automaattisen tunnistautumisen Ikä biometrisen skannauksen avulla on melkein tässä. Silti jopa tänä aikana Applen Face ID, Windows 10 ’ S Hello, Ja up-and-coming FIDO2 erittely, salasanat ovat edelleen tärkein tapa kirjautua eri tileille. Siksi two-factor authentication (2FA) on tärkeä toissijainen askel online-tietojen ja palvelujen suojaamiseen.
mikä on kaksivaiheinen todennus?
kaksiosainen eli moniosainen tunnistautuminen on tilin ylimääräinen kirjautumiskoodi-toinen puolustuslinja arkaluontoisille tiedoille.
perusajatus on, että yksi salasana tärkeille tileille ei yksinkertaisesti riitä. Jos salasanasi on arvattu, tai hakkerit varastavat tietokannan, jossa kirjautumistietosi ovat pelkällä tekstillä, tilisi on helppo saalis. Kaksivaiheinen todennus yrittää korjata tätä epäkohtaa vaatimalla toissijaista koodia nimeltä kertaluonteinen salasana (OTP)-yleensä kuuden merkin pituinen ja älypuhelinsovelluksen luoma—ennen kuin voit käyttää tiliäsi. Sillä tavalla, vaikka hakkerilla olisi salasanasi, – heidän on silti murrettava toissijainen koodi, – mikä tekee sisäänpääsystä vaikeampaa.
on myös helpompi tapa käyttää 2FA: ta nimeltään FIDO U2F-standardi, jota tukevat Google, Facebook ja monet muut. Tällaisella todennuksella käytät fyysistä turvallisuusavainta ja lisäät sen tietokoneeseen, kosketat avaimen painiketta ja olet ”automagisesti” Kirjautunut sisään.
Googlen Titan-Tietoturvaavain.
2fa ei kuitenkaan ole idioottivarma. Jos päätät saada 2FA-koodisi esimerkiksi tekstiviestillä, hakkerit voivat mahdollisesti siepata koodin, kuten positiivisten teknologioiden tutkijat osoittivat vuonna 2017. Se sanoi, SMS todennus on edelleen paljon parempi kuin ei mitään. Toukokuussa 2019 Google julkisti yksivuotisen tutkimuksen, jonka se teki yhteistyössä New Yorkin yliopiston ja Kalifornian yliopiston San Diegon kanssa. Kolmikko havaitsi, että tekstiviestien todennus esti 96 prosenttia bulk phishing-hyökkäyksistä ja 76 prosenttia kohdennetuista hyökkäyksistä, jotka yrittivät murtautua Google-tilillesi.
se ei ole huono suojaus, mutta Googlen laitteen nopea strategia (käsittelemme tämän myöhemmin) oli vielä parempi, estäen 99 prosenttia bulk phishing-hyökkäyksistä ja 90 prosenttia kohdennetuista hyökkäyksistä. Sovelluspohjainen kaksivaiheinen todennus on sikäli samankaltainen, että toinen vaihe syntyy itse älypuhelimessa. Joten vaikka tässä tutkimuksessa ei mainita 2FA apps erityisesti, odotamme tulokset olisi sama, jos ei parempi kuin, laitteen kehote.
tosiasia on, että ohjelmisto – tai laitteistopohjaisen 2FA-ratkaisun käyttäminen omistamassasi laitteessa on loistava tapa suojata tilisi, ja paljon parempi kuin pelkkä tekstiviestin käyttö.
ohjelmistovaihtoehdot
mikä tahansa palvelu, joka tukee tavanomaista OTP 2fa-lähestymistapaa, toimii kaikkien alla olevien sovellusten kanssa ja sisältää useimmat valtavirran verkkosivustot ja palvelut. Yksi merkittävä poikkeus on Steam, joka tarjoaa mobiilisovelluksessaan homegrown 2fa-vaihtoehdon.
Google Authenticator: Best overall
yksi yleisemmistä tavoista käyttää kaksivaiheista todennusta on Google Authenticator. Kyseessä on Googlen ilmainen älypuhelinsovellus, joka on saatavilla sekä Androidille että iOS: lle.
sen käyttäminen on hyvin yksinkertaista ja voi esitellä aloittelijoille useimpien 2FA-sovellusten peruslähtökohdan. Mitä teet, on ottaa käyttöön kaksivaiheinen todennus palveluissa, kuten Facebook, Gmail, Dropbox. jne. Kun se on otettu käyttöön, palvelu pyytää sinua ottamaan kuvan QR-koodista sovelluksen avulla-Android-käyttäjien täytyy ladata QR-koodinlukusovellus toimiakseen Google Authenticator-sovelluksen kanssa.
Huom: joissakin tapauksissa 2FA: ta kutsutaan myös kaksivaiheiseksi verifioinniksi, mikä on ero, johon emme tässä pääse.
kun QR-koodi on luettu, Authenticator alkaa tuottaa koodeja ja palvelu pyytää tyypillisesti syöttämään nykyisen varmistaaksesi, että 2FA toimii. Voit lisätä Google Authenticatoriin niin monta tiliä kuin haluat, kunhan ne tukevat 2FA: ta.
LastPass Authenticator: Runner up
LastPassin ilmainen Authenticator käyttää ominaisuutta nimeltä one-tap push notifications, jonka avulla voit kirjautua valitse sivustoja tietokoneissa napsauttamalla sen sijaan, että Syöttäisit koodeja. Lastpassilla on YouTubessa video, joka esittelee ominaisuutta.
One-tap-kirjautuminen toimii LastPassin itsensä lisäksi myös viiden kolmannen osapuolen sivuston kanssa, mukaan lukien Amazon (ilman AWS: ää), Google, Dropbox, Facebook ja Evernote. Jos haluat käyttää yhden napautuksen ilmoituksia, sinun on asennettava LastPass-laajennus selaimeesi ja otettava se käyttöön. Tämä tarkoittaa, että sinulla on oltava LastPass-tili, mutta ilmainen riittää. Nämä yhden tapin kirjaukset ovat selainkohtaisia, joten jos yhdellä napautuksella kirjaudut sisään Chromessa, sinun on kirjauduttava sisään uudelleen, jos käytät esimerkiksi Microsoft Edgeä.
kaikki saattaa vaikuttaa melko salaperäiseltä, mutta tässä on se, mitä kulissien takana tapahtuu yhden tapin kirjautumisilla kolmansien osapuolten sivustoilla. Kun käyttäjä kirjautuu yhteensopivaan sivustoon, LastPass-selainlaajennus lähettää käyttäjän puhelimeen push-ilmoituksen, joka ilmoittaa käyttäjälle, että kirjautumista pyydetään. Käyttäjän hanat sallivat puhelimessa, ja laajennukseen palautetaan vahvistusviesti, joka sisältää vaaditun 2fa-koodin. Laajennus vastaanottaa nämä tiedot, toimittaa ne verkkosivustolle, ja käyttäjä on kirjautunut sisään.
LastPass Authenticator integroituu myös useisiin salasananhallintayhtiön emoyhtiön LogMeInin omistamiin sivustoihin, jotka tarjoavat samantyyppisen one-tap-kirjautumisen. Näitä sivustoja ovat LastPass, LogMeIn Pro/Central, GotoAssist, LogMeIn Rescue, Xively.
Microsoft Authenticator
Microsoftilla on myös ilmainen authenticator-sovellus Androidille, iOS: lle ja Windows 10 Mobilelle. Se nappaa koodeja esimerkiksi Facebookiin ja Dropboxiin napsimalla QR-koodin aivan kuten muutkin. Henkilökohtaisille Microsoft-tileille se kuitenkin tukee LastPassin kaltaisia yhden tapin ilmoituksia.
Microsoftin ominaisuus voi kirjautua tilillesi millä tahansa laitteella. Sinun tarvitsee vain hyväksyä kirjautuminen ja se on yhtä hyvä kuin syöttämällä lyhyt koodi. Se ei ole valtava ajansäästäjä, mutta se on hieman helpompaa.
Authy: Paras monilaiteratkaisu
Jos olet käyttänyt 2FA: ta jonkin aikaa, tiedät, että yksi haittapuolista on se, että joudut käymään läpi todennuskoodien uudelleen käyttöönoton vaivan aina, kun vaihdat uuteen älypuhelimeen.
Jos sinulla on 10 tiliä 2FA: lla, se tarkoittaa 10 QR-koodin napsimista uudelleen. Jos olet älypuhelin addikti, joka haluaa vaihtaa laitteita yhden tai kahden vuoden välein, että prosessi voi olla hässäkkää.
Authyn ilmainen palvelu pyrkii ratkaisemaan tämän ongelman tallentamalla kaikki 2FA—tokenisi—ne Behind the scenes-tiedot, jotka saavat 2FA-koodisi toimimaan-pilveen palvelimillaan. Tätä ominaisuutta käyttääksesi sinun on ensin otettava käyttöön salatut varmuuskopiot, minkä jälkeen tokenisi tallennetaan Authyn palvelimille.
näin Kun kirjaudut mihin tahansa Authy-sovellukseen, olipa se älypuhelimella, tabletilla tai Windowsilla tai Mac-kannettavalla tietokoneella, sinulla on pääsy koodeihisi. Chrome OS-käyttäjille on tarjolla jopa Chrome-sovellus.
monen laitteen pääsy 2FA-koodeihin on mahtavaa, mutta siinä on haittapuolensa. Authyn mukaan varmuuskopiot salataan älypuhelimeen syötetyn salasanan perusteella ennen pilveen osumista. Tämä tarkoittaa, että salasana on ainoa tapa purkaa ne, ja Authy ei ole sitä tiedostossa. Jos unohdat salasanasi, voit lukita tilisi, koska sinulla ei ole 2FA-koodeja. Miten voit saada takaisin kunkin tilin riippuu kunkin palvelun tilin palautuskäytännöt.
Jos olet uusi 2FA: ssa, tämä ei ehkä ole sovellus sinulle, ellet ole valmis ryhtymään asianmukaisiin toimiin varmistaaksesi, ettet koskaan menetä pääsyä Authy—tyyliin kirjoittamalla salasanasi ja tallentamalla sen turvalliseen paikkaan.
Laitteistovaihtoehdot
ehdottomasti turvallisin tapa lukita tilit kaksivaiheisen todennuksen avulla on käyttää fyysistä turva-avainta. Aiemmin mainitsemassani Googlen tutkimuksessa havaittiin, että tietoturva-avaimet estivät 100 prosenttia bulk-tietojenkalastelusta ja kohdennetuista hyökkäyksistä.
turvaavaimen käytön haittapuolena on kuitenkin se, että jos joskus kadotat tai rikot avaimesi, sinut saatetaan lukita ulos tileistäsi—ja joudut vaihtamaan toisen tekijän todennusmenetelmäsi uuteen avaimeen.
Yubico Authenticator
Tämä vaihtoehto on henkilökohtainen suosikkini. Yubicon YubiKey on laitteistopohjainen 2FA-ratkaisu. Se on pieni kortin kaltainen laite, jonka toisessa päässä on A-tyypin USB-portti. Se voi todentaa todennuksen napinpainalluksella sen sijaan, että syöttäisi lyhyen koodin manuaalisesti. Yubikeyt ovat myös erittäin kestäviä ja vedenpitäviä, mikä vaikeuttaa näiden laitteiden tuhoamista.
Tämä yhden tapin lähestymistapa toimii vain tileille, jotka tukevat edellä mainittua FIDO U2F-standardia, kuten Google ja GitHub. Niille palveluille, jotka eivät tue standardia, YubiKey voi myös tallentaa 2FA-poletteja ja näyttää koodeja Yubico Authenticator-sovelluksessa.
miten käytät Yubico Authenticatoria 2FA-koodin saamiseksi riippuu siitä, käytätkö authenticator-sovellusta PC: ssä vai Android-älypuhelimessa. Työpöydällä, voit vain lisätä avaimen USB-porttiin, ja authenticator heti näyttää lyhyet koodit ja voit lisätä uusia. Poista YubiKey, ja sovellus lakkaa näyttämästä koodeja välittömästi. Yubico Authenticator työpöydällä toimii useimpien YubiKey-mallien kanssa lukuun ottamatta perus-FIDO U2F-avainta.
Androidissa tarvitaan NFC: tä ja Yubico Authenticator-sovellusta tukeva YubiKey 5 NFC ($45) Ja nyt lopetettu (mutta silti tuettu) YubiKey Neo. Näillä näppäimillä kaikki mitä teet on avata Authenticator puhelimeen, kosketa näppäintä lähellä puhelimen NFC siru, ja koodit näkyvät sovelluksessa. On myös $27 Security Key NFCRemove non-product link, mutta se tukee vain FIDO U2F-todennusta (ja FIDO2 password-ilman kirjautumisia), ei kertaluonteista salasanatoimintoa.
Authyn tapaan yubikeyn kauneus on siinä, että sen avulla voit helposti siirtää authenticator-koodisi laitteesta toiseen.
Titan Security Key
Google debytoi oman laitteiston tietoturvaavaimensa vuonna 2018, Titan Security KeyRemove non-product link. Tämä avain tulee 50 dollaria nippu kaksi fyysistä laitetta. Ensimmäinen on avain, jossa on Yubikeyn kaltainen USB-A-insertti. Toinen on Bluetooth dongle, joka voi muodostaa yhteyden puhelimeen langattomasti. Titan Security Key on muutamia haittoja. Ensinnäkin se tukee vain sivustoja, jotka käyttävät Fido-ja FIDO2F-standardia, eli et voi turvautua OTP-koodeihin sivustoille, jotka tukevat 2FA: ta, mutta eivät Fido one-touch-merkintää. Myös Google joutui hiljattain kutsumaan Bluetooth-donglensa takaisin, kun vakava tietoturvavirhe paljastui. Vertailun vuoksi Yubico ei ole vielä julkaissut Bluetooth-versiota tietoturvaavaimestaan, koska se ei usko teknologian olevan tarpeeksi turvallinen.
Bonus: Google on-device kysyy
esimerkki Googlen laitteen kehotteista.
Jos sukellus 2FA: n maailmaan on sinulle liikaa juuri nyt, miksi et kastaisi varpaasi kokemukseen Google on-laitteen kehotteilla? Tämä on yksinkertainen turvatoimenpide, joka auttaa suojaamaan Google-tiliäsi.
aina kun haluat kirjautua Googleen uudella koneella, sinun täytyy antaa siihen lupa yhdellä napsautuksella Android-tai iOS-laitteellasi. Saadaksesi tämän toimimaan Android tarvitset uusimman version Google Play-palveluista, jotka useimmilla ihmisillä pitäisi olla automaattisesti. Kuka tahansa iOS-laitteissa tarvitsee nykyisen version Google-tai Gmail-sovelluksista.
kaksivaiheinen todennus on tärkeä askel tärkeiden tilien suojaamiseksi aina kun se on mahdollista. Se voi tuntua kipua ajoittain syöttää että ylimääräinen koodi—joka voi olla vain tehdä kerran per laite tai kerran 30 päivää – mutta se on hinta kannattaa maksaa tehdä online-tilit turvallisempi.