Что такое двухфакторная аутентификация

Чтобы зайти в свою учетную запись, вы подтверждаете свою личность при помощи стандартной однофакторной аутентификации, вводя в аккаунт логин и пароль. В рамках однофакторной аутентификации в качестве логина может быть использована электронная почта, которая привязывается к аккаунту.

Двухфакторная аутентификация (двухфакторная авторизация или 2FA) - это процесс подтверждения своей личности в интернет-сервисах не только при помощи логина и пароля, но и дополнительных средств:

• специального кода безопасности, высылаемого на номер телефона;
• телефонного звонка;
• и т.д.

Таким образом, даже, если злоумышленник будет знать ваш логин и пароль от аккаунта, он не сможет похитить ваши данные, если вы будете использовать двухфакторную аутентификацию. 

Способы реализации двухфакторной аутентификации

Код, отправляемый в SMS на телефон пользователя

Самый популярный способ двухфакторной авторизации - это “запрос кода безопасности”. 

1. Пользователь вводит на сервисе логин и пароль.
2. После этого он получает специальный код безопасности по SMS или в любой из мессенджеров.
3. Код вводится в отдельное поле верификации. 

Эту разновидность двухфакторной защиты используют для доступа к сервисам такие интернет-гиганты:

• Google;
• Facebook;
• Microsoft.

Этот способ 2FA также поддерживают многие провайдеры хостинга.

К преимуществам способа относится легкость применения, к определенным недостаткам - то, что номер телефона пользователя также может быть дискредитирован.

Разновидностями этого варианта является использование телефонного звонка, при котором нужный код произносится роботом, или использование в качестве кода цифр номера, с которого осуществляется звонок.

Код, отправляемый на адрес электронной почты

1. Пользователь вводит на сервисе логин и пароль.
2. Код безопасности присылается ему на почту, а не на телефон.

Данный способ не стоит путать с обычной привязкой электронной почты к аккаунту, на которую техподдержка присылает забытый пароль. 

Этот способ считается менее безопасным, поскольку сервис электронной почты уязвим и может быть скомпрометирован вместе с учетной записью пользователя.

Специальное программное обеспечение

Еще одним популярным способом получения кода безопасности является установка на устройство пользователя - смартфон или компьютер - специального программного обеспечения, которое работает совместно с сервисом и генерирует специальные коды безопасности. Сервис E-Num, используемый системой платежей WebMoney, -  хороший пример такой аутентификации. 

Аналогичные приложения существуют также от Google (Google Authenticator) и Microsoft. Часть функционала аутентификатора встроена в приложение Facebook для смартфонов.

Физическое устройство для генерации кодов

Одним из самых надежных способов идентификации считается физический токен, чаще всего изготовляемый в виде USB-брелка. Он генерирует криптографические ключи, которые вводятся при подключении к компьютеру. Стандартом для таких устройств являются U2F - протоколы двухфакторной авторизации. Поддержка данного стандарта есть в современных браузерах.

Принцип работы устройства-токена:

1. Пользователь авторизуется на веб-сайте/в приложении с помощью логина-пароля.
2. Сервер проверяет учетные данные и, если они верны, генерирует специальный код (челлендж) для токена и отправляет его пользовательской программе, в данном случае, браузеру.
3. Браузер передает этот код токену, который может потребовать разные действия от пользователя, например, прикосновение пальцем к контактной площадке, ввод пин-кода, биометрическая проверка.
4. Токен возвращает программе ответ с подтверждением прохождения аутентификации, который передается на сервер. 

Перспективные варианты на будущее

В будущем развитие способов 2FA-защиты будет продолжено, видимо, в направлении использования биометрических данных. Поддержка аутентификации с помощью сетчатки глаза или отпечатка пальца уже существует. 

Перспективным является возникновение специальных, вживляемых в тело человека, микрочипов с поддержкой функций аутентификатора. Само понятие аутентификации станет универсальным и проникнет во все другие сферы, помимо интернета: транспорт, управление, безопасность рабочего места и собственного жилья.

Двухфакторная аутентификация в качестве защиты учетной записи хостинга

Провайдеры услуг хостинга также взяли на вооружение двухфакторную аутентификацию.

Так, Reg.ru предоставляет возможность включить двухфакторную аутентификацию с получением кода подтверждения через SMS в личном кабинете. Необходимое условие - это привязка номера телефона к учетной записи пользователя. Получаемый код для подтверждения иначе называется “двухфакторным кодом аутентификации”.

Провайдер Beget предлагает два варианта двухфакторной аутентификации: по SMS (платная услуга) или по e-mail. Настройка опции происходит в личном кабинете.

В обоих случаях после ввода логина и пароля пользователю выбранным им способом будет отправлен код безопасности, который надо будет ввести для получения доступа к личному кабинету.

Многие провайдеры в качестве панели управления хостингом используют популярную систему ISPmanager на виртуальном хостинге, VPS/VDS и выделенных серверах. В нее также встроена поддержка двухфакторной аутентификации, в меню - “Настройки пользователя”.

Для отправки кодов безопасности ISPmanager использует связку с установленным на устройстве пользователя приложением Google Authenticator, работа с которым будет рассмотрена позже.

Как отключить двухфакторную аутентификацию на хостинге?

Отключение двухфакторной аутентификации может потребоваться, например, в связи с изменением номера телефона или необходимостью передать аккаунт в управление другому пользователю.

Как правило, отключение 2FA происходит в том же месте в личном кабинете пользователя, откуда она ранее была включена.

Для этого требуется также ввести код безопасности, после чего учетная запись пользователя переключается на обычный метод аутентификации с помощью логина и пароля. 

Защита сайта с помощью двухфакторной авторизации

Крупные интернет-компании развивают собственные сервисы аутентификации и предоставляют возможность владельцам и программистам web-сайтов бесплатно использовать мощный и проверенный инструмент для обеспечения безопасности своих ресурсов.

Google Authenticator 

Приложение Google Authenticator примечательно тем, что позволяет использовать 2FA не только для входа в сервисы Google, но и настроить владельцу web-сайта такую защиту для посетителей своего ресурса. Это требует навыков программирования и использования специальных библиотек. Например, для языка программирования PHP разработана библиотека GoogleAuthenticator.php.

Для популярной CMS Wordpress существует специальный плагин Google Authenticator. С его помощью подключение двухфакторной аутентификации к сайту, созданному на базе этой CMS, становится легко и удобно.

Сервис E-Num

Сервис E-Num, который использует система платежей Webmoney, предлагает несколько вариантов интеграции двухфакторной аутентификации на сайт, например, через популярный протокол OAuth2.

Последовательность действий при авторизации с использованием системы E-NUM, согласно протоколу OAuth2, выглядит так:

1. Посетитель сайта запрашивает вход в защищенную зону.
2. Для предоставления доступа сайт требует пройти авторизацию, для чего перенаправляет его на E-NUM.
3. После успешной авторизации система E-NUM возвращает клиенту одноразовый код.
4. Браузер клиента передаёт код авторизации сайту.
5. Сайт, используя код авторизации, запрашивает у E-NUM временный токен доступа.
6. Этот токен используется в дальнейшем для обращения к методам API E-NUM, которые обеспечивают идентификацию клиента.

Защита VPS/VDS при помощи двухфакторной аутентификации

Пользователям VPS/VDS также доступно применение двусторонней аутентификации для повышения безопасности своего сервера.

Для его использования:

1. Установите на сервер специальную библиотеку для системы авторизации PAM: libpam-google-authenticator.
2. Настройте библиотеки и конфигурации подсистемы SSH.
3. После этого вы сможете использовать 2FA через приложение для генерации кодов Google Authenticator, установленное на смартфоне.

Коды будут запрашиваться при подключении к серверу через SSH.

Подключение двухфакторной аутентификации пользователя

Рассмотрим подключение двухфакторной аутентификации на примере сервисов от компании Google.

1. Зайдите на сайт Google и откройте настройки своего аккаунта.
2. Зайдите в раздел  "Безопасность".
3. Выберите пункт "Двухэтапная аутентификация". 
4. Google попросит подтвердить, что это ваш аккаунт. 
5. После ввода пароля откроется страница настроек двухфакторной аутентификации.

6. Google предложит привязать к системе номер телефона. 
7. Введите номер своего телефона и получите на него код безопасности. 
8. После подтверждения двухфакторная аутентификация настроена. При этом появится возможность выбрать способ, которым Google будет присылать код для аутентификации, например, SMS или голосовое сообщение.

Сервис Google поддерживает и другие способы для получения кодов при использовании двухфакторной аутентификации, помимо применения телефонной связи. Например, можно использовать приложение Authenticator или же специальный электронный ключ-токен.

Выводы

• Применение двухфакторной аутентификации постепенно становится стандартом безопасности пользователей в сети. Крупные интернет-компании активно продвигают различные варианты 2FA как для защиты собственных сервисов, так и в помощь владельцам web-ресурсов.
• Разнообразие способов осуществления и удобство для пользователей позволяет с успехом применять двухфакторную аутентификацию на web-сайтах и защищать с ее помощью серверы.
• Применение 2FA повысит уровень личной безопасности пользователя, а также снизит вероятность утечки данных и краж личной информации на находящихся под его управлением web-ресурсах.