Коли Ви реєструєте свою пошту на якомусь з найвідоміших поштових сервісів, Вам, окрім логіна та пароля, запропонують вказати ще певні дані (дата народження, альтернативна адреса пошти тощо). Один з них — це номер мобільного телефона.
Навіщо поштовим сервісам, наприклад Gmail, знати Ваш номер мобільного? Справа в тому, що Ви можете заходити на сервер зі стаціонарного комп’ютера, ноутбука чи планшета. І поштовим сервісам потрібно впевнитися, що цим всім користуєтесь саме Ви, а не хтось інший без Вашого відома. Тому, коли Ви набираєте логін та пароль і натискаєте Enter, Вам може надійти повідомлення на мобільний телефон із кодом, який Ви маєте ввести додатково. За аналогією, це як два замки на дверях, які відкриваються один за одним, причому перший ключ дозволяє використовувати другий, а не навпаки.
Чому це корисно для Вас? Звичайно, паролі до поштових скриньок, якщо вони прості, часто зламують. Тому двофакторна авторизація може захистити Вашу скриньку, якщо зловмисник вже підібрав до неї пароль, але не має доступу до Вашого мобільного телефона. І надходження СМС-ки про спроби змінити пароль Вам на мобільний, якщо Ви самі його не змінювали — це вже чіткий сигнал, що Вас таки намагаються зламати. Аналогічно з обліковими записами у різних соціальних мережах, які слід «прив’язати» не лише до пошти, але й до номера мобільного телефона.
Є й інші типи двофакторної авторизації — наприклад, за відбитком пальця чи за зображенням райдужної оболонки ока (біометрична авторизація), з використанням USB- чи Smartcard–ключів (апаратна авторизація). Однак і її можна обійти.
Перший спосіб — викрадення Вашого мобільного телефона з доступом до Вашої електронної пошти. Оскільки Ви, щоб кожного разу не набирати пароль до e-mail на смартфоні, просто ставите опцію автоматичного входу, а SIM-карта з тим самим номером у більшості випадків саме туди і вставлена, то отримавши доступ до Вашого незаблокованого смартфона, можна викрасти і пароль до пошти, і паролі до акаунтів у соціальних мережах. Тому, якщо є можливість, ставте SIM-картку, до якої прив’язана авторизація, в інший телефон.
Другий спосіб — за допомогою СМС з сайту, що симулює розсилку з певного номера (який може бути приписаний навіть Google). Тоді пишеться повідомлення про те, що Ваш акаунт може бути зламаний і потрібна авторизація за допомогою коду. Як тільки Ви відправляєте повідомлення, його перенаправляють зловмисникам. Або це може виглядати як розсилка про виграш у лотерею, де потрібно зайти на сайт, де вимагають вказати для підтвердження адресу електронної пошти та мобільний телефон. Для ще одного «підтвердження» Вам висилають код, який Ви маєте ввести у форму на сайті. Все — у Вас вже вкрали скриньку, бо це був код підтвердження зміни пароля.
Нарешті, третій спосіб — через так звані паролі додатків. Зокрема, в операційних системах Android для кожного системного додатку може бути встановлений свій пароль. І це дозволяло, наприклад, якщо знати пароль від Google Notes чи iншого додатку та ім’я користувача, виходити на сторінку зміни пароля до облікового запису Google, ігноруючи двофакторну авторизацію. Зараз вже такої можливості у системних засобах Android немає, однак деякі розробники програм все ще допускають таку можливість — наприклад, зберігаючи паролі та контактні дані у відкритих форматах.
