В предыдущей статье мы разобрались, что для защиты своих учётных данных нужно использовать двухфакторную аутентификацию (2FA).
В данной статье мы рассмотрим использование аппаратного токена (физического ключа) в качестве двухфакторной аутентификации.
Три основные функции, которые выполняют физические ключи:
- двухфакторная аутентификация;
- встроенное TOTP приложение, которое находится не в смартфоне, а в самом ключе;
- возможность использования физического ключа, как основного фактора авторизации при входе в свою учетную запись на компьютере.
Основная задача физических ключей — это не постоянное использование ключа при каждом входе в учетную запись, хотя это более безопасно, а зарегистрировать/авторизовать новое устройство.
Вы покупаете новое устройство и хотите войти в свою учетную запись, вводите пароль, подтверждаете второй фактор авторизации физическим ключом. Если с компьютером вопросов не возникает, так как физический ключ имеет разъем USB-A/USB-C, то в случае с устройствами типа смартфон, планшет можно использовать NFC модели таких ключей. Для прохождения двухфакторной аутентификации достаточно поднести физический ключ к считывателю NFC смартфона.
В случае если какой то сервис не поддерживает именно физические ключи, то можно использовать двухфакторную аутентификацию через встроенное в ключ TOTP приложение. Данные о временных паролях хранятся на самом носителе (физическом ключе). При входе в TOTP приложение на смартфоне ничего не будет отображаться, но стоит поднести физический ключ и ровно на одну минуту появятся одноразовые пароли для того, что бы вы смогли войти в свою учётную запись.
Слабым местом данных физических ключей является то, что их можно потерять. Но тот, кто найдёт физический ключ, ничего не сможет с ним сделать, ведь он не будет знать основной пароль от вашей учётной записи. Стоит так же упомянуть, что если был утерян физический ключ, то вы так же не сможете поменять пароль на своей учётной записи, поэтому должен быть второй физический ключ, который по аналогии с ключами от автомобиля хранится в другом месте, отдельно от основного ключа. Самый же весомый недостаток — это стоимость физических ключей.
Брендов, которые сейчас выпускают физические ключи очень много. Самыми распространёнными являются Thetis, Kensington, Yubikey, Google Titan. Ценовой диапазон разный.
Пользуюсь Yubikey 5C NFC, он полностью закрывает мои потребности. Имеет интерфейс USB-C и NFC. iPad Pro M1 авторизуется через USB-C, так как не имеет NFC считывателя, были определённые опасения в момент заказа физического ключа. С iPhone авторизация проходит через NFC считыватель.