Двухфакторная аутентификация — Проект SAFE
НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН, РАСПРОСТРАНЕН И (ИЛИ) НАПРАВЛЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
Инструменты
Двухфакторная аутентификация

Знакомимся с двухфакторной аутентификацией на примере аккаунта Google

Двухфакторная аутентификация – способ усилить защиту доступа к данным. В дополнение к привычному паролю вам нужно сделать что-то ещё. Это затруднит жизнь злоумышленнику, который пытается «взломать» чужой аккаунт.

Представьте сейф. С помощью специального диска с цифрами вы выбираете правильный код доступа. Но ещё нужно использовать ключ. Код доступа («что я знаю») и ключ («что я имею») – два разных фактора.

Если второй фактор – это еще один пароль, то говорят «двухэтапная аутентификация».

Самые распространенные виды второго фактора:

  • SMS-код. Система просит ввести одноразовый код, который отправляет на ваш номер мобильного телефона. Возможно, самый распространенный вариант двуфакторной аутентификации.
  • Коды из мобильного приложения. Такое приложение периодически генерирует одноразовые коды. Подключение к интернету или SIM-карта не нужны. Важно, чтобы и на компьютере, и на смартфоне было одно и то же (правильное) время. Этот способ мы обычно советуем по умолчанию.
  • Резервные коды. Вы заранее генерируете одноразовые коды и храните их в надёжном месте. Очень выручает, если двухфакторная аутентификация включена одним из двух способов выше, но вы не можете воспользоваться смартфоном (потеряли, разбили и т.д.).
  • Файл-ключ. При включении двухфакторной аутентификации вы указываете какой-нибудь файл на диске (любой). Вам понадобится «предъявлять» этот файл для доступа к своему ресурсу вместе с паролем. Если потеряете файл (или измените его) – потеряете доступ. Такая защита используется, в частности, менеджером паролей KeePassXC и программой для шифрования файлов и дисков VeraCrypt.
  • Аппаратный токен. Устройство типа флешки. По смыслу это ближе всего к ключу, которым вы отпираете дверь своей квартиры.

Подумайте о том, чтобы включить двухфакторную аутентификацию хотя бы для самых важных своих аккаунтов, если вы ещё не сделали это.

По возможности лучше избегать SMS. Во-первых, сама технология разрабатывалась в те давние годы, когда про безопасность особенно не думали. При определённых условиях SMS-сообщения можно перехватить. Во-вторых, известны случаи, когда операторы мобильной связи «с подачи» злоумышленников перевыпускали SIM-карты, не извещая текущих владельцев.

Давайте посмотрим, как включить двухфакторную аутентификацию в аккаунте Google. Наша задача – использовать в качестве основного способа двухфакторной аутентификации коды из мобильного приложения, а для подстраховки – резервные коды.

 

Включение двухфакторной аутентификации в аккаунте Google

1. Откройте на компьютере браузер и войдите в свой аккаунт Google (если ещё не вошли).

2. Нажмите круглую цветную кнопку с первой буквой своего имени или аватаркой (если загружали аватарку) в правом верхнем углу экрана. Появится небольшое меню. Нажмите кнопку «Управление аккаунтом Google».

Управление аккаунтом Google

3. Вы на странице настроек аккаунта Google. В левом столбце выберите пункт «Безопасность».

Меню безопасность в настройках аккаунта Google

4. Прокрутите чуть вниз до раздела «Вход в аккаунт Google».

Настройки аккаунта Google: настройки входа в аккаунт

5. Нажмите «Двухэтапная аутентификация». Откроется приветственное окно с базовой информацией о том, что нам предстоит сделать.

Двухэтапная аутентификация Google: приветствие

6. Нажмите синюю кнопку «Начать». Придётся еще раз ввести свой пароль к аккаунту Google. Это нормально. Когда дело касается настроек, Google время от времени просит ввести пароль. Введите пароль и войдите в аккаунт.

Сначала Google предлагает три способа подключить двухфакторную аутентификацию (нажмите ссылку «Другие варианты»):

  • через SMS (мы говорили, что это не самый надёжный способ);
  • через «Уведомление от Google» (специфический метод Google; на смартфоне тоже должен быть выполнен вход в аккаунт Google);
  • с помощью физического токена.

Увы, мобильное приложение по умолчанию Google почему-то не предлагает. Что ж, включим двухфакторную аутентификацию с помощью уведомления от Google.

Настройки двухэтапной аутентификации Google: выбор способа аутентификации

7. Убедитесь, что ваше устройство в списке (то есть, на нём действительно выполнен вход в аккаунт Google).

Настройки двухaкторной аутентификации Google: выбор устройства

Нажмите синюю кнопку «Продолжить».

8. «Почти готово!» – радостно сообщает Google и предлагает указать резервный способ. Причём подсовывает нам SMS. Но вы нажмите на ссылку «ИСПОЛЬЗОВАТЬ ДРУГОЙ СПОСОБ».

9. Google сразу создаст для вас десять резервных кодов. Запишите их куда-нибудь и храните в надёжном месте.

Сохранение резервных кодов

Нажмите синюю кнопку «Далее». Выплывет ещё одно маленькое предупреждающее окошко. Выберите «Я получил коды». 

10. Google всё ещё сомневается, нужно ли включать двухфакторную аутентификацию. Нажмите синюю кнопку «Включить».

Теперь в настройках аккаунта Google вы можете видеть, что двухфакторная аутентификация (которую строгий Google упорно называет двухэтапной) включена.

Двухэтапная аутентификация Google включена

Теперь при попытке входа в аккаунт Google на компьютере у вас сначала спросят пароль, а потом попросят подтвердить вход на мобильном устройстве.

Запрос уведомления от Google

На телефоне появится запрос: 
Запрос подтверждения на телефоне

Нажмите «Да», и Google откроет доступ к вашему аккаунту на компьютере.

 

Установка приложения для генерирования кодов

Всё уже включено, зачем приложение?

Строго говоря, если двухфакторная аутентификация нужна вам только для аккаунта Google, то да, всё включено и можно больше ничего не делать. Но приложение – более универсальный вариант, и мы хотим его показать вам в этом материале. Ведь у нас много аккаунтов, где стоило бы включить двухфакторную аутентификацию. «Уведомления от Google» для них работать не будут. А коды из приложения – будут.

Возможно, самое известное приложение для генерации годов – Google Authenticator. Но вообще таких приложений много и для Android, и для iOS. Вот некоторые примеры приложений с открытым кодом:

Для иллюстраций в этом материале мы будем использовать andOTP для Android. (Если вы выбрали другое приложение, действуйте по аналогии).

Значок andOTP

Скачайте и установите приложение andOTP на ваш Android-смартфон.

 

Добавление приложения для генерирования кодов

Пусть вас не смущает, что Goolge ведёт себя так, будто никакого иного приложения для генерирования кодов, кроме Google Authenticator, не существует. Все прекрасно работает и с аналогом. 

1. Зайдите в настройки аккаунта Google, пункт «Безопасность», прокрутите немного ниже и найдите поле «Приложение Authenticator».

Включаем Google Authenticator в настройках

Нажмите «Создать».

2. Выбор операционной системы.

Включаем Google Authenticator в настройках

Выберите «Android» и нажмите «Далее».

3. Вы увидите окно с QR-кодом. Сканируя такой код с помощью мобильного устройства, можно получить необходимые данные сразу, не вводя их вручную.

Окно с QR-кодом

4. Запустите на смартфоне приложение andOTP.  Если это первый запуск andOTP, программа может сама предложить сканировать код. Если это не произошло, нажмите кнопку (+) в правом нижнем углу. 

Добавление нового аккаунта в andOTP

В выпадающем меню выберите первый пункт «Сканировать QR-код».

Сканирование QR-кода в andOTP

5. Откроется утилита сканирования. Наведите камеру смартфона на QR-код на экране вашего компьютера. QR-код будет автоматически отсканирован, а запись о вашем аккаунте Google появится в andOTP. Код (шесть цифр) будет сгенерирован немедленно. Обратите внимание: сгенерированный код действует очень небольшое время. О ходе времени можно судить по рыжей полоске под названием программы andOTP.

andOTP - код

Когда время истекает, цифры кода (обычно серые) становятся красными. Значит, лучше чуть-чуть подождать, чтобы andOTP сгенерировал новый код.

andOTP - код истекает

6. Ура, QR-код успешно сканирован, andOTP исправно выдаёт коды на смартфоне. Возвращаемся на компьютер, нажимаем «Далее». Google предложит ввести код из andOTP, сделайте это.

Ввод кода из Google Authenticator

Нажмите «Подтвердить». Если всё в порядке, Google покажет окошко с бодрой надписью «Готово!». Нажмите «Готово».

К списку вторых факторов добавится «Приложение Authenticator».

Настройки доступа к аккаунту Google с включенным Authenticator

Настройка двухфакторной аутентификации завершена. Теперь вы сможете входить в аккаунт Google с помощью одного из трёх способов: подтверждения Google, одноразового кода из приложения andOTP или резервного кода. По умолчанию это простое подтверждение на смартфоне. Переключиться на другой способ можно, если в ответ на запрос второго фактора нажать ссылку «Другой способ». Галочку в поле «Запомнить на этом компьютере» есть смысл ставить только на устройстве, которому вы доверяете, где исключён несанкционированный доступ. Двухфакторная аутентификация на этом компьютере будет отключена на 30 дней.

Если же вам нужно включить двухфакторную аутентификацию для другого сервиса, например, для Facebook, повторите шаги этого раздела для настроек Facebook и andOTP. Когда вы сделаете это, вы увидите, что andOTP генерирует коды и для Google, и для Facebook. 

Напоследок – о проблеме, которая иногда возникает у пользователей в связи с двухфакторной (двухэтапной) аутентификацией. Вы вводите на компьютере код из andOTP (или аналогичного приложения), а сервис на компьютере сообщает об ошибке. Если вы ввели код верно, проблема, скорее всего, в разных настройках времени на компьютере и на смартфоне. Это бывает, особенно при смене часовых поясов и ручном изменении системного времени. Просто установите одинаковое время на обоих устройствах.