Как работает двухэтапная аутентификация и зачем она нужна

В 2023 году каждый день происходила как минимум одна кибератака с утечкой пользовательских данных. Злоумышленники получили доступ почти к 5 млрд строк телефонных номеров, электронных адресов и паролей. В такой ситуации защита персональной информации становится для разработчиков сервисов задачей №1. Одно из наиболее популярных и действенных решений для этого — двухфакторная аутентификация аккаунта, которую иногда называют двухэтапной аутентификацией. Рассказываем, что это такое, как работает, в чем ее преимущества и недостатки

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация (2FA) означает, что приложение или сервисная служба дважды проверяет, действительно ли запрос на доступ в аккаунт исходит от одного пользователя. Первый фактор — это стандартная комбинация логина и пароля. Вторым фактором может быть:

• знание — это часть информации, которую должен знать только пользователь: например, ответ на секретный вопрос;
• владение — фактор, связанный с физическим владением тем или иным объектом. Например, аппаратным ключом для генерации кода доступа;
• биометрические данные — уникальные биологические характеристики пользователя, которые можно использовать при аутентификации. К таким факторам относят отпечатки пальцев, сканирование сетчатки и идентификацию лица;
• местоположение — инструменты на основе этого фактора, например, GPS, используют для ограничения аутентификации пользователей в пределах определенной географической зоны.

2FA-аутентификация практически полностью нейтрализует риски, связанные с раскрытием паролей. Если злоумышленник взломал или подобрал пароль, этого фактора будет недостаточно для доступа в аккаунт пользователя. Без одобрения второго фактора первый сам по себе будет бесполезен.

Еще одна особенность двухфакторной аутентификации в том, что она активно вовлекает пользователей в процесс обеспечения безопасности. Когда человеку приходит запрос через процедуру 2FA, по сути, пользователь должен ответить на вопрос: «Я инициировал доступ в аккаунт или кто-то пытается получить данные моей учетной записи?».

Таким образом, двухфакторная аутентификация создает полноценное партнерство между пользователями и администраторами. А владелец аккаунта становится соавтором системы, которая отвечает за безопасность данных.

Как работает двухфакторная аутентификация?

Процедура двухфакторной аутентификации зависит от конкретного приложения или поставщика. В целом, 2FA включают в себя следующие этапы:

1. Система предлагает пользователю войти в приложение или на веб-сайт.
2. Пользователь вводит то, что знает — обычно логин и пароль. Если на сайте не предусмотрен доступ по паролю, система генерирует для пользователя уникальный ключ безопасности.
3. Сервер сайта находит совпадение и распознает пользователя.
4. Цифровой ресурс предлагает пользователю инициировать второй шаг входа в систему. Для этого система безопасности использует один из факторов: уникальный код доступа, проверку биометрических данных, смарт-карту и прочее.
5. Система сличает оба фактора, пользователь проходит аутентификацию и получает доступ к приложению или веб-сайту.

Для технической реализации 2FA обычно используют проверку внутри сервиса или через внешнее решение.

В первом случае пользователь, например, получает код доступа в SMS или по электронной почте. Во втором на устройство необходимо установить специальное приложение, которое будет генерировать уникальный код-ключ для доступа к аккаунту. Пример такого приложения — «Яндекс-ключ», с помощью которого пользователь может войти в свой аккаунт на связанном сервисе: Яндексе, Google, Dropbox, Вконтакте и других.

Преимущества двухфакторной аутентификации

• Повышенная безопасность

2FA обеспечивает дополнительный уровень защиты данных. Два фактора безопасности в разы усложняют хакерам взлом аккаунтов и защищают пользовательскую информацию от несанкционированного доступа.

• Защита бизнес-репутации

Мошенничество с пользовательскими данными напрямую влияет на прибыль компании, поскольку часто приводит к потере авторитета, ценности бренда и доверия. Многие клиенты, ставшие жертвами хакеров, отказываются сотрудничать с компанией, в которой произошла утечка данных — даже если бизнес не несет за это ответственности. Благодаря 2FA компания может надежно защитить персональные данные пользователей и укрепить тем самым свою репутацию.

• Решение проблемы «усталости паролей»

По данным NordPass, в среднем на одного пользователя приходится 70-80 паролей. Чтобы удержать их все в памяти, многие используют простые пароли, вроде «qwerty», или используют одну комбинацию для нескольких аккаунтов. В любом случае, такие пользователи становятся легкой добычей для хакеров.

2FA добавляет дополнительный буфер безопасности. Благодаря этом под защитой оказываются даже примитивные и дублирующиеся пароли.

• Гибкость в реализации

Существует множество решений 2FA для различных каналов обмена сообщениями. Это означает, что компания может выбрать вариант, который лучше всего соответствует потребностям клиентов, требованиям безопасности, бюджету и ИТ-инфраструктуре.

Недостатки двухфакторной аутентификации

Хотя 2FA помогает сделать интернет более безопасным, есть несколько минусов, которые следует учитывать перед внедрением двухфакторной аутентификации:

• 2FA может отпугнуть менее технически подкованных пользователей, для которых загрузка и навигация по приложениям для проверки могут стать проблемой.
• Не у всех пользователей есть современные смартфоны, необходимые для некоторых методов 2FA, вроде биометрии.
• Процедура накладывает бизнес-расходы на тех, кто управляет сервисом. 2FA дольше внедрять, чем традиционную аутентификацию только по паролю. Поэтому компании, предоставляющей доступ пользователям, придется либо нести расходы на установку решения, либо платить сторонней службе за обеспечение аутентификации по постоянной цене.

В чем разница между двухфакторной и двухэтапной аутентификацией?

Часто термины «двухфакторная аутентификация» и «двухэтапная аутентификация» используют как синонимы. Однако между ними есть тонкое различие.

Например, пользователь вводит пароль в форму и получает код подтверждения доступа в SMS. Здесь предусмотрены два этапа, но с учетом одного фактора — знания кода.

Так, в Telegram, когда человек авторизуется на новом устройстве, мессенджер отправляет в чат аккаунта или через SMS код подтверждения. Таким образом реализован первый этап. Далее пользователь может включить второй — придумать пароль и сохранить его в настройках. Получается вновь — два этапа с единым фактором.

Нередко аутентификацию через отправку кода в SMS называют вторым фактором. Ведь пользователь, помимо знания пароля, еще и владеет SIM-картой, на которую получает сообщение. Тем не менее, подтверждение личности с помощью SMS считают одной из самых слабых в числе решения 2FA. Все дело — в уязвимости. «Симку» несложно перевыпустить и подменить телефонный номер.

Двухэтапная аутентификация при регистрации — для чего она нужна

2FA для регистрации — это полноценный бизнес-инструмент, который позволяет надежно защитить данные клиентов. При этом различные способы применения второго фактора помогают компании дополнить клиентскую базу ценной информацией. Например, о местоположении пользователя или его контактных данных для более точного таргетирования и создания персонализированных предложений.

Однако предприятиям важно учесть, как обеспечить защиту данных, сделать аутентификацию удобной и при этом сэкономить на расходах. Так, биометрический фактор — бесплатное решение, но оно может не сработать, если на смартфоне пользователя нет датчика отпечатков или функции распознавания лица. При доставке кодов с помощью SMS или обратного звонка приходится платить оператору.

В 2023 году компания Нью-Тел предложила собственное решение для аутентификации пользователей, которое отвечает требованиям надежности, удобства и экономии. Сервис Call Password ID помогает верифицировать пользователей и при этом требует от них минимальных действий.

Эта механика устраняет необходимость запоминать код. После основной аутентификации пользователь вводит свой номер телефона, получает номер от системы и звонит по нему — все, верификация пройдена. Как вариант, номер пользователю можно и не указывать. Достаточно в течение определенного времени сделать звонок на указанный системой номер. В этом случае верификация проходит еще быстрее.

Заключение

Двухфакторная аутентификация — удобный инструмент для бизнеса и его клиентов. Он обеспечивает меры безопасности, которые снижают вероятность взлома учетной записи. Конечно, у 2FA есть и недостатки, но в целом это решение принесет пользу любой организации.