Двухфакторная аутентификация – способ усилить защиту доступа к данным. В дополнение к привычному паролю вам нужно сделать что-то еще. Это затруднит жизнь злоумышленнику, который пытается "взломать" чужой аккаунт.

Представьте сейф. С помощью специального колесика вы выбираете правильный код доступа, но еще нужно использовать ключ. Код доступа ("что я знаю") и ключ ("что я имею") – два разных фактора.

Или – поездка из Санкт-Петербурга в Хельсинки. Вы показываете финским пограничникам паспорт ("что я имею") и прижимаете пальцы к специальному устройству, чтобы сканировать отпечатки ("что я есть"). Это тоже двухфакторная аутентификация.

Если второй фактор – это еще один пароль (код), то говорят "двухэтапная аутентификация".

Самые распространенные виды второго фактора:

• Файл-ключ. При создании защиты вы указываете какой-либо файл на диске (любой). В дальнейшем вам понадобится "предъявлять" этот файл для доступа к своему ресурсу. Потеря этого файла или его изменение, даже самое малое, будет означает невозможность доступа. Такая защита используется, в частности, менеджером паролей KeePassXC и программой для шифрования файлов и дисков Veracrypt.
• SMS-код. Система просит ввести одноразовый код, который отправляет на ваш номер мобильного телефона. Это самый распространенный вариант, его часто предлагают по умолчанию.
• Временные коды. Вы заранее генерируете одноразовые коды. Удобно, если, например, вы не можете воспользоваться своим телефоном.
• Мобильное приложение. Одноразовый код генерируется приложением на мобильном устройстве (например, смартфоне). Подключение к интернету или SIM-карта не требуются. Важно, чтобы время на вашем устройстве было указано правильно. Этот способ мы обычно советуем по умолчанию.
• Аппаратный токен. Устройство типа USB-флешки. По смыслу это ближе всего к ключу, которым вы отпираете дверь своей квартиры.

Подумайте о том, чтобы включить двухфакторную аутентификацию, если вы еще не сделали это. По возможности лучше избегать SMS. Помимо того, что сама технология довольно небезопасна, аутентификация фактически связана с SIM-картой. Известны случаи, когда операторы мобильной связи "с подачи" злоумышленников перевыпускали SIM-карты, не извещая текущих владельцев.

Допустим, пользователь уже имеет аккаунт Google. Посмотрим, как включить двухфакторную аутентификацию с мобильным приложением Google Authenticator.

1. Начнем с того, что установим на смартфон Google Authenticator. Это легко сделать из Google Play (Android) или Appstore (iPhone). Приложение не требует дополнительных настроек. Так выглядит значок Google Authenticator, не перепутайте:

2. Теперь на компьютере откройте браузер и войдите в свой аккаунт Google.

3. Нажмите круглую цветную кнопку с первой буквой своего имени в правом верхнем углу экрана. Появится меню.

4. Нажмите кнопку "Аккаунт Google". Откроется окно настроек. В левом столбце выберите пункт "Безопасность".

5. Прокрутите чуть вниз до раздела "Вход в аккаунт Google".

6. Нажмите на "Двухэтапная аутентификация". Откроется приветственное окно с базовой информацией о том, что нам предстоит сделать.

7. Нажмите кнопку "Начать". Придется еще раз ввести свой пароль к аккаунту Google. Это нормально. Когда дело касается настроек, Google время от времени просит ввести пароль (дальше мы не будем повторяться). Введите пароль и войдите в аккаунт.

По умолчанию Google предлагает подключить двухэтапную аутентификацию через "Уведомления от Google" (для этого на смартфоне тоже должен быть выполнен вход в аккаунт Google). В этом руководстве для включения двухэтапной аутентификации мы будем использовать SMS, способ по умолчанию для большинства сервисов. Нажмите "Выберите другой способ" – "SMS или телефонный звонок". 

8. Укажите номер телефона.

 

Обратите внимание: номер телефона для двухэтапной аутентификации и номер телефона, привязанный к аккаунту (для восстановления забытого пароля) – не одно и то же.

Нажмите "Далее".

9. На ваш телефон придет SMS с шестизначным кодом. Введите его и нажмите "Далее".

10. Google поздравит вас с успехом и спросит, нужно ли включить двухэтапную аутентификацию. Нажмите "Включить". Теперь в настройках аккаунта Google вы можете видеть, что двухэтапная аутентификация включена.

Здесь же указаны подробности: способ по умолчанию – SMS-сообщения – и номер телефона.

11. Прокрутите немного ниже и найдите поле "Приложение Authenticator".

Нажмите "Создать".

12. Выберите операционную систему вашего телефона и нажмите "Далее".

13. При подключении Google Authenticator вы увидите окно с QR-кодом (код, издалека напоминающий квадратик, играет роль более распространенного штрих-кода с полосками, но способен содержать больше информации; сканируя такой код с помощью мобильного устройства, можно получить необходимые данные сразу, не вводя их вручную).

14. Откройте на смартфоне приложение Google Authenticator. Если это первый запуск Google Authenticator, то после вступительных экранов приложение предложит сканировать код. Если это не первый аккаунт, настроенный в Google Authenticator, нажмите кнопку (+) в правом нижнем углу

Появится меню.

Выберите "Сканировать штрихкод". Наведите камеру смартфона на QR-код на экране вашего компьютера. QR-код будет автоматически отсканирован, а запись о вашем аккаунте Google появится в Google Authenticator. Код (шесть цифр) будет сгенерирован немедленно. Обратите внимание: сгенерированный код действует очень небольшое время, ход которого можно видеть в кружке справа от кода.

Если по каким-то причинам сканировать QR-код не получается, можете воспользоваться альтернативным способом:

• Нажмите ссылку "Не удается отсканировать код"
• Откроется окно, в котором вы увидите ключ.
• В Google Authenticator вместо "Сканировать штрихкод" выберите "Ввести ключ" и введите этот ключ, соблюдая рекомендации, которые дает Google.

15. Код, сгенерированный Google Authenticator, который нужно ввести на компьютере:

Нажмите "Подтвердить". К списку вторых факторов добавится Google Authenticator.

16. Необходимо добавить еще один способ аутентификации: резервные коды.

Одноразовые резервные коды нужны на случай, если с вашим смартфоном что-то случится: потеряется, разобьется, украдут, изымут. Вы сразу утратите доступ к Google Authenticator, привязанный к этому смартфону, а значит, к своему аккаунту Google. Чтобы такой беды не случилось, Google предлагает создать несколько резервных одноразовых кодов и сохранить их в надежном месте (точно не на смартфоне), таком как база KeePassXC.

Прокрутите страницу настроек двухфакторной аутентификации чуть ниже и найдите раздел "Резервные коды". 

Нажмите "Создать". Вы увидите десять восьмизначных кодов. Сохраните их в надежном месте.

17. Завершим настройку двухфакторной аутентификации – удалим наименее надежный метод (SMS). Он выполнил свою роль, помог нам включить двухфакторную аутентификацию, и больше не нужен. 

В списке способов двухфакторной аутентификации найдите "Голосовое сообщение или SMS".

Щелкните по значку карандашика справа. В открывшемся окошке нажмите "Удалить номер".

Настройка двухфакторной аутентификации завершена.

Как выглядит двухфакторная аутентификация для пользователя?

При входе в аккаунт Google вы, как обычно, введете пароль, а потом увидите вот такое окошко. 

Здесь нужно ввести одноразовый код из Google Authenticator на вашем смартфоне. Если смартфон недоступен, выберите ссылку "Другой способ" и используйте один из десяти одноразовых резервных кодов.

Галочку в поле "Запомнить на этом компьютере" есть смысл ставить только на "доверенном" устройстве, где исключен несанкционированный доступ. Двухфакторная аутентификация на этом компьютере будет отключена на 30 дней.

При желании вы можете удалить ставшую ненужной аутентификацию по SMS. Для этого достаточно в настройках доступа к аккаунту нажать на значок карандаша ("Редактировать") в поле "Голосовое сообщение или SMS".

Напоследок – о проблеме, которая иногда возникает у пользователей в связи с двухэтапной аутентификацией. Выглядит она так: вы вводите на компьютере код из Google Authenticator, а Google сообщает об ошибке. Если вы ввели код верно, проблема, скорее всего, в разных настройках времени на компьютере и на смартфоне. (Это бывает при смене часовых поясов и ручном изменении системного времени). Просто установите одинаковое время на обоих устройствах.