Pereiti prie turinio
Atgal į Kibernetinis saugumas
Kibernetinis saugumas

Dviejų veiksnių autentifikacija (2FA) — kas tai ir kaip apsisaugoti

Dviejų veiksnių autentifikacija (2FA) yra paprasčiausias būdas apsaugoti savo paskyras nuo įsilaužimų. Paaiškinsime, kaip veikia kiekvienas 2FA tipas — nuo SMS kodų iki aparatinių raktų — ir padėsime viską susikonfigūruoti per kelias minutes.

i

icecode.lt

2026 m. kovo 6 d.6 min
Dviejų veiksnių autentifikacija (2FA) — kas tai ir kaip apsisaugoti

Kas yra dviejų veiksnių autentifikacija (2FA)?

Įsivaizduokite, kad jūsų el. pašto slaptažodis — tai durų raktas. Jei kas nors jį nukopijuoja (o nutekėjusių slaptažodžių duomenų bazėse jų yra milijardai), jis tiesiog ateina ir atidaro duris. Dviejų veiksnių autentifikacija (2FA) prideda antrą spyną — tokią, kurios raktas keičiasi kas 30 sekundžių arba fiziškai yra tik jūsų kišenėje.

Techniškai 2FA reiškia, kad prisijungimui reikia dviejų skirtingų kategorijų įrodymų:

  • Kažką, ką žinote — slaptažodį arba PIN kodą
  • Kažką, ką turite — telefoną, aparatinį raktą arba autentifikavimo programėlę
  • Kažką, kas esate jūs — pirštų atspaudą, veidą ar kitus biometrinius duomenis

2FA naudoja bet kurių dviejų iš šių kategorijų kombinaciją. Vien slaptažodis + saugumo klausimas nėra 2FA — abu priklauso tai pačiai „ką žinote" kategorijai.

Kodėl slaptažodžio nebepakanka?

2024 m. „Verizon" duomenų saugumo pažeidimų ataskaitoje (DBIR) nurodoma, kad apie 80 % įsilaužimų susiję su pavogtais arba silpnais slaptažodžiais. Ir tai nėra tik mažų svetainių problema — „LinkedIn", „Facebook", „Twitter" — visos šios platformos yra patyrusios masinių prisijungimo duomenų nutekėjimų.

Problemos esmė paprasta: žmonės naudoja tuos pačius slaptažodžius keliose vietose. Nutekėjus vienam, pažeidžiamos visos paskyros. 2FA šią problemą išsprendžia — net jei įsilaužėlis turi jūsų slaptažodį, be antrojo veiksnio jis niekur nenueis.

Keturi 2FA tipai: nuo silpniausio iki stipriausio

1. SMS kodai — geriau nei nieko, bet tik tiek

Prisijungiant gaunate trumpąją žinutę su 6 skaitmenų kodu. Tai populiariausias, bet ir silpniausias 2FA metodas.

Kodėl? Nes egzistuoja vadinamasis SIM keitimo atakos (SIM swapping) metodas — nusikaltėlis, apsimetęs jumis, paskambina mobiliojo ryšio operatoriui ir peradresuoja jūsų numerį į savo SIM kortelę. Taip pat SMS žinutės gali būti perimtos per SS7 protokolo pažeidžiamumus. JAV federalinė ryšių komisija (FCC) jau 2023 m. priėmė naujas taisykles prieš SIM keitimą, bet tai nereiškia, kad grėsmė dingo.

Verdiktas: Jei tai vienintelė galimybė — įjunkite. Bet jei galite pasirinkti geresnį variantą — rinkitės.

2. TOTP programėlės — auksinis standartas kasdieniam naudojimui

TOTP (Time-based One-Time Password) programėlės, tokios kaip Google Authenticator, Authy ar Microsoft Authenticator, generuoja 6 skaitmenų kodus, kurie keičiasi kas 30 sekundžių. Kodas sukuriamas jūsų telefone pagal bendrą slaptą raktą ir dabartinį laiką — jokia SMS nereikalinga.

Analogija: tai lyg sinchronizuotas laikrodis tarp jūsų ir serverio. Abu žino tą patį slaptą skaičių ir dabartinį laiką, todėl abu sugeneruoja tą patį kodą tuo pačiu metu. Pašalinis žmogus, nežinantis slapto skaičiaus, kodo atspėti negali.

Verdiktas: Puikus balansas tarp saugumo ir patogumo. Rekomenduojame Authy arba Microsoft Authenticator — jie leidžia daryti atsargines kopijas debesyje, todėl pametę telefoną neprarasite prieigos.

3. Aparatiniai saugumo raktai — maksimali apsauga

Fiziniai USB arba NFC raktai, tokie kaip YubiKey ar Google Titan, naudoja FIDO2/WebAuthn protokolą. Prisijungiant tiesiog įkišate raktą į USB prievadą arba pridėkite prie telefono per NFC ir paliečiate pirštą.

Didžiausias privalumas: aparatiniai raktai yra atsparūs sukčiavimui (phishing). Net jei atidarote netikrą „Google" prisijungimo puslapį, raktas atpažįsta, kad domenas neteisingas, ir tiesiog neveikia. „Google" 2018 m. viešai paskelbė, kad po aparatinių raktų įdiegimo 85 000 darbuotojų nė vienas nepatyrė sėkmingos sukčiavimo atakos.

Verdiktas: Geriausias pasirinkimas, jei saugote itin svarbius duomenis — finansines paskyras, verslo el. paštą, kriptovaliutų piniginę. YubiKey kainuoja apie 50–70 €, bet tai investicija, kuri atsiperka pirmą kartą išvengus įsilaužimo.

4. Passkeys — ateitis, kuri jau čia

Passkeys (liet. — prieigos raktai) yra naujausia FIDO2 standarto evoliucija. Tai kriptografiniai raktai, saugomi jūsų įrenginyje, kurie visiškai pakeičia slaptažodį. Prisijungiate vien piršto atspaudu arba veido atpažinimu — jokio kodo, jokio USB rakto.

2025–2026 m. passkeys palaikymas tapo beveik universalus: Apple, Google ir Microsoft integruoja juos į savo operacines sistemas, o tokios platformos kaip „Amazon", „PayPal", „GitHub" ir „WhatsApp" jau leidžia prisijungti naudojant passkeys.

Verdiktas: Jei jūsų paslauga palaiko passkeys — naudokite. Tai ir patogiausia, ir saugiausia šiuo metu. Vienintelis trūkumas — perkėlimas tarp ekosistemų (pvz., iš Apple į Android) vis dar reikalauja papildomų žingsnių.

Palyginimo lentelė

Štai trumpa keturių metodų palyginimo santrauka:

  • SMS kodai: Saugumas — žemas. Patogumas — didelis. Apsauga nuo sukčiavimo (phishing) — ne.
  • TOTP programėlės: Saugumas — vidutinis/aukštas. Patogumas — vidutinis. Apsauga nuo sukčiavimo — ne (bet sunkiau perimti).
  • Aparatiniai raktai: Saugumas — labai aukštas. Patogumas — vidutinis. Apsauga nuo sukčiavimo — taip.
  • Passkeys: Saugumas — labai aukštas. Patogumas — didelis. Apsauga nuo sukčiavimo — taip.

Kaip įjungti 2FA per 5 minutes: žingsnis po žingsnio

Google paskyra

Eikite į myaccount.google.com/security → „Kaip prisijungiate prie Google" → „Patvirtinimas dviem veiksmais". Galite pasirinkti TOTP programėlę, aparatinį raktą arba passkey. Rekomenduojame pradėti nuo passkey — Google pasiūlys jį kaip pirmą variantą.

Apple ID

iPhone: „Nustatymai" → jūsų vardas → „Prisijungimas ir sauga" → „Dviejų veiksnių autentifikavimas". Apple naudoja savo push pranešimų sistemą — kodas ateina tiesiai į kitą Apple įrenginį. Nuo 2022 m. Apple taip pat palaiko passkeys per „iCloud Keychain".

Socialiniai tinklai ir el. paštas

Beveik visos pagrindinės platformos palaiko 2FA: Facebook (Nustatymai → Sauga → 2FA), Instagram (Nustatymai → Sauga → 2FA), X/Twitter (Nustatymai → Sauga → 2FA — dėmesio, SMS 2FA nemokamoje versijoje nebepasiekiamas). El. paštui — Outlook ir Gmail abu palaiko visus keturis metodus.

Trys patarimai, kurie išgelbės jus nuo bėdų

  • Išsisaugokite atkūrimo kodus. Kai įjungiate 2FA, paslauga duoda vienkartinių atkūrimo kodų. Išsaugokite juos atskirai nuo telefono — popieriuje seife arba slaptažodžių tvarkyklėje. Praradę telefoną be atkūrimo kodų galite prarasti prieigą visam laikui.
  • Naudokite slaptažodžių tvarkyklę. „Bitwarden" (nemokamas), „1Password" ar „Proton Pass" ne tik saugiai laiko slaptažodžius, bet ir generuoja TOTP kodus bei saugo passkeys. Vienas įrankis viskam.
  • Turėkite atsarginį 2FA metodą. Jei pagrindinis metodas yra TOTP programėlė telefone — užregistruokite ir aparatinį raktą kaip atsarginę priemonę. Arba atvirkščiai.

Ar 2FA netrukdo? Atvirai apie patogumą

Taip, 2FA prideda vieną papildomą žingsnį. Bet tą patį galima pasakyti apie automobilio saugos diržą — niekam nepatinka jį segti, bet niekas nesvarsto jo nesinaudoti. Su passkeys šis klausimas tampa nebereikšmingas — prisijungimas piršto atspaudu yra greitesnis nei slaptažodžio rašymas.

Ir pagalvokite apie alternatyvą: valandos, praleistos bandant atgauti nulaužtą paskyrą, prarasti duomenys, nutekėjusios nuotraukos, finansiniai nuostoliai. 2FA sukonfigūravimas trunka 5 minutes. Pasirinkimas akivaizdus.

Praktinė rekomendacija

Jei šiandien turite padaryti tik vieną dalyką — įjunkite 2FA savo el. pašto paskyroje. El. paštas yra „raktų nuo visų durų" paskyra: per ją galima atkurti prieigą prie visų kitų paslaugų. Apsaugokite jį pirmiausiai, o tada palaipsniui įjunkite 2FA visur, kur tik galite.

Šaltiniai

Dalintis straipsniu