Двухэтапная аутентификация — Проект SAFE
Инструменты
Двухэтапная аутентификация

Знакомимся с двухэтапной аутентификацией и настраиваем аккаунт Google

Двухэтапная аутентификация – способ усилить защиту доступа к данным. В дополнение к привычному паролю вам нужно сделать что-то еще – например, ввести секретный код. Это затруднит жизнь злоумышленнику, который пытается "взломать" чужой аккаунт. Если для доступа используются два принципиально разных способа, такой вариант называется двухфакторной аутентификацией.

Предположим, вы должны открыть сейф: с помощью специального колесика выбрать правильный код доступа и вставить ключ в скважину. Код доступа ("что я знаю") и ключ ("что я имею") – два разных фактора.

Другой пример – поездка из Москвы в Ригу. Вы показываете латвийским пограничникам паспорт ("что я имею") и прижимаете пальцы к специальному устройству, чтобы сканировать отпечатки ("что я есть"). Это тоже двухфакторная аутентификация.

Разные авторы иногда используют свои названия того же подхода: двухфакторная идентификация, двухфакторная авторизация.

В мире компьютеров "первичным" способом авторизации был и остается ввод пароля. Вот некоторые дополнительные способы:

  • Файл-ключ. При создании защиты вы указываете какой-либо файл на диске (любой). В дальнейшем вам понадобится "предъявлять" этот файл для доступа к своему ресурсу. Потеря этого файла или его изменение, даже самое малое, будет означает невозможность доступа. Файлы-ключи используются, в частности, менеджером паролей KeePassX и шифровальными программами для защиты файлов и дисков Truecrypt и Veracrypt.
  • SMS-код. При попытке доступа система просит ввести уникальный код, который отправляет на ваш номер мобильного телефона. Это самый распространенный вариант, который часто предлагается "по умолчанию" там, где поддерживается двухэтапная аутентификация.
  • Временные коды. Учитывая, что мобильная связь может быть доступна не всегда, иногда бывает разумно заранее сгенерировать коды, распечатать их и использовать в поездке.
  • Мобильное приложение. В этом случае специальный код генерируется приложением на мобильном устройстве (смартфоне, планшете). Подключение к интернету или SIM-карта не требуются, однако важно, чтобы время на вашем устройстве было указано правильно, так как генерация кодов зависит от времени. Вы можете использовать одно и то же мобильное приложение для генерации кодов разных аккаунтов в разных сервисах.
  • Аппаратный токен. Это уже не программа, а устройство (типа USB-флешки). По смыслу это ближе всего к ключу, которым вы отпираете дверь своей квартиры.

Мы рекомендуем использовать двухэтапную (двухфакторную) аутентификацию, когда это возможно. Однако, мы советуем не прибегать к способу аутентификации через SMS-коды. При этом способе аутентификация связана с SIM-картой. Известны случаи, когда операторы мобильной связи по инициативе злоумышленников перевыпускали SIM-карту пользователя, не извещая реального владельца.

Как правило, система позволяет указать устройства, которыми вы пользуетесь постоянно, как "доверенные", и впоследствии для них будет достаточно вводить пароль.

Посмотрим для примера, как включить двухфакторную аутентификацию в Google, используя вариант с мобильным приложением Google Authenticator.

Мы предполагаем, что пользователь уже имеет аккаунт Google и может самостоятельно установить на свой смартфон Google Authenticator. Это легко сделать из Google Play (Android) или iTunes (iPhone/iPad). Приложение не требует дополнительной конфигурации. Сделайте это, пожалуйста, перед тем, как переходить к настройке аккаунта Google. В нашем примере мы будем считать, что приложение Google Authenticator установлено на смартфоне Android.

1. Откройте браузер и войдите в свой аккаунт Google.

2. Нажмите круглую цветную кнопку с первой буквой своего имени в правом верхнем углу экрана. Появится меню.

Настройки аккаунта Google

3. Нажмите кнопку "Мой аккаунт". Откроется окно настроек вашего аккаунта Google. Обратите внимание на раздел "Безопасность и вход".

Настройки аккаунта Google: безопасность и вход

4. Нажмите ссылку "Вход в аккаунт Google".

Настройки входа в аккаунт Google

5. Нажмите на "Двухэтапная аутентификация". Откроется приветственное окно с базовой информацией о том, что нам предстоит сделать.

Двухэтапная аутентификация Google: приветствие

6. Нажмите кнопку "Приступить". Придется еще раз ввести свой пароль к аккаунту Google. Сделайте это и нажмите кнопку "Войти". Теперь вам предложат указать номер телефона.

Настройки двухэтапной аутентификации Google: добавление номера телефона

7. Google позволяет включить двухэтапную аутентификацию только по номеру мобильного телефона. (Обратите внимание: указание номера телефона для двухэтапной аутентификации и привязка номера телефона к аккаунту – не одно и то же). Итак, укажите номер мобильного телефона, включая код региона (код страны указывать не надо – страна выбирается с помощью национального флажка из выпадающего списка прямо перед номером). Нажмите на ссылку "Попробуйте сейчас!" в правом нижнем углу этого окна.

Подтверждение номера

8. На ваш телефон придет SMS с шестизначным кодом. Введите его в окошко "Подтверждение номера" и нажмите "Далее".

Номер подтвержден

9. Google поздравит вас с успехом и спросит, нужно ли включить двухэтапную аутентификацию.  Нажмите "Включить". Теперь в настройках аккаунта Google вы можете видеть, что двухэтапная аутентификация включена.

Двухэтапная аутентификация Google включена

10. Можно нажать на это поле, и вы увидите подробности (способ по умолчанию – SMS-сообщения – и номер телефона).

Типы двухэтапной аутентификации Google

11. Прокрутите немного ниже и найдите поле "Приложение Authenticator". Нажмите "Настроить".

Включаем Google Authenticator в настройках

12. Поскольку в нашем примере мы пользуемся смартфоном на Android, оставляем выбор по умолчанию и нажимаем "Далее". Снова придется ввести пароль к аккаунту Google (и код, присланный по SMS). Вы увидите окно с QR-кодом (код, издалека напоминающий квадратик, играет роль более распространенного штрих-кода с полосками, но способен содержать больше информации; сканируя такой код с помощью мобильного устройства, можно получить необходимые данные сразу, не вводя их вручную).

Окно с QR-кодом

13. Откройте на смартфоне приложение Google Authenticator. Если это первый запуск Google Authenticator, то после вступительных экранов вы окажетесь в главном окне; перейдите к шагу 15. Если это не первый аккаунт, настроенный вами в Google Authenticator, нажмите кнопку в правом верхнем углу

Кнопка меню Google Authenticator

Появится меню.

Меню Google Authenticator

14. Выберите "Настроить аккаунт".

Выбор сканирования штрих-кода

15. Выберите "Сканировать штрих-код". Наведите камеру смартфона на QR-код на экране вашего компьютера. QR-код будет автоматически отсканирован, а ваш аккаунт Google появится в окне приложения Google Authenticator. Код (шесть цифр) будет сгенерирован немедленно. Обратите внимание: сгенерированный код действует очень небольшое время, ход которого можно видеть в кружке справа от кода.

Генерация кода в Google Authenticator

Если по каким-то причинам сканировать QR-код не получается, можете воспользоваться альтернативным способом:

  • Нажмите ссылку "Не удается отсканировать код?"
  • Откроется окно, в котором вы увидите ключ.
  • В Google Authenticator вместо "Сканировать штрих-код" выберите "Введите ключ" и введите этот ключ, соблюдая рекомендации, которые дает Google.

16. Код, сгенерированный Google Authenticator, который нужно ввести в окно настроек доступа к аккаунту Google на компьютере:

Ввод кода из Google Authenticator

17. Настройки аккаунта Google отныне будут выглядеть так:

Настройки доступа к аккаунту Google с включенным Authenticator

Синяя полоска слева от аккаунта указывает, какой способ двухэтапной аутентификации выбран по умолчанию.

Теперь каждый раз для входа в аккаунт Google вам понадобится сначала вводить пароль, запускать Google Authenticator на своем смартфоне и вводить код, сгенерированный Google Authenticator, в окно для доступа к аккаунту Google:

Запрос кода (двухэтапная аутентификация)

Обратите внимание: галочку в поле "Запомнить на этом компьютере" лучше убрать из соображений безопасности.

При желании вы можете удалить ставшую ненужной аутентификацию по SMS. Для этого достаточно в настройках доступа к аккаунту нажать на значок карандаша ("Редактировать") в поле "Голосовое сообщение или SMS".

Удаление SMS-авторизации из настроек Google

Появится новое окно.

Удаление SMS-авторизации из настроек Google

Нажмите "Удалить номер".

Удаление возможности аутентификации по SMS, которое мы только что описали, не удалит ваш телефонный номер, привязанный к аккаунту Google и используемый для восстановления забытого пароля. Чтобы удалить этот номер (по соображениям безопасности это рекомендуется сделать), выберите в настройках аккаунта Google "Конфиденциальность > Личная информация > Телефон".

Напоследок расскажем об ошибке, которая иногда возникает у пользователей в связи с двухэтапной аутентификацией. Симптом: вы генерируете код с помощью Google Authenticator, вводите его для доступа к аккаунту Google, но система сообщает, что код ошибочен. Если вы ввели код верно, скорее всего, ошибка кроется в неправильном времени. (Это нередко происходит во время поездок между часовыми поясами, когда пользователь вручную меняет дату и время на своих устройствах).

1. Убедитесь, что время в вашем смартфоне и компьютере установлено правильно. Попробуйте ввести код еще раз.

2. Если ситуация не изменяется, подключите смартфон к интернету. Нажмите кнопку в правом верхнем углу.

Кнопка меню Google Authenticator

Появится меню.

Меню Google Authenticator

3. Выберите "Настройки".

Настройки Google Authenticator: коррекция времени

4. Выберите "Коррекция времени для кодов".

Коррекция времени для кодов - синхронизация

5. Выберите "Синхронизировать". Нажмите "ОК", вернитесь к генератору кодов и попробуйте снова.

Версия для печати