Як працює двофакторна аутентифікація та чому ви маєте активувати 2FA вже сьогодні

Двофакторна аутентифікація (two-factor authentication, 2FA) — досить проста, але надзвичайно ефективна технологія захисту доступу до облікових записів. При вході в обліковий запис, захищений двофакторною аутентифікацією, користувач вводить два паролі — спочатку свій звичайний пароль, а потім одноразовий пароль (OTP), який діє не довше 60 секунд. Одноразовий пароль, як правило, доставляється по SMS, або ж користувач може сам згенерувати його за допомогою OTP токена.

Нижче ми розповімо як саме працює двофакторна аутентифікація, від чого вона захищає, якими бувають OTP токени та чому кожен українець повинен вже сьогодні увімкнути двофакторну аутентифікацію на всіх онлайн сервісах, якими користується, а кожен український бізнес повинен захистити доступи до своїх корпоративних інфраструктур за допомогою 2FA.

Як працює двофакторна аутентифікація

Почнемо з того, що існує всього три різновиди факторів аутентифікації, що можуть бути застосовані для підтвердження особистості користувача при вході в обліковий запис:

• Фактор знання — те, що знає користувач (пароль, PIN, ім’я домашнього улюбленця, улюблений автор, дівоче прізвище матері і т.п.).
• Фактор володіння — те, що належить користувачу (мобільний телефон, апаратний OTP токен, банківська картка).
• Біометричний фактор — біометричні дані користувача (відбитки пальців, скан сітківки чи обличчя і т.п.).

Іноді для аутентифікації можуть використовуватися всі три фактори разом, тоді її називають багатофакторною чи мультифакторною (multi-factor authentication, MFA).

Двофакторна аутентифікація передбачає використання двох різних факторів одночасно. Найчастіше комбінують фактори знання та володіння — стандартний пароль та одноразовий пароль, який можна отримати тільки якщо маєш доступ до телефона чи фізичного OTP токена користувача.

Двофакторна аутентифікація є ефективною саме тому, що зловмиснику дуже складно заволодіти двома різними факторами аутентифікації одночасно. Тобто, якщо зловмиснику вдалося вкрасти пароль за допомогою вірусу чи соціальної інженерії, йому необхідно отримати ще й фізичний доступ до телефона користувача, що практично неможливо. І навпаки, якщо людина, яка хоче зламати акаунт, має прямий доступ до телефона чи OTP токена власника акаунту, то їй потрібно якимось чином дізнатися ще й пароль. Так недоліки одного фактора аутентифікації перекриваються перевагами іншого й облікові записи користувачів залишаються під надійним захистом.

Від чого захищає двофакторна аутентифікація

Двофакторна аутентифікація захищає облікові записи користувачів від всіх типів кібератак, спрямованих на перехоплення чи злом стандартних паролів. Серед подібних хакерських технік можна назвати брутфорс, кейлогери, атаки типу людина-посередині, фішинг, соціальну інженерію, підміну даних, та інші.

Перелічені техніки допомагають зловмисникам відносно легко зламувати облікові записи, що захищені одним лише паролем. Особливо якщо це прості паролі такі як qwerty12345 чи Password. На жаль, саме такими паролями захищені облікові записи більшості користувачів.

Крім того, двофакторна аутентифікація захищає облікові записи від несанкціонованого доступу з боку оточення. Наприклад, кожен корпоративний акаунт має бути захищений двофакторною аутентифікацією, щоб співробітники, яким обмежено доступ до певної корпоративної інформації, не змогли підглянути пароль колеги і використати чужий обліковий запис, щоб отримати доступ до секретних даних чи вчинити певні зловмисні дії під обліковим записом колеги.

Що таке OTP токени та які вони бувають

OTP токенами ми називаємо будь-які засоби доставки чи генерації одноразових паролів. Їх можна умовно поділити на дві групи — програмні та фізичні (апаратні).

До програмних OTP токенів належать:

• застосунки для генерації одноразових паролів на iOS та Android, наприклад, Google Authenticator, Authy, Protectimus Smart OTP, FreeOTP;
• доставка одноразових паролів через чат-ботів в месенджерах; 
• доставка одноразових паролів через SMS;
• доставка одноразових паролів через електронну пошту.

Фізичні або апаратні OTP токени — це окремі пристрої, які виконують лише одну функцію — генерують одноразові паролі. Часто апаратні OTP токени виглядають як брелок чи банківська картка з однією кнопкою та невеликим дисплеєм. Використовуються також OTP токени у вигляді USB флешок.

Існують такі різновиди апаратних OTP токенів:

• Класичні апаратні OTP токени. Як правило, виглядають як брелоки чи банківські картки. Класичні апаратні токени для двофакторної аутентифікації виготовляються зі вшитими секретними ключами, які неможливо замінити. Секретний ключ — це набір символів, на основі якого генеруються одноразові паролі. Щоб сервер аутентифікації міг перевіряти одноразові паролі згенеровані за допомогою класичних 2FA токенів, при налаштуванні 2FA, необхідно додати секретні ключі від класичних апаратних токенів на цей сервер. Якщо ви купуєте класичні апаратні токени, переконайтеся, що маєте змогу синхронізувати секретні ключі з сервером двофакторної аутентифікації.
• Апаратні OTP токени з можливістю прошивки секретних ключів. Це більш сучасні моделі фізичних OTP токенів, які програмуються за допомогою спеціальних застосунків на смартфонах з використанням технології NFC. Секретний ключ в такий токен додається за тим же принципом, як і під час випуску токена в Google Authenticator чи іншому 2FA застосунку. Користувач сканує QR код з секретним ключем та прошиває цей секретний ключ у апаратний OTP токен через NFC. Подібні токени, наприклад Protectimus Flex чи Slim NFC, підійдуть як для захисту корпоративної інфраструктури, так і для приватних осіб. Їх можна підключити майже куди завгодно, включно з такими популярними ресурсами як Google, Office 365, Microsoft Azure, Dropbox чи навіть Facebook.
• USB-токени. Токени, які мають форму флешки. Щоб пройти другий етап автентифікації, користувач має підключити USB-токен до комп’ютера. Секретний ключ з USB-токена автоматично передається на сервер аутентифікації. USB-токени вважаються зручними для кінцевих користувачів, але мають ряд недоліків. Зокрема, користувачі часто забувають такі OTP токени в комп’ютерах, що нівелює весь сенс двофакторної аутентифікації, особливо в корпоративному середовищі.

Двофакторна аутентифікація в Україні

З 24 лютого 2022 року Україна перебуває у стані війни з Російською Федерацією. Ця війна не лише конвенційна, ведеться також інформаційна та кібервійна. Ворог полює на кожен незахищений обліковий запис, який можна використати для саботажу, а також для поширення паніки та дезінформації.

У зв’язку з цим, ми закликаємо кожну українську компанію, яка ще не захистила доступи до корпоративних акаунтів своїх співробітників за допомогою 2FA, підключити двофакторну аутентифікацію якомога швидше. Зробити це сьогодні простіше, ніж зазвичай, адже деякі провайдери двофакторної аутентифікації готові безкоштовно надавати свої послуги українським підприємствам. Наприклад, ірландський 2FA провайдер Protectimus пропонує українцям безкоштовний доступ до всіх своїх програмних продуктів до закінчення військового стану на території України, а також надає безкоштовну допомогу з налаштуванням 2FA.

Після завершення війни на території України для українських компаній буде діяти знижка 50% на вcе програмне забезпечення та послуги Protectimus.

Також наполягаємо на тому, що кожен українець та українка має налаштувати двофакторну аутентифікацію для захисту кожного онлайн сервісу, яким користується. Майже всі сайти, застосунки і сервіси, на яких ви зареєстровані, починаючи від інтернет-банкінгу та закінчуючи месенджерами та соціальними мережами, надають можливість активувати двофакторну аутентифікацію для захисту облікових записів. Сьогодні цією можливість нехтувати не можна

Наша безпека у наших руках. Двофакторна аутентифікація — базовий інструмент захисту корпоративних та особистих облікових записів користувачів від несанкціонованого доступу. Якщо не хочете, щоб ваш обліковий запис чи акаунт вашого співробітника став інструментом у руках ворога, захистіть його вже сьогодні.