Различные службы предлагают разные двухфакторные методы проверки подлинности, и в некоторых случаях вы можете выбрать один из нескольких вариантов. Вот как они работают и как они отличаются.
Проверка SMS
Это удобно, так как вам не нужно ничего делать, и у большинства людей есть сотовые телефоны. Некоторые службы даже набирают номер телефона и имеют автоматическую систему, которая говорит код, позволяя использовать это с фиксированным номером телефона, который не может получать текстовые сообщения.
Однако есть большие проблемы с проверкой SMS. Атакующие могут использовать атаки смены SIM-карты, чтобы получить доступ к вашим защищенным кодам или перехватить их из-за недостатков в сотовой сети. Мы рекомендуем использовать SMS-сообщения, если это возможно. Однако SMS-сообщения по-прежнему гораздо более безопасны, чем вообще не используют двухфакторную аутентификацию!
Коды, созданные приложением (например, Google Authenticator и Authy)
Установите приложение, сканируйте код при настройке новой учетной записи, и это приложение будет генерировать новые коды примерно каждые 30 секунд. При входе в учетную запись вам нужно будет ввести текущий код, отображаемый в приложении на телефоне, а также пароль.
Это вовсе не требует сотового сигнала, а «семя», которое позволяет приложению генерировать эти ограниченные по времени коды, сохраняется только на вашем устройстве. Это означает, что он намного безопаснее, так как даже тот, кто получает доступ к вашему номеру телефона или перехватывает ваши текстовые сообщения, не будет знать ваши коды.
Некоторые службы, например, Battle.net Authenticator от Blizzard, также имеют свои собственные приложения, генерирующие код.
Ключи физической аутентификации
Это решение работает лучше, чем проверка SMS и одноразовый код, поскольку он не может быть перехвачен и запутан. Это также проще и удобнее в использовании. Например, фишинг-сайт может показать вам поддельную страницу входа в Google и зафиксировать ваш одноразовый код при попытке входа в систему. Затем они смогут использовать этот код для входа в Google. Но с помощью физического ключа аутентификации, который работает совместно с вашим браузером, браузер может гарантировать, что он общается с реальным сайтом, и код не может быть захвачен злоумышленником.
Ожидайте увидеть их в будущем.
Аутентификация на основе приложений
Двухэтапная проверка Apple работает аналогично, хотя она не использует приложение - она использует операционную систему iOS. Всякий раз, когда вы пытаетесь войти в систему с нового устройства, вы можете получить одноразовый код, отправленный зарегистрированному устройству, например, вашему iPhone или iPad. Мобильное приложение Twitter имеет аналогичную функцию, называемую также верификацией. И Google и Microsoft добавили эту функцию в приложения для смартфонов Google и Microsoft Authenticator.
Электронные системы
Это не так безопасно, как другие двухступенчатые методы проверки, так как кому-то может быть легко получить доступ к вашей учетной записи электронной почты, особенно если вы не используете двухэтапную аутентификацию! Избегайте проверки по электронной почте, если вы можете использовать что-то более сильное. (К счастью, Steam предлагает аутентификацию на основе приложений в своем мобильном приложении.)
Последний курорт: коды восстановления
Коды восстановления обеспечивают защиту, если вы потеряете двухфакторный метод проверки подлинности. Когда вы настраиваете двухфакторную аутентификацию, вам обычно будут предоставлены коды восстановления, которые вы должны записать и сохранить в безопасном месте. Они понадобятся вам, если вы потеряете свой двухэтапный метод проверки.
Убедитесь, что у вас есть копия кодов восстановления где-то, если вы используете двухэтапную аутентификацию.
Вы не найдете этого много вариантов для каждой из своих учетных записей. Однако многие службы предлагают несколько двухэтапных методов проверки, которые вы можете выбрать.
Существует также возможность использования нескольких двухфакторных методов проверки подлинности. Например, если вы настроите приложение, генерирующее код, и физический ключ безопасности, вы можете получить доступ к своей учетной записи через приложение, если потеряете физический ключ.