Двухфакторная аутентификация – способ усилить защиту доступа к данным. В дополнение к привычному паролю вам нужно сделать что-то еще. Это затруднит жизнь злоумышленнику, который пытается "взломать" чужой аккаунт.

Представьте сейф. С помощью специального колесика вы выбираете правильный код доступа, но еще нужно использовать ключ. Код доступа ("что я знаю") и ключ ("что я имею") – два разных фактора.

Или – поездка из Санкт-Петербурга в Хельсинки. Вы показываете финским пограничникам паспорт ("что я имею") и прижимаете пальцы к специальному устройству, чтобы сканировать отпечатки ("что я есть"). Это тоже двухфакторная аутентификация.

Если второй фактор – это еще один пароль (код), то говорят "двухэтапная аутентификация".

Самые распространенные виды второго фактора:

• Файл-ключ. При создании защиты вы указываете какой-либо файл на диске (любой). В дальнейшем вам понадобится "предъявлять" этот файл для доступа к своему ресурсу. Потеря этого файла или его изменение, даже самое малое, будет означает невозможность доступа. Такая защита используется, в частности, менеджером паролей KeePassXC и программой для шифрования файлов и дисков Veracrypt.
• SMS-код. Система просит ввести одноразовый код, который отправляет на ваш номер мобильного телефона. Это самый распространенный вариант, его часто предлагают по умолчанию.
• Временные коды. Вы заранее генерируете одноразовые коды. Удобно, если, например, вы не можете воспользоваться своим телефоном.
• Мобильное приложение. Одноразовый код генерируется приложением на мобильном устройстве (например, смартфоне). Подключение к интернету или SIM-карта не требуются. Важно, чтобы время на вашем устройстве было указано правильно. Этот способ мы обычно советуем по умолчанию.
• Аппаратный токен. Устройство типа USB-флешки. По смыслу это ближе всего к ключу, которым вы отпираете дверь своей квартиры.

Подумайте о том, чтобы включить двухфакторную аутентификацию, если вы еще не сделали это. По возможности лучше избегать SMS. Помимо того, что сама технология довольно небезопасна, аутентификация фактически связана с SIM-картой. Известны случаи, когда операторы мобильной связи "с подачи" злоумышленников перевыпускали SIM-карты, не извещая текущих владельцев.

Посмотрим, как включить двухфакторную аутентификацию в Google, используя вариант с мобильным приложением Google Authenticator.

Допустим, пользователь уже имеет аккаунт Google и может самостоятельно установить на свой смартфон Google Authenticator. Это легко сделать из Google Play (Android) или iTunes (iPhone/iPad). Приложение не требует дополнительной конфигурации. Сделайте это, пожалуйста, перед тем, как переходить к настройке аккаунта Google. В нашем примере мы будем считать, что приложение Google Authenticator установлено на смартфоне Android.

1. Откройте браузер и войдите в свой аккаунт Google.

2. Нажмите круглую цветную кнопку с первой буквой своего имени в правом верхнем углу экрана. Появится меню.

3. Нажмите кнопку "Мой аккаунт". Откроется окно настроек вашего аккаунта Google. Обратите внимание на раздел "Безопасность и вход".

4. Нажмите ссылку "Вход в аккаунт Google".

5. Нажмите на "Двухэтапная аутентификация". Откроется приветственное окно с базовой информацией о том, что нам предстоит сделать.

6. Нажмите кнопку "Приступить". Придется еще раз ввести свой пароль к аккаунту Google. Сделайте это и нажмите кнопку "Войти". Теперь вам предложат указать номер телефона.

7. Google позволяет включить двухэтапную аутентификацию только по номеру мобильного телефона. (Обратите внимание: указание номера телефона для двухэтапной аутентификации и привязка номера телефона к аккаунту – не одно и то же). Итак, укажите номер мобильного телефона, включая код региона (код страны указывать не надо – страна выбирается с помощью национального флажка из выпадающего списка прямо перед номером). Нажмите на ссылку "Попробуйте сейчас!" в правом нижнем углу этого окна.

8. На ваш телефон придет SMS с шестизначным кодом. Введите его в окошко "Подтверждение номера" и нажмите "Далее".

9. Google поздравит вас с успехом и спросит, нужно ли включить двухэтапную аутентификацию.  Нажмите "Включить". Теперь в настройках аккаунта Google вы можете видеть, что двухэтапная аутентификация включена.

10. Можно нажать на это поле, и вы увидите подробности (способ по умолчанию – SMS-сообщения – и номер телефона).

11. Прокрутите немного ниже и найдите поле "Приложение Authenticator". Нажмите "Настроить".

12. Поскольку в нашем примере мы пользуемся смартфоном на Android, оставляем выбор по умолчанию и нажимаем "Далее". Снова придется ввести пароль к аккаунту Google (и код, присланный по SMS). Вы увидите окно с QR-кодом (код, издалека напоминающий квадратик, играет роль более распространенного штрих-кода с полосками, но способен содержать больше информации; сканируя такой код с помощью мобильного устройства, можно получить необходимые данные сразу, не вводя их вручную).

13. Откройте на смартфоне приложение Google Authenticator. Если это первый запуск Google Authenticator, то после вступительных экранов вы окажетесь в главном окне; перейдите к шагу 15. Если это не первый аккаунт, настроенный вами в Google Authenticator, нажмите кнопку в правом верхнем углу

Появится меню.

14. Выберите "Настроить аккаунт".

15. Выберите "Сканировать штрих-код". Наведите камеру смартфона на QR-код на экране вашего компьютера. QR-код будет автоматически отсканирован, а ваш аккаунт Google появится в окне приложения Google Authenticator. Код (шесть цифр) будет сгенерирован немедленно. Обратите внимание: сгенерированный код действует очень небольшое время, ход которого можно видеть в кружке справа от кода.

Если по каким-то причинам сканировать QR-код не получается, можете воспользоваться альтернативным способом:

• Нажмите ссылку "Не удается отсканировать код?"
• Откроется окно, в котором вы увидите ключ.
• В Google Authenticator вместо "Сканировать штрих-код" выберите "Введите ключ" и введите этот ключ, соблюдая рекомендации, которые дает Google.

16. Код, сгенерированный Google Authenticator, который нужно ввести в окно настроек доступа к аккаунту Google на компьютере:

17. Настройки аккаунта Google отныне будут выглядеть так:

Синяя полоска слева от аккаунта указывает, какой способ двухэтапной аутентификации выбран по умолчанию.

Теперь каждый раз для входа в аккаунт Google вам понадобится сначала вводить пароль, запускать Google Authenticator на своем смартфоне и вводить код, сгенерированный Google Authenticator, в окно для доступа к аккаунту Google:

Обратите внимание: галочку в поле "Запомнить на этом компьютере" лучше убрать из соображений безопасности.

При желании вы можете удалить ставшую ненужной аутентификацию по SMS. Для этого достаточно в настройках доступа к аккаунту нажать на значок карандаша ("Редактировать") в поле "Голосовое сообщение или SMS".

Появится новое окно.

Нажмите "Удалить номер".

Удаление возможности аутентификации по SMS, которое мы только что описали, не удалит ваш телефонный номер, привязанный к аккаунту Google и используемый для восстановления забытого пароля. Чтобы удалить этот номер (по соображениям безопасности это рекомендуется сделать), выберите в настройках аккаунта Google "Конфиденциальность > Личная информация > Телефон".

Напоследок расскажем об ошибке, которая иногда возникает у пользователей в связи с двухэтапной аутентификацией. Симптом: вы генерируете код с помощью Google Authenticator, вводите его для доступа к аккаунту Google, но система сообщает, что код ошибочен. Если вы ввели код верно, скорее всего, ошибка кроется в неправильном времени. (Это нередко происходит во время поездок между часовыми поясами, когда пользователь вручную меняет дату и время на своих устройствах).

1. Убедитесь, что время в вашем смартфоне и компьютере установлено правильно. Попробуйте ввести код еще раз.

2. Если ситуация не изменяется, подключите смартфон к интернету. Нажмите кнопку в правом верхнем углу.

Появится меню.

3. Выберите "Настройки".

4. Выберите "Коррекция времени для кодов".

5. Выберите "Синхронизировать". Нажмите "ОК", вернитесь к генератору кодов и попробуйте снова.