a biometrikus szkenneléssel történő automatikus hitelesítés kora szinte itt van. Még az Apple Face ID, A Windows 10 Hello és a feltörekvő FIDO2 specifikáció idején is a jelszavak továbbra is a fő módja annak, hogy bejelentkezzünk a különböző fiókjainkba. Ezért a kétfaktoros hitelesítés (2FA) fontos másodlagos lépés az online adatok és szolgáltatások védelme érdekében.
mi a kétfaktoros hitelesítés?
a kétfaktoros vagy többfaktoros hitelesítés egy további bejelentkezési kód egy fiókhoz—az érzékeny információk második védelmi vonala.
Az alapötlet az, hogy egyetlen jelszó a fontos fiókokhoz egyszerűen nem elegendő. Ha kitalálja a jelszavát, vagy a hackerek ellopnak egy adatbázist a bejelentkezési adataival egyszerű szövegben, fiókja ülő kacsa. A kétfaktoros hitelesítés ezt a hibát úgy próbálja kiküszöbölni, hogy egy másodlagos kódot, az úgynevezett egyszeri jelszót (OTP) igényel-általában hat karakter hosszú, és egy okostelefon—alkalmazás generálja—, mielőtt hozzáférhet a fiókjához. Így még akkor is, ha egy hackernek megvan a jelszava, akkor is fel kell törnie egy másodlagos kódot, ami sokkal nehezebbé teszi a bejutást.
van egy egyszerűbb módja a 2FA használatának, a FIDO U2F szabványnak, amelyet a Google, a Facebook és még sokan mások támogatnak. Ezzel a fajta hitelesítéssel fizikai biztonsági kulcsot használ, és behelyezi azt a számítógépébe, megérinti a kulcs gombját, és “automatikusan” bejelentkezik.
2FA nem üzembiztos, azonban. Ha úgy dönt, hogy például SMS-ben kapja meg a 2FA-kódokat, akkor a kódot a hackerek potenciálisan elfoghatják, amint azt a pozitív technológiák kutatói 2017-ben bemutatták. Ez azt jelenti, hogy az SMS-hitelesítés még mindig sokkal jobb, mint a semmi. 2019 májusában a Google bejelentette egy egyéves tanulmányát, amelyet a New York-i Egyetemmel és a San Diegó-i Kaliforniai Egyetemmel együttműködve végzett. A trió megállapította, hogy az SMS-hitelesítés blokkolta a tömeges adathalász támadások 96% – át, a célzott támadások 76% – át pedig megpróbálta feltörni a Google-fiókját.
ez nem rossz védelem, de a Google on-device prompt stratégiája (ezt később tárgyaljuk) még jobb volt, blokkolva a tömeges adathalász támadások 99% – át, a célzott támadások 90% – át. Az alkalmazásalapú kétfaktoros hitelesítés hasonló, mivel a második lépést maga az okostelefon generálja. Tehát bár ez a tanulmány nem említette kifejezetten a 2FA alkalmazásokat, arra számítunk, hogy az eredmények megegyeznek, ha nem is jobbak, mint egy eszközön történő felszólítás.
a tény az, hogy egy szoftver – vagy hardver-alapú 2FA megoldás használata a saját eszközén nagyszerű módja a fiók védelmének, és sokkal jobb, mint egyszerűen SMS-t használni.
szoftver opciók
minden olyan szolgáltatás, amely támogatja a standard OTP 2FA megközelítést, az összes alábbi alkalmazással együtt fog működni, és ez magában foglalja a legtöbb mainstream weboldalt és szolgáltatást. Az egyik figyelemre méltó kivétel a Steam, amely otthoni 2FA opciót biztosít mobilalkalmazásában.
Google Authenticator: összességében a legjobb
a kétfaktoros hitelesítés egyik leggyakoribb módja a Google Authenticator. Ez egy ingyenes okostelefon-alkalmazás a Google-tól, amely mind Android, mind iOS számára elérhető.
használata nagyon egyszerű, és bevezetheti a kezdőket a legtöbb 2FA alkalmazás alapfeltételéhez. Amit csinál, engedélyezi a kétfaktoros hitelesítést olyan szolgáltatásain, mint a Facebook, a Gmail, a Dropbox. stb. Miután engedélyezte, a szolgáltatás felkéri Önt, hogy készítsen pillanatfelvételt egy QR—kódról az alkalmazás segítségével-az Android felhasználóknak le kell tölteniük egy QR-kód olvasó alkalmazást a Google hitelesítővel való együttműködéshez.
megjegyzés: bizonyos esetekben a 2FA-t kétlépcsős ellenőrzésnek is nevezik, ami olyan megkülönböztetés, amelybe itt nem fogunk belemenni.
miután elolvasta a QR-kódot, az Authenticator elkezdi generálni a kódokat, és a szolgáltatás általában arra kéri Önt, hogy adja meg az aktuálisat, hogy ellenőrizze a 2FA működését. Annyi fiókot adhat hozzá a Google Hitelesítőhöz, amennyit csak akar, mindaddig, amíg támogatják a 2FA-t.
LastPass Authenticator: Runner up
LastPass ingyenes hitelesítési alkalmazás egy olyan funkciót használ, amelyet egy érintéses push értesítéseknek neveznek, amely lehetővé teszi a bejelentkezést válassza ki a PC-k webhelyeit egy kattintással a kódok beírása helyett. A LastPass-nak van egy videója a YouTube-on, amely bemutatja a funkciót.
az Egytapos bejelentkezések magával a LastPass-szal, valamint öt harmadik fél webhelyével működnek, beleértve az Amazon-ot (az AWS-t nem beleértve), a Google-t, a Dropboxot, a Facebook-ot és az Evernote-ot. Az egygombos értesítések használatához a böngészőben telepítve kell lennie a LastPass kiterjesztésnek, és engedélyeznie kell. Ez azt jelenti, hogy rendelkeznie kell egy LastPass fiókkal, de egy ingyenes is megteszi. Ezek az egygombos bejelentkezések böngésző-specifikusak, így ha egy koppintással jelentkezik be a Chrome-ba, akkor újra be kell jelentkeznie, ha például a Microsoft Edge-t használja.
mindez meglehetősen titokzatosnak tűnhet, de itt van, mi történik a színfalak mögött egy érintéses bejelentkezéssel harmadik fél webhelyein. Amikor egy felhasználó bejelentkezik egy kompatibilis webhelyre, a LastPass böngészőbővítmény push értesítést küld a felhasználó telefonjára, amely figyelmezteti a felhasználót, hogy bejelentkezést kérnek. A felhasználó megérinti lehetővé teszi a telefont, és egy megerősítő üzenetet küld a bővítménynek, amely tartalmazza a szükséges 2FA kódot. A kiterjesztés megkapja ezt az információt, megadja azt a weboldalnak, és a felhasználó be van jelentkezve.
a LastPass Authenticator a jelszókezelő anyavállalatának, a Logmeinnek több webhelyével is integrálódik, hogy hasonló típusú egygombos bejelentkezést kínáljon. Ezek a helyek közé tartozik a LastPass, LogMeIn Pro / Central, GotoAssist, LogMeIn Rescue, Xively.
Microsoft Authenticator
a Microsoft rendelkezik egy ingyenes hitelesítő alkalmazással Android, iOS és Windows 10 Mobile rendszerekhez. Olyan webhelyek kódjait fogja meg, mint a Facebook és a Dropbox, egy QR-kód csattanásával, mint a többiek. Személyes Microsoft-fiókok esetén azonban támogatja a LastPass-hoz hasonló egygombos értesítéseket.
a Microsoft funkciója bármilyen eszközön bejelentkezhet fiókjába. Mindössze annyit kell tennie, hogy jóváhagyja a bejelentkezést, és ez olyan jó, mint a rövid kód megadása. Ez nem egy hatalmas időmegtakarító, de kissé kényelmesebb.
Authy: A legjobb multi-device megoldás
Ha bármilyen hosszú ideig használta a 2FA-t, akkor tudja, hogy az egyik hátránya, hogy minden alkalommal át kell mennie a hitelesítési kódok újbóli engedélyezésével váltás egy új okostelefonra.
Ha 10 fiókja van a 2FA-val, az azt jelenti, hogy újra 10 QR-kódot kell feltörnie. Ha egy okostelefon rabja, aki szeret váltani eszközök minden egy-két évben, hogy a folyamat lehet egy szóváltás.
az Authy ingyenes szolgáltatásának célja, hogy megoldja ezt a problémát azáltal, hogy az összes 2FA tokent—a kulisszák mögötti adatokat, amelyek a 2FA kódokat működtetik—a felhőben tárolja a szerverein. Ennek a funkciónak a használatához először engedélyeznie kell a titkosított biztonsági mentéseket, majd a tokeneket az Authy szerverein tárolják.
így, amikor bejelentkezik bármely Authy alkalmazásba, legyen az okostelefonon, táblagépen vagy Windows vagy Mac laptopon, hozzáférhet a kódjaihoz. Van még egy Chrome alkalmazás a Chrome OS felhasználók számára.
a 2FA kódokhoz való többeszközös hozzáférés fantasztikus, de hátránya van. Authy szerint a biztonsági mentések titkosítva vannak az okostelefonon megadott jelszó alapján, mielőtt elérnék a felhőt. Ez azt jelenti, hogy a jelszó az egyetlen módja annak, hogy visszafejtse őket, és az Authy nem rendelkezik a fájlban. Ha elfelejti a jelszavát, akkor kizárhatja fiókjait, mivel nem lesz 2FA kódja. Az egyes fiókokhoz való hozzáférés visszanyerésének módja az egyes szolgáltatások fiók-helyreállítási irányelveitől függ.
Ha még nem ismeri a 2FA—t, akkor ez nem biztos, hogy az alkalmazás az Ön számára, kivéve, ha készen áll arra, hogy megfelelő lépéseket tegyen annak biztosítására, hogy soha ne veszítse el a hozzáférést az Authy-szerű jelszóhoz, és tárolja biztonságos helyen.
hardver opciók
a fiókok kétfaktoros hitelesítéssel történő lezárásának abszolút legbiztonságosabb módja egy fizikai biztonsági kulcs használata. A korábban említett Google-tanulmányban azt találták, hogy a biztonsági kulcsok blokkolták a tömeges adathalászat és a célzott támadások 100% – át.
a biztonsági kulcs használatának hátránya azonban az, hogy ha valaha elveszíti vagy eltöri a kulcsot, akkor kizárható a fiókjaiból—és a második tényezős hitelesítési módszert új kulcsra kell váltania.
Yubico Authenticator
Ez az opció a személyes kedvencem. A Yubico YubiKey egy hardver alapú 2FA megoldás. Ez egy kis kártyaszerű eszköz, amelynek egyik vége egy szabványos A típusú USB portba nyílik. A rövid kód kézi beírása helyett egy gombnyomással ellenőrizheti a hitelesítést. A YubiKeys nagyon tartós és vízálló, ami megnehezíti ezeknek az eszközöknek a tönkretételét.
Ez a one-tap megközelítés csak a fent említett FIDO U2F szabványt támogató fiókoknál működik, mint például a Google és a GitHub. Azoknál a szolgáltatásoknál, amelyek nem támogatják a szabványt, a YubiKey 2FA tokeneket is tárolhat, és kódokat jeleníthet meg a Yubico Authenticator alkalmazásban.
a Yubico Authenticator használata a 2FA kód megszerzéséhez attól függ, hogy a hitelesítő alkalmazást PC-n vagy Android okostelefonon használja-e. Az asztalon csak helyezze be a kulcsot egy USB portba, és a hitelesítő azonnal megjeleníti a rövid kódokat, és lehetővé teszi újak hozzáadását. Távolítsa el a YubiKey-t, és az alkalmazás azonnal leállítja a kódok megjelenítését. A Yubico Authenticator az asztalon a legtöbb YubiKey modellel működik, kivéve az alapvető FIDO U2F kulcsot.
Androidon szüksége van egy YubiKey-re, amely támogatja az NFC-t és a Yubico Authenticator alkalmazást, amely ebben az írásban a YubiKey 5 NFC (45 USD), és a már megszűnt (de még mindig támogatott) YubiKey Neo. Ezekkel a gombokkal csak annyit tesz, hogy megnyitja a hitelesítőt a telefonján, megérinti a telefon NFC-chipje közelében lévő gombot, és a kódok megjelennek az alkalmazásban. Van még egy 27 dolláros biztonsági kulcs NFCRemove nem Termék link, de csak a FIDO U2F hitelesítést (és a FIDO2 jelszó nélküli bejelentkezéseket) támogatja, nem egyszeri jelszó funkciót.
az Authy-hez hasonlóan a YubiKey szépsége az, hogy lehetővé teszi a hitelesítő kódok egyszerű átvitelét egyik eszközről a másikra.
Titan biztonsági kulcs
a Google 2018-ban debütált saját hardveres biztonsági kulcsával, a Titan biztonsági kulcs eltávolítsa a nem Termék linkjét. Ez a kulcs egy 50 dolláros csomagban van, két fizikai eszközzel. Az első egy USB-vel ellátott kulcs-a YubiKey-hez hasonló betét. A második egy Bluetooth dongle, amely vezeték nélkül tud csatlakozni a telefonhoz. A Titan biztonsági kulcsnak van néhány hátránya. Először is, csak azokat a webhelyeket támogatja, amelyek a FIDO és a FIDO2F szabványt használják, ami azt jelenti, hogy nem eshet vissza az OTP kódokra olyan webhelyeknél, amelyek támogatják a 2FA-t, de nem a FIDO one-touch bejegyzést. A Google-nak nemrégiben vissza kellett hívnia Bluetooth-kulcsait is, miután súlyos biztonsági hibát fedeztek fel. Ehhez képest a Yubico még nem adta ki biztonsági kulcsának Bluetooth verzióját, mert nem hiszi, hogy a technológia elég biztonságos.
bónusz: Google on-device prompts
példa a Google on-device utasításaira.
ha a 2FA világába merülés most túl sok az Ön számára, miért nem meríti be a lábujjait a Google on-device utasításainak tapasztalatába? Ez egy egyszerű biztonsági intézkedés, amely segít megvédeni Google-fiókját.
amikor új gépen szeretne bejelentkezni a Google-ba, egy kattintással engedélyeznie kell azt Android vagy iOS eszközén. Ahhoz, hogy ez működjön az Androidon, szüksége lesz a Google Play szolgáltatások legújabb verziójára, amelyet a legtöbb embernek automatikusan rendelkeznie kell. Az iOS-eszközökön bárkinek szüksége van a Google vagy a Gmail alkalmazások aktuális verziójára.
a kétfaktoros hitelesítés fontos lépés a fontos fiókok védelme érdekében, amikor csak lehetséges. Időnként fájdalmasnak tűnhet az extra kód beírása—amelyet eszközönként csak egyszer vagy 30 naponta kell megtennie—, de érdemes fizetni az online fiókok biztonságosabbá tétele érdekében.