Що таке двофакторна автентифікація (2FA)

Двофакторна автентифікація (Two-Factor Authentication, 2FA) — це механізм захисту облікового запису, який вимагає підтвердження особи користувача за допомогою двох незалежних факторів.

На відміну від звичайної автентифікації за логіном і паролем, 2FA значно зменшує ризик несанкціонованого доступу навіть у разі компрометації пароля.

Фактори автентифікації поділяються на три основні категорії:

1. Те, що ви знаєте - пароль, PIN-код.

2. Те, що ви маєте - телефон, апаратний токен, смарткартка.

3. Те, чим ви є - біометричні дані (відбиток пальця, Face ID).

2FA завжди використовує два різних фактори з цих категорій.

Як працює 2FA: покроково

Типовий процес автентифікації з 2FA виглядає так:

1. Користувач вводить логін і пароль.

2. Система перевіряє правильність облікових даних.

3. Додатково запитується другий фактор:

   • одноразовий код,

   • підтвердження в додатку,

   • біометрія тощо.

4. Лише після успішної перевірки другого фактора надається доступ.

Навіть якщо зловмисник отримає пароль, без другого фактора доступ буде заблоковано.

Основні види двофакторної автентифікації

1. SMS-коди

Користувач отримує одноразовий код через SMS.

Переваги:

• Простота впровадження

• Не потребує додаткових додатків

Недоліки:

• Вразливість до SIM-swap атак

• Залежність від мобільного зв’язку

Рекомендація: підходить для базового захисту, але не для критичних систем.

2. OTP-додатки (TOTP)

Коди генеруються в додатках, таких як:

• Google Authenticator

• Microsoft Authenticator

• Authy

Код змінюється кожні 30 секунд і не передається мережею.

Переваги:

• Високий рівень безпеки

• Працює без інтернету

Недоліки:

• Потрібне резервне копіювання ключів

3. Push-підтвердження

Користувач отримує push-сповіщення з кнопкою «Підтвердити вхід».

Переваги:

• Зручність для користувача

• Захист від фішингу (у сучасних реалізаціях)

Недоліки:

• Потребує інтернету

• Можливі атаки через «push fatigue»

4. Апаратні ключі безпеки

Фізичні пристрої, наприклад:

• YubiKey

• Titan Security Key

Працюють за стандартами FIDO2 / U2F.

Переваги:

• Найвищий рівень безпеки

• Стійкість до фішингу

Недоліки:

• Додаткові витрати

• Потрібно мати ключ фізично

5. Біометрична автентифікація

Використання:

• відбитка пальця,

• розпізнавання обличчя,

• сканування райдужної оболонки ока.

Переваги:

• Зручність

• Неможливо «забути»

Недоліки:

• Залежність від обладнання

• Питання конфіденційності

Навіщо потрібна двофакторна автентифікація

Основні загрози, які вирішує 2FA:

• Викрадення паролів (фішинг, malware)

• Повторне використання паролів

• Перебір облікових даних (credential stuffing)

• Витоки баз даних

За статистикою, 2FA блокує понад 99% автоматизованих атак на облікові записи.

Практичні приклади, як 2FA допомагає

Приклад 1: Захист електронної пошти

Електронна пошта часто використовується для відновлення доступу до інших сервісів. Навіть якщо пароль буде викрадений, 2FA не дозволить зловмиснику увійти.

Приклад 2: Корпоративні системи

У компаніях 2FA захищає:

• VPN-доступ

• Microsoft 365 / Google Workspace

• CRM та ERP системи

Це значно зменшує ризик компрометації внутрішньої інфраструктури.

Рекомендації з впровадження 2FA

• Використовуйте TOTP або апаратні ключі замість SMS

• Увімкніть 2FA для всіх адміністративних облікових записів

• Зберігайте резервні коди доступу

• Поєднуйте 2FA з менеджерами паролів

• Навчайте користувачів розпізнавати фішинг