2FA

2FA

В этой заметке хочу выразить свое мнение по поводу двухфакторной аутентификации вообще и телефонной в частности.

В последние годы ее вставляют абсолютно везде: в интернет-банкинге, мобильных приложениях, во входе на сайтах и т.д.
Вспомним вообще, что это такое. Обычная однофакторная аутентификация - когда мы входим, например, на сайт по паролю или какому-нибудь usb-токену, или биометрии, или FaceID. Двухфакторная  - когда мы дополнительно используем второй фактор для подтверждения входа. Чаще всего это СМС (хотя сейчас он уже признается небезопасным каналом). Например, вы входите по логину и паролю в интернет-магазин, вас после этого не пускает дальше и запрашивается код из СМС.

Приведу тут достоинства и недостатки двухфакторной аутентификации.

Достоинства

  • Безопасность

Недостатки

  • Нужно иметь под рукой смартфон или аутентификатор
  • Лишние телодвижения при аутентификации

Мое непопулярное мнение состоит в том, что мне в принципе не нужна двухфакторная аутентификация нигде.
Поясню. Есть по сути два диаметрально противоположных варианта - либо мы используем 2FA, либо нет. Если мы ее используем - нас сложнее взломать. Однако если мы ее не используем - то мы можем проснуться где-нибудь в избушке лесника в Сибири, зайти в интернет с ноутбука с Windows XP на последнем уровне заряда батареи и без проблем зайти в личный кабинет, помня только адрес сайта, логин и пароль.

Между риском однажды потерять доступ к аккаунту и альтернативой - терпеть постоянные неудобства из-за необходимости вводить лишнее поле, а однажды и вообще потерять возможность зайти в аккаунт прямо сейчас я всегда буду выбирать первое.

Небольшой список примеров в моей жизни, где мне мешает 2FA:

  • Однажды когда мне в другой стране понадобилось срочно зайти в интернет-банк - я не смог этого сделать из-за обязательной двухфакторной аутентификации на входе (смски в роуминге не приходили)
  • Зашел в браузере в давно не используемый Google-аккаунт, созданный для родственника. На входе сразу же запрос на привязку номера сотового. Я привязал номер родственника, и буквально через 20 минут при повторном входе с того же компьютера получаю сообщение о том, что я захожу из подозрительного места и будьте добры ввести смс-код. До свидания, аккаунт, приятно было повидаться. Прощай, настройка)
  • Постоянные требования [Github](https://github.com) при входе ввести код из email меня просто нереально подбешивают. Я согласен, чтобы мои публичные репозитории украли и перепродали в Даркнет или еще куда, только уберите эти проверки!
  • Работа в Itunes Connect. Раньше для настройки приложения, которое я поддерживаю, я спокойно заходил с аккаунта владельца (с его согласия) и не было абсолютно никаких проблем. Теперь же для аккаунтов разработчиков Apple требует принудительно ставить 2FA, после чего у нас начинается веселый цирк с конями: "Напишите пароль, который пришел на айфон, это я захожу".

    В будущем для своих пользователей на любом сайте/сервисе, где я буду разработчиком, я всегда буду оставлять возможность отключить двухфакторную аутентификацию (в настройках личного кабинета, например), если у меня будет такая возможность.