Dviejų faktorių autentifikacija

Dviejų faktorių autentifikacija (2FA): kaip veikia, kodėl ji būtina ir kaip ją įjungti

Autorius /

2023 metais vienos Lietuvos logistikos įmonės buhalterė gavo el. laišką, kuris atrodė kaip pranešimas iš banko. Ji paspaudė nuorodą, įvedė prisijungimo duomenis suklastotoje svetainėje. Slaptažodis atsidūrė sukčių rankose. Per valandą iš įmonės sąskaitos dingo daugiau nei 40 000 eurų.

Tos pačios savaitės kitoje įmonėje nutiko panašus scenarijus. Darbuotojas gavo tokį pat phishing laišką, įvedė slaptažodį suklastotoje svetainėje. Tačiau kai sukčiai bandė prisijungti prie banko sistemos, ji paprašė patvirtinimo iš darbuotojo telefono. Sukčiai telefono neturėjo. Pinigai liko sąskaitoje.

Skirtumas tarp šių dviejų situacijų, vienas dalykas: dviejų faktorių autentifikacija.

Šiame straipsnyje rasite viską, ką reikia žinoti apie 2FA: kas tai yra, kaip ji veikia techniniu lygmeniu, kokie metodai egzistuoja, kuris iš jų geriausias ir kaip per artimiausias 30 minučių apsaugoti savo svarbiausias paskyras.

Kas yra dviejų faktorių autentifikacija paprastais žodžiais?

Dviejų faktorių autentifikacija (angliškai Two-Factor Authentication, sutrumpintai 2FA) yra saugumo sistema, kuri reikalauja dviejų atskirų įrodymų, kad jūs tikrai esate tas, kuo sakotės esantis.

Gera analogija: įsivaizduokite banko seifą. Norėdami jį atidaryti, jums reikia ir rakto, ir kodo. Vien tik raktas nepadės. Vien tik kodas nepadės. Reikia abiejų. Jei kas nors pavogs jūsų raktą, be kodo seifas liks užrakintas. Jei kas nors sužinos kodą, be rakto nieko nepadarys.

2FA veikia identišku principu: net jei sukčiai pavogs jūsų slaptažodį, be antrojo patvirtinimo jie negalės prisijungti.

Trys autentifikavimo faktorių kategorijos

Visi autentifikavimo metodai skirstomi į tris kategorijas, kurias saugumo specialistai vadina faktoriais:

Žinių faktorius: kažkas, ką žinote

Tai informacija, egzistuojanti tik jūsų atmintyje. Slaptažodis, PIN kodas, atsakymas į saugumo klausimą („Kokia jūsų mamos mergautinė pavardė?”). Šis faktorius yra pažeidžiamiausias, nes žinias galima atspėti, išvilioti per phishing ataką arba rasti nutekėjusių duomenų bazėse.

Turėjimo faktorius: kažkas, ką turite

Fizinis objektas, kuris priklauso tik jums. Telefonas, kuriame veikia autentifikavimo programėlė. Fizinis USB saugumo raktas (YubiKey). Lustinė kortelė. Net SIM kortelė, gaunanti SMS. Šį faktorių pavogti sunkiau, nes sukčius turi fiziškai gauti jūsų įrenginį.

Biometrinis faktorius: kažkas, kas esate

Jūsų kūno charakteristikos. Piršto antspaudas, veido geometrija, rainelės raštas, balso atpažinimas. Biometrinius duomenis ypač sunku suklastoti kasdienėmis sąlygomis, nors laboratorinėje aplinkoje tai įmanoma.

Esminis principas: tikra 2FA visada naudoja du faktorius iš skirtingų kategorijų. Du slaptažodžiai, tai ne 2FA (abu yra žinių faktorius). Slaptažodis ir kodas iš telefono, tai tikra 2FA (žinios + turėjimas).

Kuo 2FA skiriasi nuo dviejų žingsnių patvirtinimo ir MFA?

Šie trys terminai dažnai maišomi, tad verta juos atskirti.

2FA (Two-Factor Authentication) reikalauja tiksliai dviejų faktorių iš skirtingų kategorijų. Pavyzdžiui, slaptažodis (žinios) ir piršto antspaudas (biometrija).

2SV (Two-Step Verification, dviejų žingsnių patvirtinimas) reikalauja dviejų žingsnių, tačiau jie gali būti iš tos pačios kategorijos. Pavyzdžiui, slaptažodis ir atsakymas į saugumo klausimą (abu yra žinių faktorius). Techniškai tai silpniau nei tikra 2FA, bet praktikoje daugelis paslaugų, kurios rašo „dviejų žingsnių patvirtinimas”, iš tikrųjų siūlo tikrą 2FA.

MFA (Multi-Factor Authentication, daugiafaktorė autentifikacija) apima du ar daugiau faktorių. 2FA yra MFA potipis. Trijų faktorių autentifikacija (pavyzdžiui, slaptažodis + piršto antspaudas + fizinis raktas) naudojama karinėse, vyriausybinėse ir itin aukšto saugumo sistemose.

Kasdieniam naudojimui 2FA yra auksinis standartas: pakankamas saugumas be per didelio nepatogumo.

Kodėl vien slaptažodis šiandien nebėra pakankama apsauga?

Slaptažodis kaip apsaugos priemonė buvo sukurtas 1961 metais MIT kompiuterių laboratorijoje. Per daugiau nei šešis dešimtmečius pasaulis pasikeitė neatpažįstamai, tačiau slaptažodžių principas liko iš esmės tas pats. Ir tai yra problema.

Nutekėjusių slaptažodžių mastas

Kas savaitę pasaulyje nuteka naujos duomenų bazės su milijonais prisijungimo duomenų porų. „Have I Been Pwned” duomenų bazėje jau yra daugiau nei 13 milijardų pažeistų paskyrų. Tikimybė, kad bent vienas jūsų slaptažodis jau figūruoja kažkuriame nutekėjime, yra labai didelė.

Pakartotinis slaptažodžių naudojimas

Tyrimai nuosekliai rodo, kad apie 60–65 % interneto vartotojų naudoja tą patį arba labai panašų slaptažodį keliose paskyrose. Sukčiai tai puikiai žino ir taiko „credential stuffing” atakas: paima nutekėjusį slaptažodį iš vienos svetainės ir automatiškai bando jį bankuose, el. pašto tarnybose, socialiniuose tinkluose.

Phishing rafinuotumas

Dirbtinio intelekto generuoti phishing laiškai nebeturi gramatikos klaidų, atrodo vizualiai identiškai tikroms žinutėms ir gali būti pritaikyti konkrečiam žmogui. Net patyrę IT specialistai kartais nesugeba atskirti tikro laiško nuo suklastoto. Jei sukčius gauna jūsų slaptažodį per phishing, be 2FA jis turi visišką prieigą.

Nulaužimo greitis

Šiuolaikinės vaizdo plokštės (GPU) gali bandyti dešimtis milijardų slaptažodžių kombinacijų per sekundę. 8 simbolių slaptažodis, sudarytas iš raidžių ir skaičių, nulaužiamas per kelias valandas. 2FA paverčia tokias atakas beprasmėmis: net atspėjus slaptažodį, reikia antrojo faktoriaus, kurio brutalia jėga negalima perrinkti.

Ką sako skaičiai?

Pagal „Microsoft” viešai skelbiamus duomenis, paskyros su įjungta 2FA yra apsaugotos nuo daugiau nei 99 % automatizuotų atakų. „Google” tyrimai parodė, kad SMS kodai sustabdo 100 % automatizuotų botų, 96 % masinių phishing atakų ir 76 % tikslinių atakų. Fiziniai saugumo raktai sustabdė 100 % visų tirtų atakų tipų.

Tai reiškia, kad net silpniausias 2FA metodas (SMS) yra nepalyginamai geresnis nei jokia papildoma apsauga.

Kaip 2FA veikia techniniu lygmeniu: žingsnis po žingsnio

Bendras prisijungimo srautas

Pirmas žingsnis. Atidarote svetainę ar programėlę ir įvedate savo vartotojo vardą bei slaptažodį.

Antras žingsnis. Serveris patikrina, ar slaptažodis teisingas. Jei taip, vietoj iškart suteikiamos prieigos sistema inicijuoja antrąjį patikrinimą.

Trečias žingsnis. Priklausomai nuo pasirinkto metodo, jums reikia atlikti vieną iš šių veiksmų: įvesti kodą iš SMS, atidaryti autentifikavimo programėlę ir įvesti rodomą kodą, paliesti fizinį saugumo raktą arba patvirtinti biometriniais duomenimis.

Ketvirtas žingsnis. Serveris patikrina antrąjį faktorių. Jei jis teisingas, prieiga suteikiama.

Visas procesas paprastai užtrunka 10–30 papildomų sekundžių. Tai minimali kaina, lyginant su saugumu, kurį suteikia.

TOTP: laiku pagrįsto kodo matematika

TOTP (Time-based One-Time Password) yra pats populiariausias 2FA mechanizmas, naudojamas autentifikavimo programėlėse. Štai kaip jis veikia po gaubtu:

  1. Kai pirmą kartą nustatote 2FA, serveris sugeneruoja atsitiktinį slaptą raktą (paprastai 160 bitų ilgio) ir pasidalina juo su jūsų programėle, dažniausiai per QR kodą.
  2. Tiek serveris, tiek jūsų programėlė naudoja tą patį algoritmą (HMAC-SHA1 arba HMAC-SHA256), kuris sujungia slaptą raktą su dabartine laiko žyme (dažniausiai suskirstyta į 30 sekundžių intervalus).
  3. Algoritmas sukuria 6 skaitmenų kodą, kuris galioja 30 sekundžių.
  4. Kadangi ir serveris, ir programėlė turi tą patį raktą ir naudoja tą patį laiką, abu sugeneruoja identišką kodą tuo pačiu metu.
  5. Kai įvedate kodą svetainėje, serveris palygina jį su savo sugeneruotu kodu. Jei sutampa, prieiga suteikiama.

Svarbi detalė: slaptas raktas niekada nesiunčiamas internetu po pradinio nustatymo. Kodai generuojami vietiniame įrenginyje, be jokio ryšio su serveriu. Todėl autentifikavimo programėlės veikia net be interneto.

HOTP: skaičiumi pagrįstas variantas

HOTP (HMAC-based One-Time Password) yra senesnis TOTP pirmtakas. Vietoj laiko, kodas generuojamas pagal skaitliuką: kiekvieną kartą sugeneravus kodą, skaitliukas padidėja vienetu. Trūkumas: jei programėlė ir serveris „išsiderina” (pavyzdžiui, paspaudėte kodą programėlėje, bet jo nepanaudojote), gali tekti sinchronizuoti iš naujo. Todėl TOTP tapo dominuojančiu standartu.

Visų 2FA metodų išsamus palyginimas

1. SMS kodai

Kaip veikia: Prisijungus su slaptažodžiu, sistema išsiunčia 6 skaitmenų kodą trumpąja žinute į jūsų registruotą telefono numerį. Kodą turite įvesti per 5–10 minučių.

Privalumai:

  • Nereikia diegti jokių papildomų programėlių.
  • Veikia su bet kokiu telefonu, net seniausiu mygtukinu.
  • Lengviausias pradžios taškas: galima pradėti naudoti per minutę.
  • Nepalyginamai geriau nei jokia 2FA.

Trūkumai:

  • SIM keitimo ataka (SIM swapping): sukčius skambina jūsų mobiliojo ryšio operatoriui, apsimeta jumis (naudodamas iš socialinių tinklų surinktą informaciją) ir prašo perkelti jūsų numerį į naują SIM kortelę. Operatoriaus darbuotojas, patikėjęs apgaule, perkelia numerį. Nuo to momento visi jūsų SMS ateina sukčiui. Lietuvoje tokie atvejai fiksuojami reguliariai.
  • SS7 protokolo pažeidžiamumai: SS7 yra telekomunikacijų tinklo protokolas, sukurtas 1975 metais. Jis turi žinomų saugumo spragų, leidžiančių perimti SMS žinutes. Nors tokios atakos reikalauja techninių žinių ir resursų, jos yra dokumentuotos ir naudojamos tikslinėse atakose.
  • Neveikia, kai nėra mobiliojo ryšio signalo (rūsyje, lėktuve, užsienyje be tarptinklinio ryšio).
  • Žinutės turinys gali pasirodyti užrakintame ekrane kaip pranešimas.
  • NIST (JAV Nacionalinis standartų ir technologijų institutas) savo 800-63B gairėse oficialiai rekomenduoja vengti SMS kaip autentifikavimo kanalo, kai yra saugesnių alternatyvų.

Saugumo vertinimas: ★★☆☆☆ (silpniausias, bet vis tiek labai naudingas)

Kada rinktis: Jei kita alternatyva yra jokia 2FA. Bet kuris 2FA metodas yra geriau nei jokio.

2. Autentifikavimo programėlės (TOTP)

Kaip veikia: Programėlė jūsų telefone kas 30 sekundžių generuoja naują 6 skaitmenų kodą, naudodama TOTP algoritmą. Kodas sukuriamas vietiniame įrenginyje, be interneto ryšio.

Populiariausios programėlės:

Google Authenticator. Paprasčiausia ir plačiausiai naudojama programėlė. Veikia Android ir iOS. Palaiko debesies atsarginę kopiją per Google paskyrą (nuo 2023 m.). Trūkumas: minimalistinė sąsaja be papildomų funkcijų.

Microsoft Authenticator. Be TOTP kodų, palaiko „push” pranešimus Microsoft paskyroms: vietoj kodo rinkimo tiesiog paspaudžiate „Patvirtinti” iškylančiame lange telefone. Taip pat siūlo slaptažodžių tvarkyklės funkciją ir biometrinį programėlės užrakinimą.

Authy (Twilio). Turi integruotą šifruotą atsarginę kopiją debesyje ir palaiko kelių įrenginių sinchronizaciją. Jei prarandate telefoną, galite atkurti kodus kitame įrenginyje. Veikia ir kaip darbalaukio programėlė (Windows, Mac, Linux).

Aegis Authenticator. Atviro kodo programėlė Android įrenginiams. Palaiko šifruotą eksportavimą, biometrinį užrakinimą ir tamsųjį režimą. Puikus pasirinkimas tiems, kurie vertina atvirą kodą ir privatumą.

2FAS. Atviro kodo, veikia iOS ir Android, palaiko naršyklės plėtinį, kuris leidžia automatiškai užpildyti 2FA kodus kompiuteryje. Paprasta, švariai suprojektuota sąsaja.

Privalumai:

  • Kodai generuojami be interneto ryšio: veikia lėktuve, rūsyje, užsienyje.
  • Negalima perimti per SIM keitimo ar SS7 atakas.
  • Nemokama.
  • Greitas nustatymas: nuskenuojate QR kodą ir viskas veikia.
  • Palaiko praktiškai visos didesnės svetainės ir paslaugos.

Trūkumai:

  • Jei prarandate telefoną be atsarginės kopijos, galite prarasti prieigą prie paskyrų (todėl labai svarbu saugoti atsarginius kodus arba naudoti programėlę su debesies sinchronizacija).
  • Vis dar pažeidžiama pažangesnėms phishing atakoms: sukčiai gali sukurti „tarpininko” (man-in-the-middle) svetainę, kuri realiu laiku perima ir jūsų slaptažodį, ir TOTP kodą, perduodama juos tikrai svetainei.
  • Kodą vis tiek reikia rinkti rankiniu būdu (nors kai kurios programėlės siūlo automatinį užpildymą).

Saugumo vertinimas: ★★★★☆ (stiprus, rekomenduojamas daugumai vartotojų)

Kada rinktis: Kasdieniam naudojimui. Tai geriausias balanso taškas tarp saugumo ir patogumo.

3. „Push” pranešimai

Kaip veikia: Kai prisijungiate su slaptažodžiu, telefone iššoka pranešimas su informacija apie bandymą prisijungti (vieta, laikas, įrenginys). Paspaudžiate „Patvirtinti” arba „Atmesti”. Jokio kodo rinkti nereikia.

Šį metodą naudoja Microsoft Authenticator (Microsoft paskyroms), Duo Mobile, Okta Verify ir kai kurios bankininkystės programėlės.

Privalumai:

  • Labai greitas ir patogus: vienas paspaudimas.
  • Matote prisijungimo kontekstą (iš kur bandoma prisijungti), kas padeda atpažinti sukčiavimą.
  • Sunkiau apgauti nei TOTP, nes nereikia įvesti kodo, kuris galėtų būti perimtas.

Trūkumai:

  • Reikia interneto ryšio telefone pranešimui gauti.
  • „MFA fatigue” ataka: sukčiai, turintys jūsų slaptažodį, gali siųsti dešimtis patvirtinimo užklausų iš eilės, tikėdamiesi, kad pagaliau paspausite „Patvirtinti” iš susierzinimo ar per klaidą. (Būtent tokiu būdu 2022 m. buvo įsilaužta į Uber.)
  • Priklauso nuo konkrečios paslaugos ekosistemos (ne universalus sprendimas).

Saugumo vertinimas: ★★★★☆ (stiprus, bet pažeidžiamas „fatigue” atakoms)

Kada rinktis: Kai paslauga tai siūlo ir norite greičiausio prisijungimo be kodų rinkimo.

4. Fiziniai saugumo raktai (FIDO2 / WebAuthn)

Kaip veikia: Mažas USB, NFC arba Bluetooth įrenginys (panašus į nedidelę USB atmintinę), kurį prijungiate prie kompiuterio arba priliečiate prie telefono. Raktas naudoja kriptografinį iššūkio-atsakymo protokolą: serveris siunčia atsitiktinį iššūkį, raktas jį pasirašo savo privačiu kriptografiniu raktu, serveris patikrina parašą viešuoju raktu. Privatus raktas niekada nepaliekia fizinio įrenginio.

Populiariausi gaminiai:

YubiKey (Yubico). Rinkos lyderis. Siūlo įvairius modelius: USB-A, USB-C, NFC, Lightning. YubiKey 5 serija palaiko FIDO2, U2F, TOTP ir kitus protokolus. Kaina: apie 45–70 eurų.

Google Titan Security Key. Google gamybos raktai, prieinami USB-A/NFC ir USB-C/NFC variantais. Kaina: apie 30–35 eurų.

Nitrokey. Atviro kodo ir Europoje (Vokietijoje) gaminama alternatyva. Palaiko FIDO2 ir OpenPGP. Tinka privatumą vertinančiam vartotojui.

Privalumai:

  • Stipriausias 2FA metodas. Google vidinis tyrimas: po to, kai 2017 m. visiems 85 000+ darbuotojų buvo išdalyti fiziniai raktai, kompanijoje nebuvo užfiksuotas nė vienas sėkmingas phishing atvejis.
  • Visiškai atsparus phishing: raktas kriptografiškai patikrina svetainės tapatybę. Jei esate suklastotoje svetainėje, raktas tiesiog neveiks, nes domenas nesutampa.
  • Neperduoda jokių slaptų duomenų internetu.
  • Veikia be baterijų, be interneto, be telefono.
  • Labai greitas: tiesiog palietimas arba prijungimas.

Trūkumai:

  • Kainuoja pinigų (30–70 eurų, rekomenduojama pirkti du: pagrindinį ir atsarginį).
  • Fizinis daiktas: galima pamesti, pamiršti namuose, sugadinti.
  • Ne visos svetainės palaiko (nors palaikymas sparčiai auga).
  • Reikia turėti atsarginį raktą arba alternatyvų 2FA metodą, jei pagrindinis raktas dingsta.

Saugumo vertinimas: ★★★★★ (aukščiausias įmanomas lygis)

Kada rinktis: Jei norite geriausios apsaugos. Ypač rekomenduojama žurnalistams, aktyvistams, IT specialistams, vadovams, finansų darbuotojams ir visiems, kurie yra potencialūs tikslinių atakų taikiniai.

5. Biometrinė autentifikacija

Kaip veikia: Jūsų kūno charakteristika (piršto antspaudas, veido geometrija, rainelės raštas) naudojama kaip antrasis faktorius. Dažniausiai biometriniai duomenys saugomi pačiame įrenginyje (pavyzdžiui, Apple Face ID duomenys saugomi „Secure Enclave” čipe telefone) ir niekada nesiunčiami serveriui.

Privalumai:

  • Nepamirštamas: jūsų pirštas ar veidas visada su jumis.
  • Labai greitas: dažnai greitesnis nei bet kuris kitas metodas.
  • Patogus: nereikia nieko rinkti ar turėti papildomų įrenginių.

Trūkumai:

  • Jei jūsų biometriniai duomenys „nutekės” (pavyzdžiui, piršto antspaudų duomenų bazė), jų negalima „pakeisti” kaip slaptažodžio.
  • Gali neveikti tam tikromis sąlygomis: šlapias pirštas, stiprus apšvietimas, veido sužalojimas.
  • Laboratorinėmis sąlygomis galima apgauti (3D atspausdinta veido kopija, piršto antspaudų replikos).
  • Privatumo klausimai: kai kurie žmonės nenori teikti biometrinių duomenų.

Saugumo vertinimas: ★★★★☆ (patogus ir saugus kasdieniam naudojimui)

Kada rinktis: Kaip papildomas patogumo sluoksnis kartu su kitu 2FA metodu.

6. Atsarginiai kodai (Recovery codes)

Kaip veikia: Nustatydami 2FA, daugelis svetainių sugeneruoja 8–10 vienkartinių kodų (paprastai 8 skaitmenų). Kiekvieną kodą galima panaudoti tik kartą. Jie skirti avarinėms situacijoms: kai prarandate telefoną, sugenda saugumo raktas arba negalite pasiekti įprasto 2FA metodo.

Kaip saugoti:

  • Atspausdinkite ir laikykite saugioje fizinėje vietoje (seife, užrakintame stalčiuje).
  • Arba saugokite šifruotame faile, kuris nėra tame pačiame įrenginyje kaip jūsų autentifikavimo programėlė.
  • Niekada nesaugokite jų el. pašte, debesies pastabose ar nešifruotame tekstiniame faile.

Atsarginiai kodai nėra kasdieniam naudojimui, tai gelbėjimosi ratas ekstremaliai situacijai. Jei panaudojote kodą, sugeneruokite naują rinkinį.

Visų 2FA metodų palyginimo lentelė

MetodasSaugumasPatogumasKainaVeikia be interneto
SMS kodai★★☆☆☆★★★★★NemokamaNe (reikia ryšio)
TOTP programėlės★★★★☆★★★★☆NemokamaTaip
Push pranešimai★★★★☆★★★★★NemokamaNe (reikia interneto)
Fiziniai raktai★★★★★★★★☆☆30–70 EURTaip
Biometriniai★★★★☆★★★★★Integruota įrenginyjeTaip

Kaip įjungti 2FA: praktinės instrukcijos populiariausiose paslaugose

Google (Gmail, YouTube, Google Drive)

  1. Prisijunkite prie savo Google paskyros ir eikite į myaccount.google.com.
  2. Kairėje pasirinkite „Sauga” (Security).
  3. Skyriuje „Kaip prisijungiate prie Google” raskite „Patvirtinimas dviem veiksmais” (2-Step Verification).
  4. Paspauskite „Pradėti” ir sekite instrukcijas.
  5. Galite pasirinkti: Google pranešimus (push), autentifikavimo programėlę, fizinį saugumo raktą arba SMS.
  6. Rekomenduojama: pasirinkite autentifikavimo programėlę kaip pagrindinį metodą ir užsirašykite atsarginius kodus.

Apple ID (iPhone, iPad, Mac)

  1. iPhone arba iPad: Nustatymai → [jūsų vardas] → Prisijungimas ir sauga → Dviejų veiksnių autentifikavimas.
  2. Mac: System Settings → Apple ID → Sign-In & Security → Two-Factor Authentication.
  3. Apple naudoja „push” patvirtinimo metodą: prisijungiant naujame įrenginyje, patvirtinimas atsiunčiamas į jau patikimą Apple įrenginį.
  4. Atsarginį kodą galite gauti SMS žinute į patikimą telefono numerį.

Facebook

  1. Nustatymai → Sauga ir prisijungimas → Dviejų veiksnių autentifikavimas.
  2. Galimi metodai: autentifikavimo programėlė (rekomenduojama), SMS, fizinis saugumo raktas.
  3. Įjungus 2FA, Facebook sugeneruos atsarginius kodus. Pasirašykite juos.

Instagram

  1. Profilis → Nustatymai → Sauga → Dviejų veiksnių autentifikavimas.
  2. Galimi metodai: autentifikavimo programėlė, SMS, WhatsApp.
  3. Rekomenduojama naudoti autentifikavimo programėlę.

Bankininkystė Lietuvoje

Lietuvos bankai (Swedbank, SEB, Luminor, Šiaulių bankas ir kiti) jau seniai naudoja dviejų faktorių autentifikaciją: Smart-ID, Mobile-ID arba kodų generatorius. Jei naudojate Smart-ID, atkreipkite dėmesį į kontrolinį kodą: prieš patvirtindami operaciją, visada patikrinkite, ar ekrane rodomas kodas sutampa su Smart-ID programėlėje rodomu kodu. Sukčiai kartais bando priversti jus patvirtinti jų inicijuotą operaciją, todėl niekada nepatvirtinkite užklausos, kurios patys neinicijavote.

Slaptažodžių tvarkyklės

Jei naudojate Bitwarden, 1Password, KeePass ar kitą tvarkyklę, būtinai įjunkite 2FA pačiai tvarkyklei. Tai ypač svarbu: jei kas nors gautų prieigą prie jūsų slaptažodžių tvarkyklės, turėtų prieigą prie visų jūsų paskyrų. Slaptažodžių tvarkyklė turėtų būti viena geriausiai apsaugotų paskyrų.

7 dažniausios 2FA klaidos ir kaip jų išvengti

1. Neišsaugoti atsarginių kodų

Tai pati dažniausia ir skaudžiausia klaida. Praradus telefoną be atsarginių kodų, galite visiškai prarasti prieigą prie paskyrų. Kai kurios paslaugos turi sudėtingą atkūrimo procesą, o kai kurios neturi jokio.

Sprendimas: Įjungę 2FA, iškart užsirašykite arba atspausdinkite atsarginius kodus. Laikykite juos atskiroje vietoje nuo telefono (fiziniame seife, užrakintame stalčiuje, pas patikimą šeimos narį).

2. Naudoti tik SMS

SMS yra geriau nei nieko, tačiau jei turite galimybę naudoti autentifikavimo programėlę, tai žymiai saugesnis pasirinkimas.

Sprendimas: Perjunkite prie TOTP programėlės. Procesas paprastas: paskyros saugumo nustatymuose išjunkite SMS 2FA, tada įjunkite iš naujo pasirinkdami „Autentifikavimo programėlė”.

3. Turėti 2FA tik vienoje paskyroje

Žmonės dažnai įjungia 2FA bankui ir mano, kad to pakanka. Tačiau jei jūsų el. paštas neapsaugotas, sukčius gali atstatyti visų kitų paskyrų slaptažodžius per el. paštą.

Sprendimas: Įjunkite 2FA visoms svarbioms paskyroms. Prioritetų tvarka: el. paštas, bankininkystė, slaptažodžių tvarkyklė, socialiniai tinklai, debesų saugyklos, darbo sistemos.

4. Patvirtinti nežinomą push pranešimą

Jei gavote 2FA patvirtinimo užklausą, kurios patys neinicijavote, tai reiškia, kad kažkas bando prisijungti su jūsų slaptažodžiu. Niekada nespauskite „Patvirtinti”.

Sprendimas: Atmeskite užklausą ir nedelsiant pakeiskite slaptažodį. Jei užklausos kartojasi, tai „MFA fatigue” ataka. Pranešite apie tai paslaugos teikėjui.

5. Saugoti atsarginius kodus el. pašte

Jei sukčius perima jūsų el. paštą, jis ras ir atsarginius kodus, ir galės apeiti 2FA visose jūsų paskyrose.

Sprendimas: Saugokite kodus fiziniame pavidale arba šifruotame faile atskirame įrenginyje.

6. Neturėti atsarginio 2FA metodo

Jei naudojate tik fizinį saugumo raktą ir jį pametate, o atsarginių kodų neturite, pateksite į labai sudėtingą situaciją.

Sprendimas: Turėkite bent du nepriklausomus atkūrimo būdus. Pavyzdžiui: fizinis raktas + atsarginiai kodai. Arba: du fiziniai raktai (vienas kasdieniam naudojimui, kitas seife).

7. Ignoruoti 2FA „nes per sudėtinga”

Daugelis žmonių žino apie 2FA, bet neįjungia, nes mano, kad tai lėtina prisijungimą arba yra per daug sudėtinga.

Realybė: Papildomas laikas, 10–15 sekundžių per prisijungimą. Daugelis paslaugų leidžia „prisiminti” patikimus įrenginius 30 dienų, todėl 2FA reikia atlikti tik kartą per mėnesį tame pačiame kompiuteryje. Saugumas, kurį gaunate mainais, neproporsingai didesnis nei nepatogumas.

Passkeys: ateitis be slaptažodžių

Technologijų pramonė juda link ateities, kurioje slaptažodžiai ir net tradicinė 2FA nebebus reikalingi. „Passkeys” (prieigos raktai) yra nauja FIDO2 standartu pagrįsta technologija, kurią bendrai kuria ir palaiko Apple, Google ir Microsoft.

Kaip veikia Passkeys?

  1. Registruodamiesi svetainėje, jūsų įrenginys (telefonas ar kompiuteris) sukuria kriptografinę raktų porą: viešąjį raktą (siunčiamą svetainei) ir privatųjį raktą (saugomą tik jūsų įrenginyje, specialiame saugumo čipe).
  2. Prisijungdami, svetainė siunčia iššūkį jūsų įrenginiui.
  3. Įrenginys prašo patvirtinti tapatybę biometriniais duomenimis (piršto antspaudu, veido atpažinimu) arba PIN kodu.
  4. Patvirtinus, įrenginys pasirašo iššūkį privačiuoju raktu ir siunčia atsakymą svetainei.
  5. Svetainė patikrina parašą viešuoju raktu ir suteikia prieigą.

Kodėl Passkeys yra pranašesni?

  • Neįmanoma pavogti per phishing: privatus raktas niekada nepaliekia jūsų įrenginio. Net jei pateksite į suklastotą svetainę, ji negalės gauti jūsų rakto.
  • Nereikia nieko atsiminti: jokio slaptažodžio, jokių kodų.
  • Negalima nulaužti brutalios jėgos ataka: nėra slaptažodžio, kurį būtų galima perrinkti.
  • Integruota 2FA: Passkeys iš prigimties yra dviejų faktorių sistema (turėjimas + biometrija), todėl atskiras 2FA žingsnis tampa nereikalingas.
  • Sinchronizuojami tarp įrenginių: Apple Passkeys sinchronizuojami per iCloud Keychain, Google Passkeys per Google Password Manager.

Kur jau galima naudoti Passkeys?

2026 metais Passkeys palaiko vis daugiau paslaugų: Google, Apple, Microsoft, Amazon, PayPal, GitHub, WhatsApp, eBay, Adobe, Nintendo, TikTok ir daugelis kitų. Sąrašas sparčiai auga.

Tačiau pereinamasis laikotarpis truks dar ne vienerius metus. Ne visos svetainės palaiko Passkeys, todėl slaptažodžiai ir tradicinė 2FA išliks svarbios apsaugos priemonės dar ilgą laiką. Geriausia strategija: naudokite Passkeys ten, kur galite, ir turėkite stiprią 2FA apsaugą visur kitur.

2FA organizacijose ir versle

Jei vadovaujate komandai ar įmonei, 2FA turėtų būti ne pasirinkimas, o privalomas reikalavimas.

Ką turėtų daryti kiekviena organizacija?

Privaloma 2FA visiems darbuotojams. Ypač tiems, kurie turi prieigą prie finansinių sistemų, klientų duomenų, el. pašto serverių ar administravimo panelių. Daugelis verslo paslaugų (Google Workspace, Microsoft 365, AWS, GitHub) leidžia administratoriams priverstinai įjungti 2FA visiems organizacijos nariams.

Standartizuoti 2FA metodą. Vietoj to, kad kiekvienas darbuotojas rinktųsi savo metodą, organizacija turėtų nustatyti minimalų standartą: pavyzdžiui, TOTP programėlė arba fizinis saugumo raktas. SMS turėtų būti leidžiamas tik kaip atsarginis variantas.

Fiziniai raktai aukšto rizikos paskyroms. IT administratoriams, finansų skyriui, vadovams ir visiems, kurie turi prieigą prie ypač jautrių sistemų, turėtų būti išduoti fiziniai saugumo raktai.

Mokymai ir simuliacijos. Reguliariai (bent kartą per metus) organizuokite kibernetinio saugumo mokymus su praktinėmis phishing simuliacijomis. Darbuotojai turėtų žinoti ne tik kaip naudoti 2FA, bet ir kodėl tai svarbu.

Incidentų reagavimo planas. Ką daryti, kai darbuotojas praranda telefoną su autentifikavimo programėle? Ką daryti, kai darbuotojas patvirtina sukčių push pranešimą? Aiškios procedūros padeda greitai reaguoti ir sumažinti žalą.

Dažniausiai užduodami klausimai apie 2FA

Ką daryti, jei prarasiu telefoną, kuriame yra autentifikavimo programėlė?

Naudokite anksčiau išsaugotus atsarginius kodus. Jei jų neturite, susisiekite su paslaugos klientų aptarnavimu ir pasiruoškite ilgam tapatybės patvirtinimo procesui. Ateityje: pirmas dalykas po 2FA įjungimo, išsaugokite atsarginius kodus.

Ar 2FA lėtina prisijungimą?

Prideda maždaug 10–15 sekundžių. Daugelis paslaugų leidžia „prisiminti” patikimus įrenginius 30–90 dienų, todėl 2FA reikės atlikti tik retkarčiais tame pačiame kompiuteryje ar telefone.

Ar galima naudoti vieną autentifikavimo programėlę visoms paskyroms?

Taip. Viena programėlė (Google Authenticator, Authy ar bet kuri kita) gali generuoti kodus dešimtims ir šimtams skirtingų paskyrų. Visos paskyros rodomos sąraše viena po kitos.

Ar 2FA apsaugo nuo visų kibernetinių grėsmių?

Ne. 2FA yra labai stipri apsauga nuo neteisėto prisijungimo, bet ji neapsaugo nuo kenkėjiškų programų jūsų įrenginyje, nuo socialinės inžinerijos (kai patys atiduodate prieigą), nuo pažeistų svetainių serverio pusėje. 2FA yra svarbus sluoksnis, bet ne visa saugumo strategija.

Kuri programėlė geriausia?

Priklauso nuo poreikių. Google Authenticator yra paprasčiausias pasirinkimas pradedantiesiems. Authy geriausiai tinka tiems, kurie nori debesies atsarginės kopijos ir kelių įrenginių sinchronizacijos. 2FAS ir Aegis, atviro kodo alternatyvos privatumą vertinančiam vartotojui. Visos šios programėlės generuoja identiškus kodus (TOTP standartas), todėl saugumo lygis yra vienodas.

Ar 2FA yra nemokama?

TOTP programėlės ir SMS kodai yra nemokami. Fiziniai saugumo raktai kainuoja 30–70 eurų, tačiau tai yra vienkartinė investicija, kuri tarnauja daugelį metų.

Veiksmų planas: apsaugokite savo paskyras per 30 minučių

Pirmosios 5 minutės. Įdiekite autentifikavimo programėlę (rekomenduojama: Authy arba 2FAS) iš oficialios programėlių parduotuvės.

6–10 minutė. Įjunkite 2FA savo pagrindiniame el. pašte (Gmail, Outlook ar kitame). Pasirinkite autentifikavimo programėlę kaip metodą. Išsaugokite atsarginius kodus.

11–15 minutė. Įjunkite 2FA slaptažodžių tvarkyklėje (jei naudojate). Jei dar nenaudojate slaptažodžių tvarkyklės, tai puikus momentas pradėti (Bitwarden yra nemokamas ir patikimas).

16–20 minutė. Įjunkite 2FA bankininkystės sistemoje. Jei jau naudojate Smart-ID, įsitikinkite, kad suprantate kontrolinio kodo sistemą ir niekada nepatvirtinate operacijos, kurios patys neinicijavote.

21–25 minutė. Įjunkite 2FA socialiniuose tinkluose: Facebook, Instagram, LinkedIn.

26–30 minutė. Patikrinkite, ar visi atsarginiai kodai išsaugoti saugioje vietoje. Užsirašykite ant popieriaus lapo arba atspausdinkite ir padėkite į saugią fizinę vietą.

Per pusvalandį jūsų skaitmeninis saugumas pakils į visiškai kitą lygį. Kiekviena paskyra su įjungta 2FA yra paskyra, kurios sukčiai negalės perimti vien su pavogtu slaptažodžiu. Tai viena geriausių investicijų, kokias galite padaryti į savo saugumą internete, ir ji nekainuoja nė cento.

Į viršų