Pereiti prie pagrindinio turinio

Kas yra 2FA? Dvifaktorinės autentifikacijos vadovas

Kas yra 2FA? Kaip veikia dvifaktorinė autentifikacija, penki 2FA tipai ir kaip ją įjungti svarbiausiose paskyrose.

Paskutinį kartą atnaujinta: 2026 m. balandžio 5 d.

Slaptažodžiai vieni nepakanka apsaugoti jūsų internetines paskyras. Duomenų pažeidimai kasmet atskleidžia milijardus prisijungimo duomenų, ir net stiprūs slaptažodžiai gali būti pažeisti per sukčiavimą, klavišų registravimą arba grubaus jėgos atakas. Dvifaktorė autentifikacija (2FA) prideda antrą gynybos sluoksnį — net jei kažkas pavogs jūsų slaptažodį, jie vis tiek negalės pasiekti jūsų paskyros be antrojo veiksnio. Šis vadovas paaiškina, kas yra 2FA, kaip veikia kiekvienas metodas, kurie tipai yra saugiausi ir kaip jį nustatyti svarbiausiose paskyrose. Tai vienas iš efektyviausių atskirų žingsnių, kuriuos galite atlikti, kad apsaugotumėte savo skaitmeninį gyvenimą.

Dvifaktorinės autentifikacijos tipai

SMS kodai

Vienkartinis kodas siunčiamas į jūsų telefono numerį tekstine žinute. Jūs įvedate šį kodą po savo slaptažodžio, kad užbaigtumėte prisijungimą. SMS 2FA yra plačiausiai prieinamas metodas — beveik kiekviena paslauga jį palaiko, ir jam nereikia papildomų programėlių ar aparatūros. Tačiau tai yra silpniausia 2FA forma dėl pažeidžiamumo SIM swapping atakoms (kai užpuolikas įtikina jūsų operatorių pernešti jūsų telefono numerį į jų SIM kortelę) ir SS7 protokolo išnaudojimams, kurie gali perimti tekstines žinutes.

  • Privalumai: Plačiai palaikoma, programėlės nereikia, veikia bet kuriame telefone
  • Trūkumai: Pažeidžiama SIM swapping, SS7 perėmimui ir socialinės inžinerijos atakoms prieš telefonų operatorius

Autentifikatoriaus programėlės (TOTP)

Laiko pagrindu veikiančios vienkartinio slaptažodžio (TOTP) programėlės kas 30 sekundžių sukuria naują 6 skaitmenų kodą naudodamos bendrą paslaptį ir dabartinį laiką. Populiarios programėlės apima Google Authenticator, Authy, Microsoft Authenticator ir Ente Auth. TOTP yra žymiai saugesnė nei SMS, nes kodai generuojami lokaliai jūsų įrenginyje — nėra perdavimo kanalo, kurį būtų galima perimti. Kodai veikia neprisijungus ir nėra susiję su jūsų telefono numeriu. Tai yra rekomenduojamas 2FA metodas daugumai žmonių, derinantis stiprų saugumą su naudojimo paprastumu.

  • Privalumai: Saugus, gali veikti neprisijungus, prieinamos nemokamos programėlės, nesusijęs su telefono numeriu
  • Trūkumai: Įrenginio praradimas be atsarginių kodų užrakina jus; sukčiavimo svetainės vis dar gali užfiksuoti kodus realiu laiku

Aparatūros saugumo raktai

Fiziniai įrenginiai, tokie kaip YubiKey, Google Titan ir SoloKeys, prisijungia prie jūsų USB prievado arba paliečiami per NFC, kad autentifikuotų. Aparatūros raktai naudoja FIDO2/WebAuthn standartą, kuris pagal dizainą yra atsparus sukčiavimui — raktas kriptografiškai patikrina svetainės domeną prieš autentifikuodamas, todėl sukčiavimo svetainėms neįmanoma perimti. Google reikalauja, kad visi darbuotojai naudotų aparatūros raktus, ir nuo įgyvendinimo pranešė apie nulį sėkmingų sukčiavimo atakų. Raktai kainuoja $25-70 ir yra saugiausias prieinamas 2FA metodas.

  • Privalumai: Stipriausias saugumas, atsparus sukčiavimui, be baterijų, veikia neprisijungus, ilgaamžis
  • Trūkumai: Kainuoja $25-70, gali būti pamestas ar pamirštas, nepalaikoma visų paslaugų

Biometrija

Pirštų atspaudų skaitytuvai (Touch ID), veido atpažinimas (Face ID) ir rainelės skaitytuvai naudoja jūsų fizines savybes kaip autentifikavimo veiksnį. Biometrija yra patogi — jūs visada turite ją su savimi ir jos negalima pamiršti. Jie veikia kaip antrasis veiksnys kartu su slaptažodžiais daugelyje įrenginių ir paslaugų. Tačiau biometrijos negalima pakeisti, jei ji pažeista (kitaip nei slaptažodis), ir gali būti priversta teisėsaugos institucijų daugelyje jurisdikcijų. Kokybė labai skiriasi tarp įrenginių.

  • Privalumai: Patogu, visada prieinama, greita autentifikacija, sunku atkartoti
  • Trūkumai: Negalima pakeisti, jei pažeista, gali būti teisiškai priversta, kokybė skiriasi pagal įrenginį

Passkeys

Passkeys yra naujausias autentifikacijos standartas, sukurtas visiškai pakeisti slaptažodžius. Remdamiesi FIDO2/WebAuthn, passkeys naudoja viešojo rakto kriptografiją — jūsų įrenginys saugo privatų raktą, o paslauga saugo atitinkamą viešąjį raktą. Autentifikacija vyksta per jūsų įrenginio biometrinį jutiklį arba PIN kodą, be slaptažodžio, kurį reikėtų įvesti, sukčiauti ar pavogti. Apple, Google ir Microsoft integravo passkey palaikymą į savo operacines sistemas. Passkeys sinchronizuojami tarp įrenginių per iCloud Keychain, Google Password Manager ar kitus tiekėjus, derindami aparatūros raktų saugumą su biometrijos patogumu.

  • Privalumai: Atsparus sukčiavimui, slaptažodžių įsiminti nereikia, sinchronizuojasi tarp įrenginių, greitas
  • Trūkumai: Palyginti naujas, dar nėra visuotinai palaikomas, platformos užrakinimo problemos su sinchronizuotais passkeys

2FA geriausios praktikos

  1. Pirmiausia įjunkite 2FA savo el. pašto paskyroje — tai yra pagrindinis raktas į visas kitas jūsų paskyras. Jei kažkas pažeidžia jūsų el. paštą, jie gali iš naujo nustatyti slaptažodžius kiekvienoje su juo susijusioje paslaugoje. Jūsų el. paštas yra svarbiausia atskira paskyra, kurią reikia apsaugoti 2FA.
  2. Naudokite autentifikatoriaus programėlę vietoj SMS kai tik įmanoma. TOTP programėlės yra atsparios SIM swapping ir SS7 atakoms. Jei paslauga siūlo tik SMS pagrįstą 2FA, vis tiek ją naudokite — SMS 2FA vis dar yra dramatiškai geresnė nei jokios 2FA iš viso.
  3. Laikykite atsarginius kodus saugioje, atskiroje vietoje. Saugokite juos slaptažodžių tvarkyklėje (skirtingoje nei ta, kurią saugo 2FA), atsispausdinkite ir laikykite seife arba užrašykite popieriuje, saugomame saugioje vietoje. Niekada nesaugokite atsarginių kodų nešifruotame užraše tame pačiame įrenginyje kaip jūsų autentifikatorius.
  4. Apsvarstykite aparatūros saugumo raktą savo svarbiausioms paskyroms — el. paštui, bankininkystei, debesų saugyklai ir slaptažodžių tvarkyklėms. YubiKey 5 NFC ($50) veikia su USB-A, USB-C ir NFC, apimdamas praktiškai kiekvieną įrenginį. Užregistruokite du raktus per paskyrą, kad turėtumėte atsarginę kopiją.
  5. Reguliariai auditykite, kurios paskyros turi įjungtą 2FA. Naudokite slaptažodžių tvarkyklę, kad galėtumėte sekti. Prioriteto tvarka: el. paštas, bankininkystės ir finansinės paslaugos, debesų saugykla, socialinė žiniasklaida, apsipirkimo svetainės su išsaugotais mokėjimo metodais ir bet kokios darbo ar profesinės paskyros.

Kaip nustatyti 2FA

2FA nustatymas užtrunka mažiau nei penkias minutes per paskyrą. Štai procesas autentifikatorių programėle pagrįstai 2FA, kuri yra rekomenduojama metodas daugumai žmonių:

  1. Atidarykite saugumo nustatymus:Eikite į savo paskyros saugumo nustatymus. Ieškokite "Dvifaktorė autentifikacija," "2 žingsnių patikrinimas," arba "Prisijungimo saugumas." Google'e eikite į myaccount.google.com > Security > 2-Step Verification. Apple'e eikite į Settings > [Jūsų vardas] > Sign-In & Security.
  2. Pasirinkite 2FA metodą:Pasirinkite savo 2FA metodą. Pasirinkite "Authenticator App" geriausiam saugumo ir patogumo balansui. Įdiekite TOTP programėlę, jei jos neturite — Google Authenticator, Authy arba Ente Auth visi yra patikimi pasirinkimai. Authy ir Ente Auth siūlo užšifruotą jūsų kodų debesies atsarginę kopiją.
  3. Nuskaitykite QR kodą:Nuskaitykite ekrane rodomą QR kodą su savo autentifikatoriaus programėle. Programėlė sukurs 6 skaitmenų kodą, kuris atnaujinamas kas 30 sekundžių. Įveskite dabartinį kodą, kad patikrintumėte, ar nustatymas veikia teisingai.
  4. Išsaugokite atsarginius kodus:Išsaugokite atsarginius kodus iš karto. Dauguma paslaugų teikia vienkartinius atkūrimo kodus, kurie leidžia jums atgauti prieigą, jei prarasite autentifikatoriaus įrenginį. Saugokite juos slaptažodžių tvarkyklėje, atsispausdinkite arba užrašykite ir laikykite saugioje vietoje atskirai nuo įrenginių. Be atsarginių kodų telefono praradimas gali jus visam laikui užrakinti iš paskyros.

Dažniausiai užduodami klausimai

Štai kodėl atsarginiai kodai yra būtini. Kai nustatote 2FA, dauguma paslaugų teikia atkūrimo kodus — vienkartinius kodus, kurie aplenkia 2FA. Naudokite vieną, kad atgautumėte prieigą, tada vėl nustatykite 2FA naujame įrenginyje. Jei naudojate Authy arba Ente Auth, jūsų kodai yra atsarginiai užšifruotoje debesų saugykloje ir gali būti atkurti naujame įrenginyje. Google Authenticator dabar taip pat palaiko debesies atsargines kopijas. Jei neturite atsarginių kodų ir atkūrimo metodo, turėsite atlikti paslaugos paskyros atkūrimo procesą, kuris gali užtrukti dienas ar savaites ir reikalauti tapatybės patikrinimo.

Žinoma, taip. Nepaisant savo pažeidžiamumo SIM swapping ir SS7 atakoms, SMS 2FA blokuoja didžiąją dalį automatizuotų atakų. Google tyrimas parodė, kad ji sustabdo 100% automatizuotų botų ir 96% masinio sukčiavimo. Realistinis grėsmių modelis daugumai žmonių neapima tikslinio SIM swapping — tai pirmiausia rizika didelės vertės taikiniams, tokiems kaip kriptovaliutų savininkai ir viešieji asmenys. Jei paslauga siūlo tik SMS 2FA, įjunkite ją. Bet kokia 2FA yra dramatiškai geresnė nei jokios 2FA.

Joks 2FA metodas nėra 100% nesulaužomas, tačiau sunkumas labai skiriasi. SMS kodai gali būti perimti per SIM swapping. TOTP kodai gali būti sukčiaujami realiu laiku su sudėtingomis atakomis, kurios persiunčia kodus į tikrąjį prisijungimo puslapį. Tačiau aparatūros saugumo raktai, naudojantys FIDO2, yra atsparūs sukčiavimui pagal dizainą — raktas kriptografiškai patikrina svetainės domeną, todėl sukčiavimas yra neįmanomas. Passkeys paveldi tą pačią apsaugą. Daugeliui žmonių TOTP pagrįsta 2FA suteikia daugiau nei pakankamą apsaugą nuo realistinių grėsmių.

Idealiu atveju taip, bet strategiškai prioritizuokite. Jūsų el. pašto paskyra yra svarbiausia — tai atkūrimo mechanizmas visam kitam. Tada įjunkite 2FA bankininkystės ir finansų paslaugose, debesų saugykloje (Google Drive, iCloud, Dropbox), socialinėje žiniasklaidoje, bet kurioje paskyroje su išsaugotais mokėjimo duomenimis ir slaptažodžių tvarkyklėje. Mažo prioriteto vienkartines paskyras be asmens duomenų galima praleisti, jei esate perkrautas, bet tikslas turi būti 2FA visur.

Aparatūros saugumo raktai (YubiKey, Google Titan), naudojantys FIDO2/WebAuthn standartą, yra saugiausia 2FA forma. Jie yra atsparūs sukčiavimui pagal dizainą, reikalauja fizinio valdymo ir neturi kodų, kuriuos būtų galima perimti ar perduoti. Passkeys siūlo panašų saugumą su papildomu debesų sinchronizavimo patogumu. TOTP autentifikatoriaus programėlės yra kitas geriausias pasirinkimas — žymiai saugesnis nei SMS. SMS yra silpniausia 2FA, bet vis tiek daug geresnė nei tik slaptažodžio autentifikacija.

Taip, tai yra jų dizaino tikslas. Passkeys sujungia slaptažodį ir antrą veiksnį į vieną, sukčiavimui atsparią autentifikacijos žingsnį. Užuot įvedę slaptažodį, o tada įvedę kodą, jūs paprasčiausiai patikrinate save savo įrenginio biometriniu jutikliu arba PIN kodu. Pagrindinė FIDO2 kriptografija suteikia stipresnį saugumą nei slaptažodis + TOTP kartu. Tačiau passkey priėmimas vis dar auga — ne visos paslaugos juos palaiko. Pereinamuoju laikotarpiu toliau naudokite tradicinę 2FA (autentifikatoriaus programėlę arba aparatūros raktą) paslaugose, kurios dar nepalaiko passkeys.