de leeftijd van geautomatiseerde authenticatie via biometrisch scannen is bijna hier. Maar zelfs in deze tijd van Apple ’s Face ID, Windows 10′ S Hello, en de up-and-coming FIDO2 specificatie, wachtwoorden zijn nog steeds de belangrijkste manier waarop we inloggen op onze verschillende accounts. Daarom is two-factor authentication (2FA) een belangrijke secundaire stap om uw online gegevens en diensten te bewaken.
Wat is tweefactorauthenticatie?
twee-factor, of multi-factor, authenticatie is een extra login code voor een account—een tweede verdedigingslinie voor uw gevoelige informatie.
het basisidee is dat een enkel wachtwoord voor uw belangrijke accounts simpelweg niet genoeg is. Als uw wachtwoord wordt geraden, of hackers stelen een database met uw login informatie in platte tekst, uw account is een sitting duck. Two-factor authentication probeert die fout aan te pakken door een secundaire code te vereisen die een eenmalig wachtwoord (OTP) wordt genoemd-meestal zes tekens lang en gegenereerd door een smartphone—app—voordat u toegang kunt krijgen tot uw account. Op die manier, zelfs als een hacker je wachtwoord heeft, zullen ze nog steeds een secundaire code moeten kraken, wat het veel moeilijker maakt om er in te komen.
Er is ook een eenvoudigere manier om 2FA te gebruiken, de FIDO U2F-standaard, ondersteund door Google, Facebook en vele anderen. Met dit soort authenticatie gebruik je een fysieke beveiligingssleutel, en steek die in je PC, druk op de knop van de sleutel, en je bent “automagisch” ingelogd.
Google ‘ s Titan beveiligingssleutel.
2FA is echter niet waterdicht. Als u besluit om uw 2FA codes via SMS, bijvoorbeeld, de code zou kunnen worden onderschept door hackers, zoals onderzoekers voor positieve technologieën aangetoond in 2017. Dat gezegd hebbende, SMS authenticatie is nog steeds veel beter dan niets. In Mei 2019 kondigde Google een eenjarig onderzoek aan dat het deed in samenwerking met de Universiteit van New York en de Universiteit van Californië, San Diego. Het trio vond dat SMS-authenticatie geblokkeerd 96 procent van bulk phishing-aanvallen, en 76 procent van de gerichte aanvallen proberen te kraken in uw Google-account.
dat is geen slechte bescherming, maar Google ‘ s On-device prompt strategie (we zullen dit later behandelen) was nog beter, het blokkeren van 99 procent van bulk phishing-aanvallen, en 90 procent van de gerichte aanvallen. App-gebaseerde twee-factor authenticatie is vergelijkbaar in dat de tweede stap wordt gegenereerd op de smartphone zelf. Dus terwijl deze studie niet 2FA apps specifiek genoemd, we verwachten dat de resultaten hetzelfde als zou zijn, zo niet beter dan, een on-device prompt.
feit is dat het gebruik van een software – of hardware-gebaseerde 2FA-oplossing op een apparaat dat u bezit een geweldige manier is om uw account te beschermen, en veel beter dan alleen het gebruik van SMS.
Software opties
elke service die de standaard OTP 2FA aanpak ondersteunt zal werken met alle onderstaande apps, en dat omvat de meeste mainstream websites en diensten. Een opmerkelijke uitzondering is Steam, die een homegrown 2FA optie biedt in de mobiele app.
Google Authenticator: best overall
een van de meest voorkomende manieren om twee-factor authenticatie te gebruiken is Google Authenticator. Dit is een gratis smartphone app van Google Beschikbaar voor zowel Android en iOS.
het gebruik ervan is zeer eenvoudig en kan beginners kennis laten maken met het uitgangspunt van de meeste 2FA-apps. Wat je doet is twee-factor authenticatie inschakelen op uw diensten zoals Facebook, Gmail, Dropbox. etc. Zodra het is ingeschakeld, zal de service u vragen om een snapshot van een QR—code te maken met behulp van de app-Android-gebruikers moeten een QR-code lezen app te downloaden om te werken met Google Authenticator.
opmerking: in sommige gevallen wordt 2FA ook tweestapsverificatie genoemd, wat een onderscheid is waar we hier niet op ingaan.
zodra de QR-code is gelezen, zal Authenticator beginnen met het genereren van codes en de service zal u meestal vragen om de huidige code in te voeren om te controleren of 2FA werkt. U kunt zoveel accounts toevoegen als u wilt aan Google Authenticator, zolang ze 2FA ondersteunen.
LastPass Authenticator: Runner up
De gratis authenticatie-app van LastPass gebruikt een functie genaamd one-tap pushmeldingen waarmee u kunt inloggen om sites op PC ‘ s te selecteren met een klik in plaats van het invoeren van codes. LastPass heeft een video op YouTube die de functie laat zien.
One-tap logins werken met LastPass zelf, en ook met vijf sites van derden, waaronder Amazon (zonder AWS), Google, Dropbox, Facebook en Evernote. Als u meldingen met één tik wilt gebruiken, moet u de LastPass-extensie in uw browser hebben geïnstalleerd en ingeschakeld. Dat betekent dat u een LastPass-account moet hebben, maar een GRATIS account volstaat. Deze one-tap logins zijn browserspecifiek, dus als je one-tap inloggen op Chrome moet u opnieuw in te loggen als u Microsoft Edge, bijvoorbeeld.
Het lijkt misschien allemaal nogal mysterieus, maar hier is wat er achter de schermen gebeurt met one-tap logins op sites van derden. Wanneer een gebruiker zich aanmeldt bij een compatibele site, stuurt de LastPass-browserextensie een push-melding naar de telefoon van de gebruiker, die de gebruiker waarschuwt dat een login wordt aangevraagd. De gebruiker tikt toestaan op de telefoon, en een bevestigingsbericht wordt geretourneerd naar de extensie die de vereiste 2FA-code bevat. De extensie ontvangt deze informatie, verstrekt deze aan de website, en de gebruiker is ingelogd.
LastPass Authenticator integreert ook met verschillende sites die eigendom zijn van het moederbedrijf van de wachtwoordbeheerder, LogMeIn, om een vergelijkbaar type inloggen met één tik aan te bieden. Deze sites zijn LastPass, LogMeIn Pro / Central, GotoAssist, LogMeIn Rescue, Xively.
Microsoft Authenticator
Microsoft heeft ook een gratis authenticator-app voor Android, iOS en Windows 10 Mobile. Het grijpt codes voor sites zoals Facebook en Dropbox door het snapping van een QR-code, net als de anderen. Voor persoonlijke Microsoft-Accounts ondersteunt het echter meldingen met één tik, vergelijkbaar met LastPass.
Microsoft ‘ s functie kan u inloggen op uw account op elk apparaat. Het enige wat je hoeft te doen is het goedkeuren van de login en het is zo goed als het invoeren van de short code. Het is geen enorme tijdsbesparing, maar het is iets handiger.
Authy: Beste oplossing voor meerdere apparaten
Als u 2FA gedurende enige tijd hebt gebruikt, weet u dat een van de nadelen is dat u elke keer dat u overschakelt naar een nieuwe smartphone, uw authenticatiecodes opnieuw moet inschakelen.
als je 10 accounts hebt met 2FA betekent dit dat je 10 QR-codes opnieuw moet gebruiken. Als je een smartphone verslaafde die houdt van om apparaten te schakelen om de een of twee jaar dat proces kan een gedoe zijn.
Authy ‘ s gratis service heeft tot doel dat probleem op te lossen door al uw 2FA tokens—de achter de schermen gegevens die uw 2FA codes laten werken—op te slaan in de cloud op zijn servers. Om deze functie te gebruiken moet u eerst gecodeerde back-ups inschakelen en vervolgens worden uw tokens opgeslagen op de servers van Authy.
Op die manier hebt u toegang tot uw codes wanneer u zich aanmeldt bij een Authy-app, of het nu op uw smartphone, tablet of Windows-of Mac-laptop is. Er is zelfs een Chrome-app voor Chrome OS-gebruikers.
Multi-device toegang tot uw 2FA codes is geweldig, maar het komt met een nadeel. Authy zegt dat uw back-ups worden versleuteld op basis van een wachtwoord ingevoerd op uw smartphone voordat het raken van de cloud. Dat betekent dat uw toegangscode is de enige manier om ze te decoderen, en Authy heeft het niet in het bestand. Als u uw toegangscode bent vergeten, kunt u worden buitengesloten van uw accounts, omdat u de 2FA-codes niet hebt. Hoe u weer toegang krijgt tot elk account, hangt af van het beleid voor het herstellen van accounts van elke service.
als je nieuw bent bij 2FA is dit misschien niet de app voor je, tenzij je bereid bent om de juiste stappen te nemen om ervoor te zorgen dat je nooit toegang verliest tot Authy—achtige het opschrijven van je toegangscode en het ergens veilig op te slaan.
hardwareopties
De absoluut veiligste manier om uw accounts te vergrendelen met twee-factor authenticatie is door een fysieke beveiligingssleutel te gebruiken. In de Google-studie die ik eerder noemde, bleek dat beveiligingssleutels geblokkeerd 100 procent van bulk phishing en gerichte aanvallen.
het nadeel van het gebruik van een beveiligingssleutel is echter dat als u ooit uw sleutel verliest of breekt, u uit uw accounts kunt worden buitengesloten—en u moet uw tweede-factor authenticatie methode omschakelen naar een nieuwe sleutel.
Yubico Authenticator
Deze optie is mijn persoonlijke favoriet. Yubico ‘ s YubiKey is een hardware-gebaseerde 2FA oplossing. Het is een kleine kaart-achtige apparaat met een uiteinde dat slots in een standaard Type-een USB-poort. Het kan authenticatie verifiëren met een druk op de knop in plaats van handmatig een short code in te voeren. YubiKeys zijn ook zeer duurzaam en waterdicht waardoor het moeilijk is om deze apparaten te ruïneren.
Die one-tap-aanpak werkt alleen voor accounts die de eerder genoemde FIDO U2F-standaard ondersteunen, zoals Google en GitHub. Voor diensten die de standaard niet ondersteunen, kan een YubiKey ook 2fa-tokens opslaan en codes weergeven in de Yubico Authenticator-app.
hoe u Yubico Authenticator gebruikt om een 2FA-code te krijgen, hangt af van of u de authenticator-app op een PC of een Android-smartphone gebruikt. Op het bureaublad plaatst u gewoon de sleutel in een USB-poort, en de authenticator toont onmiddellijk uw short codes en kunt u nieuwe toevoegen. Verwijder uw YubiKey, en de app stopt met het tonen van codes onmiddellijk. Yubico Authenticator op het bureaublad werkt met de meeste YubiKey-modellen, behalve de basis FIDO U2F-sleutel.
op Android heb je een YubiKey nodig die NFC en de Yubico Authenticator app ondersteunt, die op dit moment de YubiKey 5 NFC ($45) is, en de nu beëindigde (maar nog steeds ondersteund) YubiKey Neo. Met deze toetsen alles wat je doet is open Authenticator op uw telefoon, Tik op de sleutel in de buurt van de NFC-chip van uw telefoon, en uw codes worden weergegeven op de app. Er is ook een $ 27 Security Key nfcremove non-product link, maar het ondersteunt alleen FIDO U2F authenticatie (en FIDO2 wachtwoord-less logins), niet one-time-password functionaliteit.
net als Authy, het mooie van YubiKey is dat het u toestaat om eenvoudig uw authenticator codes van het ene apparaat naar het volgende over te dragen.
Titan Security Key
Google debuteerde zijn eigen hardware security key in 2018, De Titan Security KeyRemove non-product link. Deze sleutel wordt geleverd in een $ 50 bundel met twee fysieke apparaten. De eerste is een sleutel met een USB-een insert vergelijkbaar met YubiKey. De tweede is een Bluetooth-dongle die draadloos verbinding kan maken met uw telefoon. De Titan Security Key heeft een paar nadelen. Ten eerste ondersteunt het alleen sites die de Fido-en FIDO2F-standaard gebruiken, wat betekent dat je niet kunt terugvallen op OTP-codes voor sites die 2FA ondersteunen, maar geen Fido one-touch-vermelding. Google moest onlangs ook zijn Bluetooth-dongles herinneren nadat een ernstig veiligheidslek werd ontdekt. Yubico, ter vergelijking, heeft nog een Bluetooth-versie van de beveiligingssleutel vrij te geven, omdat het niet gelooft dat de technologie is veilig genoeg.
Bonus: Google on-device prompts
een voorbeeld van Google ‘ s On-device prompts.
als duiken in de wereld van 2FA is te veel voor u op dit moment, waarom niet duik je teen in de ervaring met Google on-device prompts? Dit is een eenvoudige beveiligingsmaatregel die helpt uw Google-account te beschermen.
wanneer u wilt inloggen op Google op een nieuwe machine, moet u het autoriseren met één klik op uw Android-of iOS-apparaat. Om dit te laten werken op Android heb je de nieuwste versie van Google Play-services nodig, die de meeste mensen automatisch zouden moeten hebben. Iedereen op iOS-apparaten heeft een actuele versie van de Google-of Gmail-apps nodig.
twee-factor authenticatie is een belangrijke stap om uw belangrijke accounts waar mogelijk te beschermen. Het lijkt soms een pijn om die extra code in te voeren—die u misschien maar één keer per apparaat of elke 30 dagen hoeft te doen—maar het is een prijs die het waard is om te betalen om uw online accounts veiliger te maken.