2FA (Two-Factor Authentication)

2FA, сокращение от two-factor authentication, — это схема аутентификации, которая требует от пользователя предоставить два независимых фактора подтверждения перед предоставлением доступа. Классическая таксономия факторов аутентификации включает:

• Что-то, что Вы знаете — пароль, PIN или запомненная фраза
• Что-то, что Вы имеете — телефон, аппаратный ключ, смарт-карта или зарегистрированное устройство
• Что-то, что Вы есть — биометрический признак, например отпечаток пальца, лицо или голос

Схема 2FA объединяет два фактора из разных категорий. Наиболее распространённое развёртывание в потребительском программном обеспечении сочетает пароль (то, что Вы знаете) с OTP, доставленным через SMS или сгенерированным приложением-аутентификатором (то, что Вы имеете). Менее распространённые, но более надёжные комбинации включают пароль + аппаратный ключ (FIDO2 / WebAuthn) или пароль + push-уведомление.

Посыл безопасности 2FA состоит в том, что скомпрометировать оба фактора одновременно значительно сложнее, чем скомпрометировать один. Если злоумышленник фишингует пароль, ему всё ещё нужен физический или удалённый доступ к устройству второго фактора пользователя. Если злоумышленник украдёт телефон, ему всё ещё нужно знать пароль.

На практике каналы доставки 2FA сильно различаются по фактической безопасности:

• OTP, доставленный через SMS, — самый слабый основной вариант. Атаки на замену SIM-карты, перехват SS7 и компрометация со стороны оператора могут перенаправить второй фактор злоумышленнику.
• TOTP через приложение-аутентификатор (Google Authenticator, Aegis, 2FAS) значительно надёжнее, потому что код генерируется локально на устройстве, которого нет у злоумышленника.
• Push-based 2FA (Duo, Microsoft Authenticator) удобна, но уязвима для атак на усталость от push-уведомлений, когда пользователь случайно одобряет вредоносный запрос.
• Аппаратные ключи (YubiKey, Feitian, SoloKey) — наиболее надёжный обычно доступный второй фактор, обеспечивающий защиту от фишинга через привязанные к источнику криптографические задачи.

2FA — это не то же самое, что MFA (multi-factor authentication), которая может требовать три или более факторов. В обиходной речи эти термины часто используются как синонимы. 2FA также отличается от двухэтапной проверки, которая исторически обозначала двухэтапные процессы, которые могут использовать один и тот же фактор дважды (например, пароль, за которым следует отправленный по электронной почте код), хотя эти различия размылись в современном использовании.

Несмотря на свои слабости, включение 2FA на важных аккаунтах резко снижает уровень успеха оппортунистических атак. Исследования в отрасли последовательно показывают, что 2FA блокирует более 99 процентов автоматизированных попыток перебора учётных данных.