Как вы считаете, какой самый жуткий кошмар пользователя компьютера? В порыве любопытства запустить присланный по почте вирус-шифровальщик? Уронить в канализацию флешку с единственной копией второй части «Мертвых душ»? Залить пивом новенький ультрабук, подаренный любимой девушкой на день рождения? Как вы сказали? Ультрабук самой девушки? У нее на глазах? Фредди Крюгер пожал бы вам руку. У вас есть вкус.
Вот еще один, не менее кошмарный сценарий. Вы начитались убедительных статей и насмотрелись впечатляющих видеороликов про цифровую безопасность. Включили всюду, где можно, двухфакторную (двухэтапную) аутентификацию. Без SMS (это ненадежно), с привязкой к умному приложению на смартфоне. Отныне вы шагаете по миру уверенной походкой счастливого человека, который защитил все свои аккаунты.
До того момента, как вас задевает плечом суетливый разносчик пиццы. Он уносится на велосипеде в пропитанную сырным соусом даль, а ваш любимый Xiaomi со всего маху летит на асфальт. Внезапно вы оказываетесь в тоскливом мире, где нет Google, Facebook, «ВКонтакте», Instagram, Twitter, Slack, Zoom, вашего любимого облачного хранилища, корпоративной почты и множества других привычных и полезных ресурсов. Точнее, все эти сайты живы, но ваши аккаунты недосягаемы. Для входа нужен второй фактор, и это ваш телефон. А он, как сказал ремонтник с лицом уснувшей рыбы, вернется к вам через неделю. Может быть.
Зачем нужны резервные коды
Выкрутиться из подобной ситуации позволяют резервные коды. Где их взять? В том же разделе настроек сервиса, где вы включали двухэтапную аутентификацию. На иллюстрации ниже видно, как этот раздел выглядит в Google.
Технически резервный код просто еще один способ двухэтапной аутентификации. Альтернатива тому коду, который каждые 30 секунд генерирует приложение на вашем смартфоне (Google Authenticator, Authy, andOTP или другое). Правда, резервные коды статичны. Они не обновляются и не истекают, пока вы их не отмените вручную.
Резервные коды пригодятся, если вы используете в качестве второго фактора привязанный к сервису смартфон, и с этим устройством произошло что-то нехорошее. Сломали, потеряли, забыли на работе, украли злодеи, изъяли при обыске. А может, смартфон просто завалился в темное и пыльное никуда, где вы его не в состоянии найти, и там предательски разрядился.
Слушайте крамольную мысль, которую, вероятно, не одобрят иные пуритане от безопасности. Вот она: если в системе вообще нет механизма резервных кодов, лучше не использовать двухэтапную аутентификацию с привязкой к мобильному устройству. Другими словами, лучше выбрать другой основной способ аутентификации (в крайнем случае сгодится и SMS). Или вовсе обходиться без двухэтапной аутентификации. Риск потерять доступ к важным аккаунтам из-за сломанного смартфона может перевесить другие риски. Справедливо ли это для вас — судите сами.
Как использовать резервные коды
Итак, вы:
- включили в настройках сервиса резервные коды как еще один способ двухэтапной аутентификации;
- сгенерировали в настройках набор резервных кодов;
- сохранили эти коды в каком-то надежном месте.
При входе в сервис вам будет предложено ввести второй фактор. Пример Facebook:
В Facebook все просто: достаточно ввести в единственное поле один из резервных кодов. Неважно, какой по счету в списке. Неважно, что Facebook предлагает ввести 6-значный код, а резервный код 8-значный. Сработает. Кстати, в Facebook он называется не «резервным», а «кодом восстановления». В Google (и большинстве сервисов, где есть двухэтапная аутентификация) чуть сложнее. Когда сервис запросит второй фактор, нужно щелкнуть по ссылке «Другой способ» и выбрать опцию «Ввести 8-значный резервный код».
Резервный код одноразовый. Снова возникнет потребность — используйте другой код из списка. А когда список истощится, сгенерируйте новые коды и сохраните в надежном месте. Оставшиеся коды из «старого» списка автоматически перестанут действовать. Если список кодов скомпрометирован (к примеру, вы показывали свой экран Facebook во время Zoom-сессии, и резервные коды Facebook случайно попали в кадр), сгенерируйте новые резервные коды в настройках Facebook. Не откладывайте в долгий ящик.
Где хранить резервные коды
В надежном месте (я уже это говорил?). Насколько это возможно, защищенном от несанкционированного доступа. Можно распечатать на бумаге и положить в сейф. Можно зашифровать на компьютере и положить в облако. Едва ли будет правильно хранить резервные коды на рабочем столе компьютера в текстовом файле «коды.txt».
Те, кто использует в работе менеджеры паролей (такие как Bitwarden или KeePassXC), могут попробовать хранить резервные коды в парольных базах. Таким образом, кодам будет обеспечен тот же высокий уровень защиты, что и паролям. Разумеется, при условии, что парольная база защищена стойким мастер-паролем. С другой стороны, если все-таки произойдет несанкционированный доступ к парольной базе, злоумышленник получит сразу и пароль, и резервный код для двухэтапной аутентификации. Тут сложно дать однозначную рекомендацию, решать вам.
А вот что можно посоветовать наверняка: сделайте еще одну копию резервных кодов и сохраните в другом надежном месте. Пусть у вас будет две копии на всякий случай.
Резюме
- Включили в настройках какого-нибудь сервиса двухэтапную аутентификацию с привязкой к мобильному устройству? Обязательно включите там же резервные коды.
- Полученный список резервных кодов сохраните в надежном месте. Лучше, если у вас будут две копии резервных кодов в разных местах.
- Используйте резервные коды при проблемах с мобильным устройством.
- Когда список резервных кодов истощится (или коды окажутся скомпрометированы), сгенерируйте в настройках сервиса новый список резервных кодов. Далее смотри пункт 2.