Як працює двофакторна автентифікація (2FA): що це таке, які види бувають і навіщо вона потрібна
Що таке двофакторна автентифікація (2FA)
Двофакторна автентифікація (Two-Factor Authentication, 2FA) — це механізм захисту облікового запису, який вимагає підтвердження особи користувача за допомогою двох незалежних факторів.
На відміну від звичайної автентифікації за логіном і паролем, 2FA значно зменшує ризик несанкціонованого доступу навіть у разі компрометації пароля.
Фактори автентифікації поділяються на три основні категорії:
-
Те, що ви знаєте - пароль, PIN-код.
-
Те, що ви маєте - телефон, апаратний токен, смарткартка.
-
Те, чим ви є - біометричні дані (відбиток пальця, Face ID).
2FA завжди використовує два різних фактори з цих категорій.
Як працює 2FA: покроково
Типовий процес автентифікації з 2FA виглядає так:
-
Користувач вводить логін і пароль.
-
Система перевіряє правильність облікових даних.
-
Додатково запитується другий фактор:
-
одноразовий код,
-
підтвердження в додатку,
-
біометрія тощо.
-
-
Лише після успішної перевірки другого фактора надається доступ.
Навіть якщо зловмисник отримає пароль, без другого фактора доступ буде заблоковано.
Основні види двофакторної автентифікації
1. SMS-коди
Користувач отримує одноразовий код через SMS.
Переваги:
-
Простота впровадження
-
Не потребує додаткових додатків
Недоліки:
-
Вразливість до SIM-swap атак
-
Залежність від мобільного зв’язку
Рекомендація: підходить для базового захисту, але не для критичних систем.
2. OTP-додатки (TOTP)
Коди генеруються в додатках, таких як:
-
Google Authenticator
-
Microsoft Authenticator
-
Authy
Код змінюється кожні 30 секунд і не передається мережею.
Переваги:
-
Високий рівень безпеки
-
Працює без інтернету
Недоліки:
-
Потрібне резервне копіювання ключів
3. Push-підтвердження
Користувач отримує push-сповіщення з кнопкою «Підтвердити вхід».
Переваги:
-
Зручність для користувача
-
Захист від фішингу (у сучасних реалізаціях)
Недоліки:
-
Потребує інтернету
-
Можливі атаки через «push fatigue»
4. Апаратні ключі безпеки
Фізичні пристрої, наприклад:
-
YubiKey
-
Titan Security Key
Працюють за стандартами FIDO2 / U2F.
Переваги:
-
Найвищий рівень безпеки
-
Стійкість до фішингу
Недоліки:
-
Додаткові витрати
-
Потрібно мати ключ фізично
5. Біометрична автентифікація
Використання:
-
відбитка пальця,
-
розпізнавання обличчя,
-
сканування райдужної оболонки ока.
Переваги:
-
Зручність
-
Неможливо «забути»
Недоліки:
-
Залежність від обладнання
-
Питання конфіденційності
Навіщо потрібна двофакторна автентифікація
Основні загрози, які вирішує 2FA:
-
Викрадення паролів (фішинг, malware)
-
Повторне використання паролів
-
Перебір облікових даних (credential stuffing)
-
Витоки баз даних
За статистикою, 2FA блокує понад 99% автоматизованих атак на облікові записи.
Практичні приклади, як 2FA допомагає
Приклад 1: Захист електронної пошти
Електронна пошта часто використовується для відновлення доступу до інших сервісів. Навіть якщо пароль буде викрадений, 2FA не дозволить зловмиснику увійти.
Приклад 2: Корпоративні системи
У компаніях 2FA захищає:
-
VPN-доступ
-
Microsoft 365 / Google Workspace
-
CRM та ERP системи
Це значно зменшує ризик компрометації внутрішньої інфраструктури.
Рекомендації з впровадження 2FA
-
Використовуйте TOTP або апаратні ключі замість SMS
-
Увімкніть 2FA для всіх адміністративних облікових записів
-
Зберігайте резервні коди доступу
-
Поєднуйте 2FA з менеджерами паролів
-
Навчайте користувачів розпізнавати фішинг