1.2.2. Двоетапна аутентифікація (2FA)

Двоетапна аутентифікація (Two-Factor Authentication або скорочено 2FA) — це додатковий захід безпеки, після увімкнення якого при вході в панель керування потрібно буде не тільки вводити пошту облікового запису і пароль, а й додатково підтверджувати вхід одним із способів:

  • Натискати на кнопку з числом у повідомленні від нашого Telegram-бота.
  • Вводити одноразовий код, який буде згенерований застосунком-аутентифікатором на мобільному пристрої.
  • Використовувати ключ безпеки (наприклад, смартфон або апаратний ключ).
  • За наявності в обліковому записі доданого телефонного номера: запитувати дзвінок та вводити в якості коду останні 4 цифри номера, з якого надійде дзвінок, у разі проблем із дзвінком — після кількох повторних дзвінків система замість нового дзвінка надсилатиме SMS з кодом. Цей спосіб доступний як резервний спосіб до трьох попередніх і не може бути увімкнений окремо від них.

Керування двоетапною аутентифікацією виконується у персональних даних на вкладці «Безпека»:

Увага!

При увімкненні двоетапної аутентифікації для облікового запису автоматично скидаються всі активні сесії, крім поточної.
Двоетапна аутентифікація через Telegram автоматично вмикається при прив’язці Telegram-акаунта і при бажанні може бути вимкнена.
  1. Додайте Telegram-акаунт (якщо не доданий).
  2. У персональних даних відкрийте вкладку «Безпека».
  3. У блоці «Двоетапна аутентифікація» біля методу Telegram натисніть «Увімкнути».

Увага!

Для коректної роботи двоетапної аутентифікації через застосунок-аутентифікатор час, встановлений на мобільному пристрої, має в точності збігатися з поточним часом сервера. Якщо він не збігається, потрібно в застосунку перейти в розділ «Ще → Налаштування → Корекція часу для кодів» і натиснути «Синхронізувати».
  1. У персональних даних відкрийте вкладку «Безпека».
  2. У блоці «Двоетапна аутентифікація» біля методу Google Authenticator натисніть «Увімкнути».
  3. Встановіть на мобільний пристрій застосунок-аутентифікатор:
  4. У застосунку відскануйте QR-код або введіть розташований під ним секретний ключ вручну:
  5. Введіть код двоетапної аутентифікації, який буде згенерований застосунком, та натисніть «Підтвердити»:

Важливі моменти:

  • WebAuthn можна використовувати як в якості двоетапної аутентифікації, так і для входу без пароля.
  • Деякі пристрої можуть не підтримувати WebAuthn, наприклад, пристрої з застарілими версіями операційних систем, окремі моделі смартфонів Xiaomi, OnePlus та ін.
  • Для кожного облікового запису на одному пристрої може зберігатися тільки один ключ доступу.
  • У Windows для локального зберігання ключів доступу для облікового запису на пристрої повинен бути обов’язково налаштований ПІН-код (одного пароля недостатньо), за наявності відповідного обладнання також можна використовувати сканер відбитків пальців або розпізнавання облич.
  • На Android ключі безпеки зберігаються в менеджері паролів Google і синхронізуються між пристроями. Переглянути список збережених ключів доступу, відредагувати їх або видалити можна в менеджері паролів: на Android — «Налаштування → Google → Автозаповнення → Автозаповнення від Google → Паролі», у браузері — «Google Акаунт → Безпека → Збережені паролі → Менеджер паролів».
  • На iPhone ключі безпеки зберігаються у «В’язці ключів iCloud» і синхронізуються між пристроями. Переглянути список збережених ключів доступу, відредагувати їх або видалити можна в розділі «Налаштування → Паролі».
  • Пристрої на Android та iPhone можуть виступати посередниками — зберігати та зчитувати ключі доступу з під’єднаних апаратних USB- або NFC-ключів.
  • У менеджері паролів Bitwarden збереження та використання ключів доступу можливе тільки через браузерне розширення.
  1. У персональних даних відкрийте вкладку «Безпека».
  2. У блоці «Двоетапна аутентифікація» біля методу WebAuthn натисніть «Налаштувати».
  3. Введіть довільну назву пристрою, на якому зберігатимете ключ доступу, і натисніть «Додати». ⚠️ Назва пристрою вказується тільки при додаванні і після цього не змінюється. Єдиний спосіб її змінити — видалити пристрій та налаштуваті повторно.
  4. Зареєструйте новий ключ доступу:
    ПІН-код (має бути попередньо налаштований у системі):
    1. У вікні «Підтвердження вашої особи» виберіть «ПІН-код» (або «Цей пристрій з Windows → ПІН-код»).
    2. Введіть встановлений у системі ПІН-код і натисніть Enter
    3. У разі успіху з’явиться вікно «Ключ доступу збережено».

    Ключ безпеки (апаратний USB-ключ, наприклад YubiKey):

    1. У вікні «Підтвердження вашої особи» виберіть «Використовувати інший пристрій → Ключ безпеки».
    2. У вікні «Налаштування ключа безпеки» натисніть «ОК».
    3. У вікні «Продовжити встановлення» натисніть «ОК».
    4. Вставте апаратний ключ та натисніть кнопку на ньому.
    5. У разі успіху з’явиться вікно «Ключ доступу збережено».

    Пристрій iPhone, iPad або Android:

    1. У вікні «Підтвердження вашої особи» виберіть «Використовувати інший пристрій → Пристрій iPhone, iPad або Android».
    2. Відскануйте пристроєм QR-код.
    3. На пристрої буде виведена пропозиція запам’ятати його, щоб кожного разу не сканувати QR-код, — виберіть потрібний вам варіант.
    4. Після підключення пристрою на ньому з’явиться інформація про те, для якого сайту та в якому акаунті буде збережено ключ доступу, натисніть «Продовжити».
    5. Використовуйте блокування екрана на пристрої, щоб підтвердити збереження ключа.
    6. У разі успіху з’явиться вікно «Ключ доступу збережено».
    1. На пристрої з’явиться інформація про те, для якого сайту та в якому акаунті буде збережено ключ доступу, — натисніть «Продовжити».
    2. Використовуйте блокування екрана на пристрої, щоб підтвердити збереження ключа.
    3. У разі успіху з’явиться вікно «Ключ доступу збережено».
    1. У вікні розширення «Виберіть логін, для якого буде збережено ключ доступу» виберіть запис, для якого потрібно зберегти ключ доступу, та натисніть «Зберегти ключ доступу» (або створіть новий запис, якщо у сховищі немає збігів).
    2. Якщо для вибраного запису вже є ключ доступу, підтвердьте його перезапис (обов’язково переконайтеся, що ви не перезаписуєте потрібний ключ доступу).
  5. (Не обов’язково) Якщо ви хочете входити за ключем доступу без введення пароля, у блоці «Двоетапна аутентифікація» біля методу WebAuthn натисніть «Налаштувати» та у рядку з потрібним пристроєм увімкніть опцію «Вхід без пароля».
Двоетапна аутентифікація через пошту вимикається аналогічно.
  1. У персональних даних відкрийте вкладку «Безпека».
  2. У блоці «Двоетапна аутентифікація»:
    • Для Telegram або GAuth — просто натисніть «Вимкнути».
    • Для WebAuthn — натисніть «Налаштувати» та видаліть пристрої зі списку.

Увага!

З міркувань безпеки налаштовувати двоетапну аутентифікацію тільки на одному пристрої, який повністю вами контролюється і недоступний стороннім особам. Пам’ятайте, що ви несете повну відповідальність за всі дії, які можуть бути виконані в вашому обліковому записі особами, у яких буде доступ до нього.

При вході в обліковий запис для проходження двоетапної аутентифікації можливо використовувати кілька різних пристроїв. Це можна організувати наступним чином:

  • Прив’язати до одного облікового запису кілька Telegram-акаунтів. При вході наш Telegram-бот відправляє підтвердження в кожен з них.
  • Додати кілька телефонних номерів. При вході можна буде вибрати, на який із них запросити дзвінок або SMS.
  • Налаштувати GAuth одночасно на кількох пристроях:
    Якщо вже налаштований застосунок підтримує імпорт/експорт, можна експортувати дані та імпортувати їх на інший пристрій. Така можливість доступна в Google Authenticator і альтернативних застосунках, на зразок Aegis та andOTP. З її допомогою можна переносити налаштування між пристроями і створювати їх резервну копію, щоб зберегти в надійному місці на випадок непередбачених ситуацій.
    Можна відсканувати QR-код кількома пристроями — для цього потрібно вимкнути двоетапну аутентифікацію через застосунок (якщо вона була увімкнена) і увімкнути повторно. При цьому на етапі сканування QR-коду потрібно:
    • Або відсканувати QR-код або ввести секретний ключ не на одному, а відразу на всіх потрібних пристроях.
    • Або зробити скріншот з QR-кодом або скопіювати секретний ключ, щоб пізніше використовувати їх для налаштування застосунку на іншому пристрої. При використанні цього способу вкрай важливо, щоб до скриншоту або ключу не було доступу у сторонніх. Краще надійно видалити їх відразу після завершення налаштування потрібних пристроїв або зберігати їх там, де до них гарантовано не буде доступу ні у кого, крім вас.
  • Налаштувати WebAuthn для потрібних пристроїв.
Зміст