1.2.2. Двоетапна аутентифікація (2FA)
Загальна інформація
Двоетапна аутентифікація (Two-Factor Authentication або скорочено 2FA) — це додатковий захід безпеки, після увімкнення якого при вході в панель керування потрібно буде не тільки вводити пошту облікового запису і пароль, а й додатково підтверджувати вхід одним із способів:
- Натискати на кнопку з числом у повідомленні від нашого Telegram-бота.
- Вводити одноразовий код, який буде згенерований застосунком-аутентифікатором на мобільному пристрої.
- Використовувати ключ безпеки (наприклад, смартфон або апаратний ключ).
- За наявності в обліковому записі доданого телефонного номера: запитувати дзвінок та вводити в якості коду останні 4 цифри номера, з якого надійде дзвінок, у разі проблем із дзвінком — після кількох повторних дзвінків система замість нового дзвінка надсилатиме SMS з кодом. Цей спосіб доступний як резервний спосіб до трьох попередніх і не може бути увімкнений окремо від них.
Керування двоетапною аутентифікацією виконується у персональних даних на вкладці «Безпека»:
Налаштування
Увага!
При увімкненні двоетапної аутентифікації для облікового запису автоматично скидаються всі активні сесії, крім поточної.Telegram
GAuth
Увага!
Для коректної роботи двоетапної аутентифікації через застосунок-аутентифікатор час, встановлений на мобільному пристрої, має в точності збігатися з поточним часом сервера. Якщо він не збігається, потрібно в застосунку перейти в розділ «Ще → Налаштування → Корекція часу для кодів» і натиснути «Синхронізувати».- У персональних даних відкрийте вкладку «Безпека».
- У блоці «Двоетапна аутентифікація» біля методу Google Authenticator натисніть «Увімкнути».
- Встановіть на мобільний пристрій застосунок-аутентифікатор:
- У застосунку відскануйте QR-код або введіть розташований під ним секретний ключ вручну:
- Введіть код двоетапної аутентифікації, який буде згенерований застосунком, та натисніть «Підтвердити»:
WebAuthn
Важливі моменти:
- WebAuthn можна використовувати як в якості двоетапної аутентифікації, так і для входу без пароля.
- Деякі пристрої можуть не підтримувати WebAuthn, наприклад, пристрої з застарілими версіями операційних систем, окремі моделі смартфонів Xiaomi, OnePlus та ін.
- Для кожного облікового запису на одному пристрої може зберігатися тільки один ключ доступу.
- У Windows для локального зберігання ключів доступу для облікового запису на пристрої повинен бути обов’язково налаштований ПІН-код (одного пароля недостатньо), за наявності відповідного обладнання також можна використовувати сканер відбитків пальців або розпізнавання облич.
- На Android ключі безпеки зберігаються в менеджері паролів Google і синхронізуються між пристроями. Переглянути список збережених ключів доступу, відредагувати їх або видалити можна в менеджері паролів: на Android — «Налаштування → Google → Автозаповнення → Автозаповнення від Google → Паролі», у браузері — «Google Акаунт → Безпека → Збережені паролі → Менеджер паролів».
- На iPhone ключі безпеки зберігаються у «В’язці ключів iCloud» і синхронізуються між пристроями. Переглянути список збережених ключів доступу, відредагувати їх або видалити можна в розділі «Налаштування → Паролі».
- Пристрої на Android та iPhone можуть виступати посередниками — зберігати та зчитувати ключі доступу з під’єднаних апаратних USB- або NFC-ключів.
- У менеджері паролів Bitwarden збереження та використання ключів доступу можливе тільки через браузерне розширення.
- У персональних даних відкрийте вкладку «Безпека».
- У блоці «Двоетапна аутентифікація» біля методу WebAuthn натисніть «Налаштувати».
- Введіть довільну назву пристрою, на якому зберігатимете ключ доступу, і натисніть «Додати». ⚠️ Назва пристрою вказується тільки при додаванні і після цього не змінюється. Єдиний спосіб її змінити — видалити пристрій та налаштуваті повторно.
- Зареєструйте новий ключ доступу:ПІН-код (має бути попередньо налаштований у системі):
- У вікні «Підтвердження вашої особи» виберіть «ПІН-код» (або «Цей пристрій з Windows → ПІН-код»).
- Введіть встановлений у системі ПІН-код і натисніть Enter
- У разі успіху з’явиться вікно «Ключ доступу збережено».
Ключ безпеки (апаратний USB-ключ, наприклад YubiKey):
- У вікні «Підтвердження вашої особи» виберіть «Використовувати інший пристрій → Ключ безпеки».
- У вікні «Налаштування ключа безпеки» натисніть «ОК».
- У вікні «Продовжити встановлення» натисніть «ОК».
- Вставте апаратний ключ та натисніть кнопку на ньому.
- У разі успіху з’явиться вікно «Ключ доступу збережено».
Пристрій iPhone, iPad або Android:
- У вікні «Підтвердження вашої особи» виберіть «Використовувати інший пристрій → Пристрій iPhone, iPad або Android».
- Відскануйте пристроєм QR-код.
- На пристрої буде виведена пропозиція запам’ятати його, щоб кожного разу не сканувати QR-код, — виберіть потрібний вам варіант.
- Після підключення пристрою на ньому з’явиться інформація про те, для якого сайту та в якому акаунті буде збережено ключ доступу, натисніть «Продовжити».
- Використовуйте блокування екрана на пристрої, щоб підтвердити збереження ключа.
- У разі успіху з’явиться вікно «Ключ доступу збережено».
- На пристрої з’явиться інформація про те, для якого сайту та в якому акаунті буде збережено ключ доступу, — натисніть «Продовжити».
- Використовуйте блокування екрана на пристрої, щоб підтвердити збереження ключа.
- У разі успіху з’явиться вікно «Ключ доступу збережено».
- У вікні розширення «Виберіть логін, для якого буде збережено ключ доступу» виберіть запис, для якого потрібно зберегти ключ доступу, та натисніть «Зберегти ключ доступу» (або створіть новий запис, якщо у сховищі немає збігів).
- Якщо для вибраного запису вже є ключ доступу, підтвердьте його перезапис (обов’язково переконайтеся, що ви не перезаписуєте потрібний ключ доступу).
- (Не обов’язково) Якщо ви хочете входити за ключем доступу без введення пароля, у блоці «Двоетапна аутентифікація» біля методу WebAuthn натисніть «Налаштувати» та у рядку з потрібним пристроєм увімкніть опцію «Вхід без пароля».
Вимкнення
- У персональних даних відкрийте вкладку «Безпека».
- У блоці «Двоетапна аутентифікація»:
- Для Telegram або GAuth — просто натисніть «Вимкнути».
- Для WebAuthn — натисніть «Налаштувати» та видаліть пристрої зі списку.
Використання декількох пристроїв
Увага!
З міркувань безпеки налаштовувати двоетапну аутентифікацію тільки на одному пристрої, який повністю вами контролюється і недоступний стороннім особам. Пам’ятайте, що ви несете повну відповідальність за всі дії, які можуть бути виконані в вашому обліковому записі особами, у яких буде доступ до нього.Способи організації
При вході в обліковий запис для проходження двоетапної аутентифікації можливо використовувати кілька різних пристроїв. Це можна організувати наступним чином:
- Прив’язати до одного облікового запису кілька Telegram-акаунтів. При вході наш Telegram-бот відправляє підтвердження в кожен з них.
- Додати кілька телефонних номерів. При вході можна буде вибрати, на який із них запросити дзвінок або SMS.
- Налаштувати GAuth одночасно на кількох пристроях:Якщо вже налаштований застосунок підтримує імпорт/експорт, можна експортувати дані та імпортувати їх на інший пристрій. Така можливість доступна в Google Authenticator і альтернативних застосунках, на зразок Aegis та andOTP. З її допомогою можна переносити налаштування між пристроями і створювати їх резервну копію, щоб зберегти в надійному місці на випадок непередбачених ситуацій.Можна відсканувати QR-код кількома пристроями — для цього потрібно вимкнути двоетапну аутентифікацію через застосунок (якщо вона була увімкнена) і увімкнути повторно. При цьому на етапі сканування QR-коду потрібно:
- Або відсканувати QR-код або ввести секретний ключ не на одному, а відразу на всіх потрібних пристроях.
- Або зробити скріншот з QR-кодом або скопіювати секретний ключ, щоб пізніше використовувати їх для налаштування застосунку на іншому пристрої. При використанні цього способу вкрай важливо, щоб до скриншоту або ключу не було доступу у сторонніх. Краще надійно видалити їх відразу після завершення налаштування потрібних пристроїв або зберігати їх там, де до них гарантовано не буде доступу ні у кого, крім вас.
- Налаштувати WebAuthn для потрібних пристроїв.
Вимкнення
- Видаліть зайві Telegram-акаунти.
- Видаліть зайві пристрої у налаштуваннях WebAuthn.
- Видаліть зайві телефонні номери.
- Для надійності також скиньте зайві сесії та змініть пароль облікового запису.