era automatycznego uwierzytelniania poprzez skanowanie biometryczne jest prawie tutaj. Jednak nawet w tym czasie Apple Face ID, Windows 10 ’ S Hello, I up-and-coming specyfikacji FIDO2, hasła są nadal głównym sposobem logowania się do naszych różnych kont. Dlatego uwierzytelnianie dwuskładnikowe (2FA) jest ważnym dodatkowym krokiem do ochrony danych i usług online.
co to jest uwierzytelnianie dwuskładnikowe?
uwierzytelnianie dwuskładnikowe lub wieloskładnikowe to dodatkowy kod logowania do konta-druga linia obrony przed poufnymi informacjami.
podstawową ideą jest to, że jedno hasło dla ważnych kont po prostu nie wystarczy. Jeśli Twoje hasło zostanie odgadnięte lub hakerzy wykradną bazę danych z Twoimi danymi logowania w postaci zwykłego tekstu, Twoje konto będzie łatwym celem. Uwierzytelnianie dwuskładnikowe próbuje rozwiązać tę lukę, wymagając dodatkowego kodu o nazwie jednorazowego hasła (OTP)—Zwykle o długości sześciu znaków i generowanego przez aplikację na smartfony-przed uzyskaniem dostępu do konta. W ten sposób nawet jeśli haker ma Twoje hasło, nadal będzie musiał złamać dodatkowy kod, co znacznie utrudnia dostanie się do niego.
istnieje również łatwiejszy sposób użycia 2FA o nazwie standard FIDO U2F, obsługiwany przez Google, Facebook i wiele innych. Przy tego rodzaju uwierzytelnianiu używasz fizycznego klucza bezpieczeństwa i wkładasz go do komputera, dotykasz przycisku klucza i jesteś” automagicznie ” zalogowany.
Titan klucz bezpieczeństwa Google.
2FA nie jest jednak niezawodny. Jeśli zdecydujesz się uzyskać kody 2FA na przykład za pośrednictwem wiadomości SMS, kod może potencjalnie zostać przechwycony przez hakerów, jak wykazali badacze pozytywnych technologii w 2017 roku. To powiedziawszy, uwierzytelnianie SMS jest nadal znacznie lepsze niż nic. W maju 2019 roku Google ogłosiło roczne badanie przeprowadzone we współpracy z New York University i University of California w San Diego. Trio odkryło, że uwierzytelnianie SMS zablokowało 96 procent masowych ataków phishingowych i 76 procent ukierunkowanych ataków próbujących włamać się na twoje konto Google.
to nie jest zła ochrona, ale szybka Strategia Google na urządzeniu (omówimy to później) była jeszcze lepsza, blokując 99 procent masowych ataków phishingowych i 90 procent ataków ukierunkowanych. Uwierzytelnianie dwuskładnikowe oparte na aplikacji jest podobne, ponieważ drugi krok jest generowany na samym smartfonie. Chociaż w tym badaniu nie wspomniano o aplikacjach 2FA, spodziewamy się, że wyniki będą takie same, jeśli nie lepsze niż monit na urządzeniu.
faktem jest, że korzystanie z oprogramowania lub sprzętowego rozwiązania 2FA na posiadanym urządzeniu to świetny sposób na ochronę konta i znacznie lepszy niż zwykłe korzystanie z wiadomości SMS.
opcje oprogramowania
każda usługa, która obsługuje standardowe podejście OTP 2FA, będzie działać ze wszystkimi poniższymi aplikacjami i obejmuje większość popularnych witryn i usług. Jednym z godnych uwagi wyjątków jest Steam, który zapewnia homegrown 2FA opcję w swojej aplikacji mobilnej.
Google Authenticator: najlepszy ogólnie
jednym z bardziej powszechnych sposobów korzystania z uwierzytelniania dwuskładnikowego jest Google Authenticator. Jest to bezpłatna aplikacja na smartfony od Google dostępna zarówno dla Androida, jak i iOS.
Korzystanie z niego jest bardzo proste i może wprowadzić początkujących w podstawowe założenia większości aplikacji 2FA. To, co robisz, to włączanie uwierzytelniania dwuskładnikowego w usługach takich jak Facebook, Gmail, Dropbox. itd. Po włączeniu usługa poprosi Cię o zrobienie migawki kodu QR za pomocą aplikacji-użytkownicy Androida muszą pobrać aplikację do odczytu kodu QR, aby współpracować z Google Authenticator.
Uwaga: w niektórych przypadkach 2FA nazywa się również weryfikacją dwuetapową, co jest rozróżnieniem, do którego nie wejdziemy.
po odczytaniu kodu QR Authenticator zacznie generować kody, a usługa zazwyczaj poprosi o wprowadzenie bieżącego, aby sprawdzić, czy 2FA działa. Możesz dodać dowolną liczbę kont do Google Authenticator, o ile obsługują one 2FA.
LastPass Authenticator: Runner up
darmowa aplikacja do uwierzytelniania LastPass wykorzystuje funkcję o nazwie powiadomienia push jednym dotknięciem, która pozwala logujesz się, aby wybrać Witryny na komputerach za pomocą kliknięcia zamiast wprowadzania kodów. LastPass ma film na YouTube demonstrujący tę funkcję.
logowanie jednym dotknięciem działa z samym LastPass, a także z pięcioma witrynami innych firm, w tym Amazon (Nie włączając AWS), Google, Dropbox, Facebook i Evernote. Aby korzystać z powiadomień jednym dotknięciem, musisz mieć zainstalowane rozszerzenie LastPass w przeglądarce i włączone. Oznacza to, że musisz mieć konto LastPass, ale darmowe wystarczy. Te dane logowania jednym dotknięciem są specyficzne dla przeglądarki, więc jeśli zalogujesz się jednym dotknięciem w Chrome, będziesz musiał zalogować się ponownie, na przykład, jeśli używasz Microsoft Edge.
to wszystko może wydawać się dość tajemnicze, ale oto, co dzieje się za kulisami z logowaniem jednym dotknięciem w witrynach innych firm. Gdy użytkownik loguje się do zgodnej witryny, rozszerzenie przeglądarki LastPass wysyła powiadomienie push do telefonu użytkownika, który ostrzega użytkownika, że żądany jest login. Użytkownik naciska Zezwalaj na telefon, a wiadomość z potwierdzeniem jest zwracana do rozszerzenia, które zawiera wymagany kod 2FA. Rozszerzenie otrzymuje te informacje, udostępnia je stronie internetowej, a użytkownik jest zalogowany.
LastPass Authenticator integruje się również z kilkoma witrynami należącymi do firmy macierzystej menedżera haseł, LogMeIn, oferując podobny typ logowania za jednym dotknięciem. Te strony to LastPass, LogMeIn Pro / Central, GotoAssist, LogMeIn Rescue, Xively.
Microsoft Authenticator
Microsoft ma również bezpłatną aplikację authenticator na Androida, iOS i Windows 10 Mobile. Chwyta kody do stron takich jak Facebook i Dropbox, przyciągając kod QR, tak jak inne. W przypadku osobistych kont Microsoft obsługuje jednak powiadomienia jednym dotknięciem podobne do LastPass.
funkcja Microsoft może zalogować się do konta na dowolnym urządzeniu. Wszystko, co musisz zrobić, to zatwierdzić login i to jest tak dobre, jak wprowadzenie krótkiego kodu. Nie jest to duża oszczędność czasu, ale jest nieco wygodniejsza.
Authy: Najlepsze rozwiązanie dla wielu urządzeń
Jeśli używasz 2FA przez Dowolny czas, wiesz, że jednym z wad jest to, że musisz przejść przez problemy z ponownym włączaniem kodów uwierzytelniających przy każdej zmianie do nowego smartfona.
Jeśli masz 10 kont z 2FA to znaczy, że masz 10 kodów QR od nowa. Jeśli jesteś uzależniony od smartfonów, który lubi przełączać urządzenia co rok lub dwa lata, proces ten może być kłopotliwy.
bezpłatna usługa Authy ma na celu rozwiązanie tego problemu poprzez przechowywanie wszystkich tokenów 2FA—zakulisowych danych, które sprawiają, że kody 2FA działają—w chmurze na swoich serwerach. Aby skorzystać z tej funkcji, musisz najpierw włączyć szyfrowane kopie zapasowe, a następnie Twoje tokeny są przechowywane na serwerach Authy.
w ten sposób, gdy logujesz się do dowolnej aplikacji Authy, czy to na smartfonie, tablecie, czy laptopie z systemem Windows lub Mac, masz dostęp do swoich kodów. Jest nawet aplikacja Chrome dla użytkowników Chrome OS.
dostęp wielu urządzeń do kodów 2FA jest niesamowity, ale ma wadę. Authy mówi, że kopie zapasowe są szyfrowane na podstawie hasła wprowadzonego na smartfonie przed uderzeniem w chmurę. Oznacza to, że Twoje hasło jest jedynym sposobem na ich odszyfrowanie, a Authy nie ma go w pliku. Jeśli zapomnisz hasła, możesz zostać zablokowany ze swoich kont, ponieważ nie będziesz mieć kodów 2FA. Sposób odzyskania dostępu do każdego konta zależy od zasad odzyskiwania kont każdej usługi.
Jeśli jesteś nowy w 2FA, może to nie być aplikacja dla Ciebie, chyba że jesteś gotowy podjąć odpowiednie kroki, aby upewnić się, że nigdy nie stracisz dostępu do Authy—jak zapisanie kodu i przechowywanie go w bezpiecznym miejscu.
opcje sprzętowe
absolutnie najbezpieczniejszym sposobem blokowania kont za pomocą uwierzytelniania dwuskładnikowego jest użycie fizycznego klucza bezpieczeństwa. W badaniu Google, o którym wspomniałem wcześniej, okazało się, że klucze bezpieczeństwa zablokowały 100 procent masowego phishingu i ukierunkowanych ataków.
minusem korzystania z klucza bezpieczeństwa jest jednak to, że jeśli kiedykolwiek zgubisz lub złamiesz klucz, możesz zostać zablokowany na swoich kontach—i będziesz musiał przełączyć metodę uwierzytelniania drugiego stopnia na nowy klucz.
Yubico Authenticator
Ta opcja jest moją ulubioną. YubiKey firmy Yubico to sprzętowe rozwiązanie 2FA. Jest to małe urządzenie podobne do karty z jednym końcem, który slotuje się w standardowym porcie USB Typu A. Może zweryfikować uwierzytelnienie za pomocą przycisku, zamiast ręcznie wprowadzać krótki kod. YubiKeys są również bardzo trwałe i wodoodporne, co utrudnia niszczenie tych urządzeń.
to podejście za jednym dotknięciem działa tylko dla kont, które obsługują wspomniany standard FIDO U2F, takich jak Google i GitHub. W przypadku usług, które nie obsługują standardu, YubiKey może również przechowywać tokeny 2FA i wyświetlać kody w aplikacji Yubico Authenticator.
sposób korzystania z Yubico Authenticator, aby uzyskać kod 2FA, zależy od tego, czy używasz aplikacji authenticator na komputerze PC, czy smartfonie z systemem Android. Na pulpicie wystarczy włożyć klucz do portu USB, A authenticator natychmiast wyświetli krótkie kody i pozwoli Ci dodać nowe. Usuń swój YubiKey, a aplikacja natychmiast przestanie wyświetlać kody. Yubico Authenticator na pulpicie działa z większością modeli YubiKey z wyjątkiem podstawowego klucza FIDO U2F.
na Androida potrzebujesz YubiKey, która obsługuje NFC i aplikację Yubico Authenticator, która w tym piśmie jest YubiKey 5 NFC ($45), a obecnie wycofana (ale nadal obsługiwana) YubiKey Neo. Za pomocą tych klawiszy Wystarczy otworzyć Authenticator w telefonie, dotknąć klawisza w pobliżu Chipa NFC telefonu, a twoje kody pojawią się w aplikacji. Istnieje również klucz bezpieczeństwa NFCRemove o wartości 27 USD, ale obsługuje tylko uwierzytelnianie FIDO U2F (i loginy bez hasła FIDO2), a nie funkcję jednorazowego hasła.
podobnie jak Authy, piękno YubiKey polega na tym, że pozwala łatwo przenosić kody uwierzytelniające z jednego urządzenia na drugie.
Titan Security Key
Google zadebiutował własnym sprzętowym kluczem bezpieczeństwa w 2018 roku, Titan Security Key remove non-Product link. Ten klucz jest w pakiecie $ 50 Z dwoma urządzeniami fizycznymi. Pierwszy to klucz z wkładką USB-A podobną do YubiKey. Drugi to klucz Bluetooth, który można bezprzewodowo połączyć z telefonem. Klucz bezpieczeństwa Titan ma kilka wad. Po pierwsze, obsługuje tylko witryny, które używają standardu FIDO i FIDO2F, co oznacza, że nie można wycofać się z kodów OTP dla witryn, które obsługują 2FA, ale nie Fido one-touch entry. Google również niedawno musiał przypomnieć sobie klucze Bluetooth po wykryciu poważnej luki w zabezpieczeniach. Dla porównania, Yubico nie udostępnił jeszcze Wersji Bluetooth swojego klucza bezpieczeństwa, ponieważ nie wierzy, że technologia jest wystarczająco bezpieczna.
Bonus: Monity Google na urządzeniu
przykład monitów Google na urządzeniu.
Jeśli nurkowanie w świecie 2FA to dla Ciebie za dużo, dlaczego nie zanurzyć się w doświadczeniach z monitami Google na urządzeniu? Jest to prosty środek bezpieczeństwa, który pomaga chronić konto Google.
gdy chcesz zalogować się do Google na nowym komputerze, musisz autoryzować go jednym kliknięciem na urządzeniu z Androidem lub iOS. Aby to działało na Androida, potrzebujesz najnowszej wersji usług Google Play, które większość ludzi powinna mieć automatycznie. Każdy, kto korzysta z urządzeń z systemem iOS, potrzebuje bieżącej wersji aplikacji Google lub Gmail.
uwierzytelnianie dwuskładnikowe jest ważnym krokiem do podjęcia w celu ochrony ważnych kont w miarę możliwości. Może się wydawać, że wprowadzanie dodatkowego kodu może wydawać się uciążliwe-co możesz zrobić tylko raz na urządzenie lub raz na 30 dni—ale jest to cena, którą warto zapłacić, aby Twoje konta internetowe były bezpieczniejsze.