Два ключа лучше, чем один

Наверное, у многих на двери в квартиру стоят два замка — для большей надежности. Точно также и в компьютерных системах, чтобы впустить пользователя, часто, кроме пароля, используется еще и второй параметр. Второй пароль? Нет, ни в коем случае. Если злоумышленники как-то узнали один пароль, возможно, они заполучили всю базу или смогли внедриться в систему и перехватывают информацию. Или кто-то украл ваш ноутбук вместе со всеми паролями. В таких случаях специалисты говорят, что канал скомпрометирован. Поэтому нужен другой, независимый канал, по которому можно подтвердить, что вы это вы. Эти каналы должны быть принципиально разными.
Парольная защита основывается на знании ключа. В принципе, знанием может
обладать кто угодно — тот, кто украл или получил пароль. Тогда в игру вступает
второй фактор, который основан на владении чем-либо — чаще всего телефоном или USBключом. Конечно, эту вещь тоже можно украсть, но маловероятно, что одновременно с паролем. Обычно в роли второго канала используется SMS — вам на телефон приходит код, который надо ввести в специальное поле для подтверждения входа в систему или совершения каких-то действий. Обычно, подтверждение нужно, чтобы перевести деньги или изменить какие-то важные данные. Второй пароль? Ни в коем случае. Нужен другой, независимый канал, по которому можно подтвердить, что вы это вы.

Увы, и SMS могут перехватить. Шпионские приложения на Android умеют принимать SMS-сообщения незаметно для владельца телефона — так, что на экране не появится никаких уведомлений и не будет звукового сигнала, а потом быстренько передают полученный код жулику, который уже ввел ваш пароль на своем компьютере. Технически возможен перехват SMS и без установки шпионских программ. Это могут делать спецслужбы или коррумпированные сотрудники оператора сотовой связи — подробнее мы поговорим об этом в главе, посвященной мобильным телефонам. А пока можно остановиться на том, что в целом SMS-канал считается достаточно надежным, если вы не устанавливаете разные «левые» программы из непроверенных источников и не
даете свой телефон в руки посторонним. Непосредственно для входа в систему два ключа используют редко — мы ведь и квартиру не каждый раз закрываем на оба замка, это было бы неудобно. Но не помешает удостовериться, что входит настоящий пользователь, а не жулик, когда система замечает попытку входа с нового компьютера или телефона, — в этом случае задействуется двойная проверка. Дополнительно вам на почту придет сообщение о входе с неизвестного устройства. 
Если вам подарили новый телефон, и вы с него зашли в свой аккаунт, то это
сообщение можно просто принять к сведению. А если действительно кто-то другой пытался вас взломать, то вы узнаете об этом и сможете быстро поменять пароль. Так что не забывайте проверять вашу электронную почту, даже если не пользуетесь ею регулярно.

Кстати, поскольку пока большинство сервисов для подтверждения входа или важных действий полагается именно на SMS, не держите   телефон в одной сумке с ноутбуком — это будет слишком щедрым подарком ворам. Главный плюс подтверждения входа при помощи SMS — простота. Каждый, у кого есть мобильный телефон, с этим справится. И при этом код подтверждения всегда будет разный, а это безопаснее, чем постоянный пароль. Однако, есть и минусы — ваш телефон всегда должен быть заряжен, оплачен и находиться в зоне действия сети, иначе SMS-ка к вам не придет. К тому же для многих смартфон стал сегодня основным или даже единственным средством доступа в интернет, поэтому фактически происходит слияние двух факторов в один — если кто-то завладел вашим телефоном, он с него войдет в ваш аккаунт и на него же получит код. Так что плюс оборачивается минусом. Чем мы располагаем, кроме SMS, в качестве второго фактора? Еще можно использовать электронную почту
— это следующий по популярности канал. Вам точно также приходит на почту код, который надо ввести для подтверждения ваших прав. Более редко встречается использование телефонного звонка, когда код сообщают вам голосом. Почти совсем шло из практики использование заранее напечатанных резервных кодов и специальных генераторов ключей. USB-ключи все еще используются банками, особенно как носитель электронной подписи, но это не массовое явление.

В дополнение к паролю часто используется капча (CAPTCHA, Completely Automatic Public Turing Test to Tell Computers and Humans Apart) — механизм, с помощью которого веб-сайт отличает людей от ботов (программ-роботов), заставляя их проходить обратный Не держите телефон в одной сумке с ноутбуком — это будет слишком щедрым подарком ворам.   Обычно пользователю предлагается ввести в поле формы выражение из цифр и букв разного регистра, изображенное на автоматически сгенерированной картинке, или определить, где на показанной картинке находятся автомобили, мосты, дорожные знаки или еще что-нибудь.
Предполагается, что тупая программа с такой задачей не справится, а человек — запросто. Капча не только не допускает массовой регистрации ботов в соцсетях или на других сервисах, но еще препятствует автоматизированным попыткам взломать пароль путем перебора вариантов — ведь в таком случае
программа-взломщик должна еще распознать изображение и правильно ответить на вопрос. Теоретически это возможно, однако всегда нужно взвешивать, стоит ли овчинка выделки. Чаще всего нет, поэтому механизм капчи действительно помогает повысить уровень защищенности системы.

Станислав Макаров «Прекрасный, опасный, кибербезопасный мир». Глава 3