Двухэтапная аутентификация – способ усилить защиту доступа к данным. В дополнение к привычному паролю вам нужно сделать что-то еще – например, ввести секретный код. Это затруднит жизнь злоумышленнику, который пытается "взломать" чужой аккаунт. Если для доступа используются два принципиально разных способа, такой вариант называется двухфакторной аутентификацией.

Предположим, вы должны открыть сейф: с помощью специального колесика выбрать правильный код доступа и вставить ключ в скважину. Код доступа ("что я знаю") и ключ ("что я имею") – два разных фактора.

Другой пример – поездка из Москвы в Ригу. Вы показываете латвийским пограничникам паспорт ("что я имею") и прижимаете пальцы к специальному устройству, чтобы сканировать отпечатки ("что я есть"). Это тоже двухфакторная аутентификация.

Разные авторы иногда используют свои названия того же подхода: двухфакторная идентификация, двухфакторная авторизация.

В мире компьютеров "первичным" способом авторизации был и остается ввод пароля. Вот некоторые дополнительные способы:

• Файл-ключ. При создании защиты вы указываете какой-либо файл на диске (любой). В дальнейшем вам понадобится "предъявлять" этот файл для доступа к своему ресурсу. Потеря этого файла или его изменение, даже самое малое, будет означает невозможность доступа. Файлы-ключи используются, в частности, менеджером паролей KeePassX и шифровальными программами для защиты файлов и дисков Truecrypt и Veracrypt.
• SMS-код. При попытке доступа система просит ввести уникальный код, который отправляет на ваш номер мобильного телефона. Это самый распространенный вариант, который часто предлагается "по умолчанию" там, где поддерживается двухэтапная аутентификация.
• Временные коды. Учитывая, что мобильная связь может быть доступна не всегда, иногда бывает разумно заранее сгенерировать коды, распечатать их и использовать в поездке.
• Мобильное приложение. В этом случае специальный код генерируется приложением на мобильном устройстве (смартфоне, планшете). Подключение к интернету или SIM-карта не требуются, однако важно, чтобы время на вашем устройстве было указано правильно, так как генерация кодов зависит от времени. Вы можете использовать одно и то же мобильное приложение для генерации кодов разных аккаунтов в разных сервисах.
• Аппаратный токен. Это уже не программа, а устройство (типа USB-флешки). По смыслу это ближе всего к ключу, которым вы отпираете дверь своей квартиры.

Мы рекомендуем использовать двухэтапную (двухфакторную) аутентификацию, когда это возможно. Если возможно, лучше не прибегать к способу аутентификации через SMS-коды. При этом способе аутентификация связана с SIM-картой. Известны случаи, когда операторы мобильной связи по инициативе злоумышленников перевыпускали SIM-карту пользователя, не извещая реального владельца.

Как правило, система позволяет указать устройства, которыми вы пользуетесь постоянно, как "доверенные", и впоследствии для них будет достаточно вводить пароль.

Посмотрим для примера, как включить двухфакторную аутентификацию в Google, используя вариант с мобильным приложением Google Authenticator.

Мы предполагаем, что пользователь уже имеет аккаунт Google и может самостоятельно установить на свой смартфон Google Authenticator. Это легко сделать из Google Play (Android) или iTunes (iPhone/iPad). Приложение не требует дополнительной конфигурации. Сделайте это, пожалуйста, перед тем, как переходить к настройке аккаунта Google. В нашем примере мы будем считать, что приложение Google Authenticator установлено на смартфоне Android.

1. Откройте браузер и войдите в свой аккаунт Google.

2. Нажмите круглую цветную кнопку с первой буквой своего имени в правом верхнем углу экрана. Появится меню.

3. Нажмите кнопку "Мой аккаунт". Откроется окно настроек вашего аккаунта Google. Обратите внимание на раздел "Безопасность и вход".

4. Нажмите ссылку "Вход в аккаунт Google".

5. Нажмите на "Двухэтапная аутентификация". Откроется приветственное окно с базовой информацией о том, что нам предстоит сделать.

6. Нажмите кнопку "Приступить". Придется еще раз ввести свой пароль к аккаунту Google. Сделайте это и нажмите кнопку "Войти". Теперь вам предложат указать номер телефона.

7. Google позволяет включить двухэтапную аутентификацию только по номеру мобильного телефона. (Обратите внимание: указание номера телефона для двухэтапной аутентификации и привязка номера телефона к аккаунту – не одно и то же). Итак, укажите номер мобильного телефона, включая код региона (код страны указывать не надо – страна выбирается с помощью национального флажка из выпадающего списка прямо перед номером). Нажмите на ссылку "Попробуйте сейчас!" в правом нижнем углу этого окна.

8. На ваш телефон придет SMS с шестизначным кодом. Введите его в окошко "Подтверждение номера" и нажмите "Далее".

9. Google поздравит вас с успехом и спросит, нужно ли включить двухэтапную аутентификацию.  Нажмите "Включить". Теперь в настройках аккаунта Google вы можете видеть, что двухэтапная аутентификация включена.

10. Можно нажать на это поле, и вы увидите подробности (способ по умолчанию – SMS-сообщения – и номер телефона).

11. Прокрутите немного ниже и найдите поле "Приложение Authenticator". Нажмите "Настроить".

12. Поскольку в нашем примере мы пользуемся смартфоном на Android, оставляем выбор по умолчанию и нажимаем "Далее". Снова придется ввести пароль к аккаунту Google (и код, присланный по SMS). Вы увидите окно с QR-кодом (код, издалека напоминающий квадратик, играет роль более распространенного штрих-кода с полосками, но способен содержать больше информации; сканируя такой код с помощью мобильного устройства, можно получить необходимые данные сразу, не вводя их вручную).

13. Откройте на смартфоне приложение Google Authenticator. Если это первый запуск Google Authenticator, то после вступительных экранов вы окажетесь в главном окне; перейдите к шагу 15. Если это не первый аккаунт, настроенный вами в Google Authenticator, нажмите кнопку в правом верхнем углу

Появится меню.

14. Выберите "Настроить аккаунт".

15. Выберите "Сканировать штрих-код". Наведите камеру смартфона на QR-код на экране вашего компьютера. QR-код будет автоматически отсканирован, а ваш аккаунт Google появится в окне приложения Google Authenticator. Код (шесть цифр) будет сгенерирован немедленно. Обратите внимание: сгенерированный код действует очень небольшое время, ход которого можно видеть в кружке справа от кода.

Если по каким-то причинам сканировать QR-код не получается, можете воспользоваться альтернативным способом:

• Нажмите ссылку "Не удается отсканировать код?"
• Откроется окно, в котором вы увидите ключ.
• В Google Authenticator вместо "Сканировать штрих-код" выберите "Введите ключ" и введите этот ключ, соблюдая рекомендации, которые дает Google.

16. Код, сгенерированный Google Authenticator, который нужно ввести в окно настроек доступа к аккаунту Google на компьютере:

17. Настройки аккаунта Google отныне будут выглядеть так:

Синяя полоска слева от аккаунта указывает, какой способ двухэтапной аутентификации выбран по умолчанию.

Теперь каждый раз для входа в аккаунт Google вам понадобится сначала вводить пароль, запускать Google Authenticator на своем смартфоне и вводить код, сгенерированный Google Authenticator, в окно для доступа к аккаунту Google:

Обратите внимание: галочку в поле "Запомнить на этом компьютере" лучше убрать из соображений безопасности.

При желании вы можете удалить ставшую ненужной аутентификацию по SMS. Для этого достаточно в настройках доступа к аккаунту нажать на значок карандаша ("Редактировать") в поле "Голосовое сообщение или SMS".

Появится новое окно.

Нажмите "Удалить номер".

Удаление возможности аутентификации по SMS, которое мы только что описали, не удалит ваш телефонный номер, привязанный к аккаунту Google и используемый для восстановления забытого пароля. Чтобы удалить этот номер (по соображениям безопасности это рекомендуется сделать), выберите в настройках аккаунта Google "Конфиденциальность > Личная информация > Телефон".

Напоследок расскажем об ошибке, которая иногда возникает у пользователей в связи с двухэтапной аутентификацией. Симптом: вы генерируете код с помощью Google Authenticator, вводите его для доступа к аккаунту Google, но система сообщает, что код ошибочен. Если вы ввели код верно, скорее всего, ошибка кроется в неправильном времени. (Это нередко происходит во время поездок между часовыми поясами, когда пользователь вручную меняет дату и время на своих устройствах).

1. Убедитесь, что время в вашем смартфоне и компьютере установлено правильно. Попробуйте ввести код еще раз.

2. Если ситуация не изменяется, подключите смартфон к интернету. Нажмите кнопку в правом верхнем углу.

Появится меню.

3. Выберите "Настройки".

4. Выберите "Коррекция времени для кодов".

5. Выберите "Синхронизировать". Нажмите "ОК", вернитесь к генератору кодов и попробуйте снова.