Что объединяет сервисы Apple ID, Госуслуги, Github, Битрикс24, банковские приложения? Все они используют двухфакторную аутентификацию. Этот механизм требует ввода не только пароля, но и дополнительного фактора, подтверждающего владельца учетной записи. Важной его особенностью является отличающаяся сущность: если пароль — это «то, что знает пользователь», то второй фактор должен быть либо «тем, что он имеет» (например, телефон), либо «тем, кто есть пользователь» (например, отпечаток пальца).
Такая архитектура усиливает идентификацию и снижает риск несанкционированного доступа. Леонид Плетнёв, бизнес-партнёр по информационной безопасности, разбирает основы технологии.
Ниже представлены виды и примеры двухфакторной аутентификации:

Вид
Принцип действия
Пример

Мобильные приложения-аутентификаторы (то, что имеешь)
При включении функции единоразово задается одинаковый секрет и в приложении-аутентификаторе, и в защищаемом сервисе. На основании секрета приложение и сервис независимо друг от друга формируют одноразовый код по одинаковому алгоритму. Пользователь вводит код в сервис, происходит сравнивание кодов и при совпадении — успешная аутентификация.
Kaspersky Password Manager, Яндекс.Ключ, Google Authenticator

Аппаратные ключи (то, что имеешь)
Основной принцип действия заключается в защищенном хранении секрета на аппаратном устройстве. Могут быть реализованы разные алгоритмы, например, второй фактор вычисляется на основе закрытого криптографического ключа. Сервис, в котором проходит аутентификация, делает сверку по соответствующему открытому ключу. Устройства могут подключаться через USB или работать бесконтактно.
JaCarta, Рутокен, YubiKey

СМС / Электронная почта (то, что имеешь)
Принцип работы похож на способ формирования второго фактора приложением-аутентификатором, при этом генерация кода происходит на стороне инфраструктуры защищаемого сервиса. Код приходит посредством СМС на доверенный номер телефона или электронным письмом на доверенную почту, а пользователь вводит значение полученного фактора в клиентском приложении защищаемого сервиса.

Push-сообщение (то, что имеешь)
Самый популярный и удобный вид аутентификации. Сначала пользователю необходимо авторизоваться (обычно с помощью 2ФА через СМС) в доверенном мобильном приложении, которое связано с защищаемым сервисом через сервер push-сообщений. В это приложение будет приходить пуш-уведомление с вопросом на подтверждение входа или с кодом. При ответе «да» или вводе правильного кода — успешная аутентификация.
Яндекс ID, ВКонтакте, Битрикс24

Биометрия (то, кем являешься)
Принцип заключается в считывании сканером биометрических данных и в их математическом преобразовании в код, который сравнивается с ранее сохраненным в защищаемом сервисе эталонным кодом.
Радужка глаза, лицо, отпечаток пальца

Если не сталкиваться с инцидентами взлома личного аккаунта, например в социальных сетях или со случаями компрометации корпоративной учетной записи, например от портала, то 2ФА может показаться лишней неудобной функцией. Это заблуждение, и оно безжалостно развеивается статистикой — 88% атак на пользователей проходят с использованием ранее украденных паролей. Также на текущий момент свыше 4 млрд паролей есть в базах утечек, а атаки перебора автоматически тестируют десятки тысяч вариантов в минуту. Простые шестисимвольные пароли поддаются подбору за секунды, сложные четырнадцатисимвольные — за часы при наличии мощностей.
Старый недобрый фишинг
Самый популярный способ украсть данные — фишинг. Пользователь обманом направляется на поддельный клон оригинального сайта/портала/web-почты, где он вводит свои данные для авторизации, отдавая их в руки хакера.
Жертве может прийти сообщение в мессенджере со знакомым именем отправителя: «Я на встрече, срочно нужно согласовать документ, ссылка внутри». Привычность канала притупляет реакцию, и пользователь, не задумываясь, открывает поддельную страницу.
Но тактика фишинга не стоит на месте. Все чаще злоумышленники переходят от одиночных писем к адаптивным сценариям: собирают поведенческие признаки, учитывают устройство и время активности, подстраивают содержание под контекст жизни пользователя. ИИ же только способствует этому, помогая сочинять правдоподобные легенды, подбирать тон общения, а также делать атаки массовыми.
Зловреды-инфостилеры
Не менее известный вариант кибератаки — получение зловреда-инфостилера, незаметно крадущего идентификаторы и пароли. Распространяются такие программы под видом бесплатных VPN, взломанных версий ПО, обновлений браузера и другого софта.
Свежий пример — недавние атаки с использованием RedTiger. Это набор утилит для тестирования на проникновение, который распространяется открыто и без ограничений. Злоумышленники берут его код, собирают под видом игровых инструментов и распространяют через форумы и каналы Discord. После установки такой файл начинает собирать токены Discord, данные браузеров, криптокошельков и платёжные сведения, делает скриншоты и отправляет полученный архив атакующему.
Украденная информация в ходе утечек из одних программ может автоматически перебираться и подставляться хакерами для компрометации других. Такие атаки успешны потому, что многие используют одинаковые пароли для разных электронных сервисов. При этом базы украденных паролей содержат сотни миллионов утекших записей, а по совокупности их в «даркнете» — миллиарды.
Автоматизация хакинга
При проведении атак злоумышленники используют автоматизированные инструменты, позволяющие взломать учетную запись. Как раз второй фактор существенно усложняет жизнь хакеру: вместо автоперебора (подстановки, распыления) паролей с помощью ботов ему требуется самому включаться в атаку, придумывать способ коммуникации с жертвой, метод введения ее в заблуждение для получения второго фактора. Такие неленивые преступники тоже есть — работают целые колл-центры. Есть и более сложные технические способы заполучить пароль и фактор: перехват сессии, дополнительный фишинг, установка вредоносного ПО на сотовый телефон.
При этом стоимость и время атаки для хакеров существенно повышается, а риск потерять важные данные или понести финансовый ущерб для пользователя с 2ФА сильно снижается. Остается быть внимательным, не поддаваться уловкам злоумышленников при их звонках по телефону и не передавать второй фактор другим лицам, а также использовать антивирус и обновленное проверенное ПО из достоверных источников.
Вместо заключения
Настоящая защита — это не только оперативное реагирование на инцидент, но и привычка оценивать последствия своих действий или бездействий. Того, кто выбирает оставить все как есть и полагаться только на удачу, рано или поздно ждут испытания. В противовес этому — умение быстро адаптироваться к внешним вызовам, возможно, испытывать временный дискомфорт от изменений, но зато быть уверенным и защищенным.