Руководства по безопасности
Как правильно выбирать MFA: что значит «устойчивый к фишингу» и почему SMS слаб
SMS, приложения-аутентификаторы и passkey образуют лестницу силы MFA. Почему SMS падает перед фишингом и SIM-swap, что на самом деле значит «устойчивый к фишингу» и какой фактор ставить на какой аккаунт.
Для тех, кто собирается включить MFA (двухфакторную / двухэтапную проверку) или уже включил, но задаётся вопросом «достаточно ли SMS?» Здесь нет механики атак — только какие методы сильны и что куда ставить.
Взгляд этого сайта: «есть MFA» — не галочка
«Двухфакторная аутентификация: включена», которую вы видите в настройках, на самом деле почти не несёт информации о силе. То же «включено» защищает от совершенно разных атак для SMS против passkey. Большинство захватов происходит не потому, что «MFA не было», а потому, что это был слабый MFA. Поэтому для важных аккаунтов мы советуем оценивать по «устойчив ли к фишингу или нет», а не по «MFA: вкл/выкл».
Зачем нужен MFA
Пароль сам по себе стоит считать «когда-нибудь утечёт». Повторное использование, дампы утечек, угадывание, фишинг — путей много. MFA — страховка, останавливающая на втором слое даже когда первый сломан.
Важнее всего почтовый аккаунт. Многие сервисы восстанавливают «забыли пароль» по почте, так что в момент захвата почты другие аккаунты сбрасываются по цепочке. Поэтому почта — «ключ от королевства», который надо охранять сильнейшим MFA (→ Уровень 0 базового чек-листа).
Лестница силы (вот в чём суть)
Даже называясь «двухфакторными», методы огромно различаются по силе. Слева слабее, справа сильнее. Разделительная черта — «можно ли это предъявить поддельному сайту?»
✗ SMS / email
ввод числа вручную; релейный фишинг и SIM-swap ломают его
△ аутентификатор (TOTP)
сильнее SMS, но код можно ретранслировать на поддельный сайт
○ passkey
биометрия устройства; привязан к домену = устойчив к фишингу
◎ аппаратный ключ
аппаратный ключ FIDO2; крепчайший; держите запасной
Коды SMS / email
- код — просто цифры — его можно вставить на поддельный сайт
- SIM-swap (угон вашего номера) крадёт получение
- релейный фишинг пересылает его на настоящий сайт, побеждая
- лучше, чем ничего, но не последний рубеж обороны
Passkey / аппаратный ключ (FIDO2)
- ключ привязан к домену назначения — на поддельном сайте нет подписи
- устойчив к фишингу по замыслу (не опирается на суждение человека)
- биометрия устройства или аппаратный ключ = нет «строки», которую можно украсть
- используйте это для ключей от королевства
Что на самом деле значит «устойчивый к фишингу»
Это ключевая концепция. С SMS или кодом аутентификатора в итоге человеку приходится судить глазами, на правильном ли он сайте вводит код — но люди не отличают идеальную копию домена. Passkey или аппаратный ключ (FIDO2), напротив, знают, для какого они домена, так что не возвращают подпись поддельному сайту. Иными словами, даже если человека обманули, ключ — нет. Это и есть «устойчивость к фишингу», и в ней решающая разница между слабыми и сильными методами.
Как настроить (порядок важен)
Начните с ключей от королевства
MFA на сам менеджер паролей
Если не поддерживается, используйте аутентификатор (TOTP)
Храните коды восстановления безопасно
Имейте один резервный фактор
Даже с MFA перестаньте повторно использовать пароли
MFA — страховка, а не повод для слабых паролей. На сервисах, где доступен лишь не устойчивый к фишингу MFA (вроде SMS), сила и уникальность пароля всё ещё ваш последний рубеж. Оцените её чекером надёжности пароля.
Что делает сам этот сайт
Этот сайт запирает свои важные аккаунты — особенно почту, домены, администрирование сервера и платежи — устойчивым к фишингу MFA, где только возможно. Причина проста: это ключи от королевства, где «потеряешь один — потеряешь все». Ежедневные логины живут в менеджере паролей, а сам менеджер несёт MFA. И мы не останавливаемся на «MFA включён» — периодически пересматриваем, какой метод установлен. Найдя важный аккаунт лишь с SMS, мы трактуем это как дыру и приоритезируем обновление до passkey/аппаратного ключа. Управляйте по силе, а не по наличию — вот наша политика.
Читать дальше
- Основа: базовый чек-лист безопасности (сначала ключи от королевства)
- Хранение: как безопасно хранить пароли
- Глоссарий: SPF/DKIM/DMARC (почтовая аутентификация против подделки)
- Глоссарий: что такое фишинг (угроза, для которой создан устойчивый к фишингу MFA)
- Беспарольно: что такое passkey (беспарольный вход, где нечего красть)
- Инструмент: чекер надёжности пароля
FAQ
QЕсли я включу MFA, я в безопасности?
Гораздо безопаснее, чем без него, но «включено» — не то же, что «безопасно». Метод меняет силу по трём уровням: коды SMS и email падают перед фишингом (релейная атака, заманивающая ваш код на поддельный сайт) и SIM-swap. Для важных аккаунтов используйте passkey или аппаратный ключ (устойчивый к фишингу MFA), который нельзя предъявить поддельному сайту.
QПочему SMS называют слабым?
Потому что код — это просто строка цифр, и человеку приходится судить, настоящее или поддельное место, куда он его вводит. Релейный фишинг (вы вводите код на идеальную копию) и SIM-swap (ваш номер телефона угоняют) его побеждают. Лучше, чем ничего, но это не последний рубеж обороны.
QКакой метод реально выбрать?
Сильнейшие — passkey (биометрия вашего устройства) и физические аппаратные ключи (FIDO2). Ключ привязан к домену назначения, так что на поддельном сайте подпись не производится — это и есть устойчивость к фишингу. Там, где они не поддерживаются, используйте приложение-аутентификатор (TOTP); SMS держите как крайнее средство, когда ничего другого не предлагают.