Двухфакторная аутентификация – способ усилить защиту доступа к данным. В дополнение к привычному паролю вам нужно сделать что-то ещё. Это затруднит жизнь злоумышленнику, который пытается «взломать» чужой аккаунт.

Представьте сейф. С помощью специального диска с цифрами вы выбираете правильный код доступа. Но ещё нужно использовать ключ. Код доступа («что я знаю») и ключ («что я имею») – два разных фактора.

Если второй фактор – это еще один пароль, то говорят «двухэтапная аутентификация».

Самые распространенные виды второго фактора:

• SMS-код. Система просит ввести одноразовый код, который отправляет на ваш номер мобильного телефона. Возможно, самый распространенный вариант двуфакторной аутентификации.
• Коды из мобильного приложения. Такое приложение периодически генерирует одноразовые коды. Подключение к интернету или SIM-карта не нужны. Важно, чтобы и на компьютере, и на смартфоне было одно и то же (правильное) время. Этот способ мы обычно советуем по умолчанию.
• Резервные коды. Вы заранее генерируете одноразовые коды и храните их в надёжном месте. Очень выручает, если двухфакторная аутентификация включена одним из двух способов выше, но вы не можете воспользоваться смартфоном (потеряли, разбили и т.д.).
• Файл-ключ. При включении двухфакторной аутентификации вы указываете какой-нибудь файл на диске (любой). Вам понадобится «предъявлять» этот файл для доступа к своему ресурсу вместе с паролем. Если потеряете файл (или измените его) – потеряете доступ. Такая защита используется, в частности, менеджером паролей KeePassXC и программой для шифрования файлов и дисков VeraCrypt.
• Аппаратный токен. Устройство типа флешки. По смыслу это ближе всего к ключу, которым вы отпираете дверь своей квартиры.

Подумайте о том, чтобы включить двухфакторную аутентификацию хотя бы для самых важных своих аккаунтов, если вы ещё не сделали это.

По возможности лучше избегать SMS. Во-первых, сама технология разрабатывалась в те давние годы, когда про безопасность особенно не думали. При определённых условиях SMS-сообщения можно перехватить. Во-вторых, известны случаи, когда операторы мобильной связи «с подачи» злоумышленников перевыпускали SIM-карты, не извещая текущих владельцев.

Давайте посмотрим, как включить двухфакторную аутентификацию в аккаунте Google. Наша задача – использовать в качестве основного способа двухфакторной аутентификации коды из мобильного приложения, а для подстраховки – резервные коды.

Включение двухфакторной аутентификации в аккаунте Google

1. Откройте на компьютере браузер и войдите в свой аккаунт Google (если ещё не вошли).

2. Нажмите круглую цветную кнопку с первой буквой своего имени или аватаркой (если загружали аватарку) в правом верхнем углу экрана. Появится небольшое меню. Нажмите кнопку «Управление аккаунтом Google».

3. Вы на странице настроек аккаунта Google. В левом столбце выберите пункт «Безопасность».

4. Прокрутите чуть вниз до раздела «Вход в аккаунт Google».

5. Нажмите «Двухэтапная аутентификация». Откроется приветственное окно с базовой информацией о том, что нам предстоит сделать.

6. Нажмите синюю кнопку «Начать». Придётся еще раз ввести свой пароль к аккаунту Google. Это нормально. Когда дело касается настроек, Google время от времени просит ввести пароль. Введите пароль и войдите в аккаунт.

Сначала Google предлагает три способа подключить двухфакторную аутентификацию (нажмите ссылку «Другие варианты»):

• через SMS (мы говорили, что это не самый надёжный способ);
• через «Уведомление от Google» (специфический метод Google; на смартфоне тоже должен быть выполнен вход в аккаунт Google);
• с помощью физического токена.

Увы, мобильное приложение по умолчанию Google почему-то не предлагает. Что ж, включим двухфакторную аутентификацию с помощью уведомления от Google.

7. Убедитесь, что ваше устройство в списке (то есть, на нём действительно выполнен вход в аккаунт Google).

Нажмите синюю кнопку «Продолжить».

8. «Почти готово!» – радостно сообщает Google и предлагает указать резервный способ. Причём подсовывает нам SMS. Но вы нажмите на ссылку «ИСПОЛЬЗОВАТЬ ДРУГОЙ СПОСОБ».

9. Google сразу создаст для вас десять резервных кодов. Запишите их куда-нибудь и храните в надёжном месте.

Нажмите синюю кнопку «Далее». Выплывет ещё одно маленькое предупреждающее окошко. Выберите «Я получил коды». 

10. Google всё ещё сомневается, нужно ли включать двухфакторную аутентификацию. Нажмите синюю кнопку «Включить».

Теперь в настройках аккаунта Google вы можете видеть, что двухфакторная аутентификация (которую строгий Google упорно называет двухэтапной) включена.

Теперь при попытке входа в аккаунт Google на компьютере у вас сначала спросят пароль, а потом попросят подтвердить вход на мобильном устройстве.

На телефоне появится запрос: 

Нажмите «Да», и Google откроет доступ к вашему аккаунту на компьютере.

Установка приложения для генерирования кодов

Всё уже включено, зачем приложение?

Строго говоря, если двухфакторная аутентификация нужна вам только для аккаунта Google, то да, всё включено и можно больше ничего не делать. Но приложение – более универсальный вариант, и мы хотим его показать вам в этом материале. Ведь у нас много аккаунтов, где стоило бы включить двухфакторную аутентификацию. «Уведомления от Google» для них работать не будут. А коды из приложения – будут.

Возможно, самое известное приложение для генерации годов – Google Authenticator. Но вообще таких приложений много и для Android, и для iOS. Вот некоторые примеры приложений с открытым кодом:

• для Android: andOTP, Aegis Authenticator;
• для iOS: Authenticator, Tofu Authenticator.

Для иллюстраций в этом материале мы будем использовать andOTP для Android. (Если вы выбрали другое приложение, действуйте по аналогии).

Скачайте и установите приложение andOTP на ваш Android-смартфон.

Добавление приложения для генерирования кодов

Пусть вас не смущает, что Goolge ведёт себя так, будто никакого иного приложения для генерирования кодов, кроме Google Authenticator, не существует. Все прекрасно работает и с аналогом. 

1. Зайдите в настройки аккаунта Google, пункт «Безопасность», прокрутите немного ниже и найдите поле «Приложение Authenticator».

Нажмите «Создать».

2. Выбор операционной системы.

Выберите «Android» и нажмите «Далее».

3. Вы увидите окно с QR-кодом. Сканируя такой код с помощью мобильного устройства, можно получить необходимые данные сразу, не вводя их вручную.

4. Запустите на смартфоне приложение andOTP.  Если это первый запуск andOTP, программа может сама предложить сканировать код. Если это не произошло, нажмите кнопку (+) в правом нижнем углу. 

В выпадающем меню выберите первый пункт «Сканировать QR-код».

5. Откроется утилита сканирования. Наведите камеру смартфона на QR-код на экране вашего компьютера. QR-код будет автоматически отсканирован, а запись о вашем аккаунте Google появится в andOTP. Код (шесть цифр) будет сгенерирован немедленно. Обратите внимание: сгенерированный код действует очень небольшое время. О ходе времени можно судить по рыжей полоске под названием программы andOTP.

Когда время истекает, цифры кода (обычно серые) становятся красными. Значит, лучше чуть-чуть подождать, чтобы andOTP сгенерировал новый код.

6. Ура, QR-код успешно сканирован, andOTP исправно выдаёт коды на смартфоне. Возвращаемся на компьютер, нажимаем «Далее». Google предложит ввести код из andOTP, сделайте это.

Нажмите «Подтвердить». Если всё в порядке, Google покажет окошко с бодрой надписью «Готово!». Нажмите «Готово».

К списку вторых факторов добавится «Приложение Authenticator».

Настройка двухфакторной аутентификации завершена. Теперь вы сможете входить в аккаунт Google с помощью одного из трёх способов: подтверждения Google, одноразового кода из приложения andOTP или резервного кода. По умолчанию это простое подтверждение на смартфоне. Переключиться на другой способ можно, если в ответ на запрос второго фактора нажать ссылку «Другой способ». Галочку в поле «Запомнить на этом компьютере» есть смысл ставить только на устройстве, которому вы доверяете, где исключён несанкционированный доступ. Двухфакторная аутентификация на этом компьютере будет отключена на 30 дней.

Если же вам нужно включить двухфакторную аутентификацию для другого сервиса, например, для Facebook, повторите шаги этого раздела для настроек Facebook и andOTP. Когда вы сделаете это, вы увидите, что andOTP генерирует коды и для Google, и для Facebook. 

Напоследок – о проблеме, которая иногда возникает у пользователей в связи с двухфакторной (двухэтапной) аутентификацией. Вы вводите на компьютере код из andOTP (или аналогичного приложения), а сервис на компьютере сообщает об ошибке. Если вы ввели код верно, проблема, скорее всего, в разных настройках времени на компьютере и на смартфоне. Это бывает, особенно при смене часовых поясов и ручном изменении системного времени. Просто установите одинаковое время на обоих устройствах.