange Online, Gmail или Google Workspace, ваш почтовый ящик использует метод проверки подлинности, связанный с вашей учетной записью Microsoft или Google. Если вы используете другой почтовый сервис, вам нужно настроить 2FA отдельно.
Также: Вот лучшие сервисы хостинга почты, защищающие ваши данные
Аккаунты социальных медиа: Как и с электронной почтой, наибольший риск, связанный с взломанным аккаунтом Facebook или Instagram, заключается в том, что он может быть использован против ваших друзей и партнеров. Даже если вы человек, редко что-либо публикующий в социальных медиа, вы должны защитить эти аккаунты.
Банки и финансовые учреждения: Большинство банков и кредитных карточных компаний внедрили значительные инвестиции в программы обнаружения мошенничества, поэтому 2FA-опции обычно ограничены по сравнению с другими категориями. Тем не менее, стоит исследовать эти настройки и обеспечивать максимальную безопасность.
Шопинг и онлайн-коммерция: Любой сайт, где вы сохраняете номер кредитной карты, должен быть защищен.
