åldern för automatiserad autentisering genom biometrisk skanning är nästan här. Men även i denna tid av Apples Face ID, Windows 10s Hej och den kommande FIDO2-specifikationen är lösenord fortfarande det viktigaste sättet vi loggar in på våra olika konton. Det är därför tvåfaktorsautentisering (2FA) är ett viktigt sekundärt steg för att skydda dina online-data och tjänster.
Vad är tvåfaktorsautentisering?
två-faktor, eller multi-faktor, autentisering är en extra Inloggningskod för ett konto—en andra försvarslinje till din känsliga information.
Grundtanken är att ett enda lösenord för dina viktiga konton helt enkelt inte räcker. Om ditt lösenord gissas eller hackare stjäl en databas med din inloggningsinformation i vanlig text är ditt konto en sittande anka. Tvåfaktorsautentisering försöker ta itu med den bristen genom att kräva en sekundär kod som kallas ett engångslösenord (OTP)-vanligtvis sex tecken i längd och genereras av en smartphone—app—innan du kan få tillgång till ditt konto. På så sätt, även om en hacker har ditt lösenord, behöver de fortfarande knäcka en sekundär kod, vilket gör det mycket svårare att komma in.
det finns också ett enklare sätt att använda 2FA som kallas FIDO U2F-standarden, som stöds av Google, Facebook och många andra. Med den här typen av autentisering använder du en fysisk säkerhetsnyckel och sätter in den i din dator, trycker på tangentens knapp och du är ”automagiskt” inloggad.
Googles Titan säkerhetsnyckel.
2FA är dock inte idiotsäker. Om du bestämmer dig för att få dina 2FA-koder via SMS, kan koden potentiellt avlyssnas av hackare, vilket forskare för positiv teknik visade i 2017. Som sagt, SMS-autentisering är fortfarande mycket bättre än ingenting. I maj 2019 tillkännagav Google en ettårig studie som den gjorde i samarbete med New York University och University of California, San Diego. Trion fann att SMS-autentisering blockerade 96 procent av massfiskeattacker och 76 procent av riktade attacker som försökte spricka in i ditt Google-konto.
det är inte dåligt skydd, men Googles on-device prompt-strategi (vi kommer att täcka detta senare) var ännu bättre och blockerade 99 procent av massfiskeattacker och 90 procent av riktade attacker. Appbaserad tvåfaktorsautentisering är liknande genom att det andra steget genereras på själva smarttelefonen. Så medan denna studie inte nämnde 2FA-appar specifikt, förväntar vi oss att resultaten skulle vara desamma som, om inte bättre än, en on-device prompt.faktum är att använda en mjukvaru-eller hårdvarubaserad 2FA-lösning på en enhet du äger är ett bra sätt att skydda ditt konto, och mycket bättre än att bara använda SMS.
programvarualternativ
alla tjänster som stöder standard OTP 2FA-metoden kommer att fungera med alla appar nedan, och det inkluderar de flesta vanliga webbplatser och tjänster. Ett anmärkningsvärt undantag är Steam, som ger ett hemodlat 2FA-alternativ i sin mobilapp.
Google Authenticator: bästa övergripande
ett av de vanligaste sätten att använda tvåfaktorsautentisering är Google Authenticator. Detta är en gratis smartphone-app från Google tillgänglig för både Android och iOS.
att använda det är väldigt enkelt och kan introducera nybörjare till den grundläggande förutsättningen för de flesta 2FA-appar. Vad du gör är att aktivera tvåfaktorsautentisering på dina tjänster som Facebook, Gmail, Dropbox. osv. När den är aktiverad kommer tjänsten att be dig ta en ögonblicksbild av en QR—kod med appen-Android-användare måste ladda ner en QR-kodläsningsapp för att arbeta med Google Authenticator.
Obs: i vissa fall kallas 2FA också tvåstegsverifiering, vilket är en skillnad som vi inte kommer in i här.
När QR-koden har lästs börjar Authenticator generera koder och tjänsten kommer vanligtvis att be dig att mata in den aktuella för att verifiera att 2FA fungerar. Du kan lägga till så många konton som du vill Google Authenticator så länge de stöder 2FA.
LastPass Authenticator: Runner up
Lastpasss gratis autentiseringsapp använder en funktion som heter push-meddelanden med ett tryck som låter dig logga in på Välj webbplatser på datorer med ett klick istället för att ange koder. LastPass har en video på YouTube som visar funktionen.
inloggningar med ett tryck fungerar med LastPass själv, och även med fem tredje parts webbplatser inklusive Amazon (inte inklusive AWS), Google, Dropbox, Facebook och Evernote. För att använda meddelanden med ett tryck måste du ha LastPass-tillägget installerat i din webbläsare och aktiverat. Det betyder att du måste ha ETT LastPass-konto, men en gratis kommer att göra. Dessa inloggningar med ett tryck är webbläsarspecifika, så om du loggar in med ett tryck på Chrome måste du logga in igen om du till exempel använder Microsoft Edge.
det kan alla verka ganska mystiskt, men här är vad som händer bakom kulisserna med inloggningar med ett tryck på tredje parts webbplatser. När en användare loggar in på en kompatibel webbplats skickar LastPass-webbläsartillägget ett push-meddelande till användarens telefon, vilket varnar användaren om att en inloggning begärs. Användaren trycker på Tillåt på telefonen, och ett bekräftelsemeddelande returneras till tillägget som innehåller den nödvändiga 2FA-koden. Tillägget tar emot denna information, ger den till webbplatsen och användaren är inloggad.
LastPass Authenticator integreras också med flera webbplatser som ägs av lösenordshanterarens moderbolag, LogMeIn, för att erbjuda en liknande typ av inloggning med ett tryck. Dessa platser inkluderar LastPass, LogMeIn Pro / Central, GotoAssist, LogMeIn Rescue, Xively.
Microsoft Authenticator
Microsoft har också en gratis authenticator-app för Android, iOS och Windows 10 Mobile. Det tar tag i koder för webbplatser som Facebook och Dropbox genom att knäppa en QR-kod precis som de andra. För personliga Microsoft-konton stöder det dock meddelanden med ett tryck som liknar LastPass.
Microsofts funktion kan logga in på ditt konto på vilken enhet som helst. Allt du behöver göra är att godkänna inloggningen och det är lika bra som att ange kortkoden. Det är inte en stor tidsbesparing, men det är lite bekvämare.
Authy: Bästa multi-device solution
Om du har använt 2FA under en längre tid vet du att en av nackdelarna är att du måste gå igenom besväret med att återaktivera dina autentiseringskoder varje gång du byt till en ny smartphone.
Om du har 10 konton med 2FA betyder det att du snappar 10 QR-koder igen. Om du är en smartphone missbrukare som gillar att byta enheter var ett eller två år som processen kan vara ett besvär.
Authy ’ s gratistjänst syftar till att lösa det problemet genom att lagra alla dina 2FA—tokens—de bakom kulisserna som gör att dina 2FA-koder fungerar-i molnet på sina servrar. För att använda den här funktionen måste du först aktivera krypterade säkerhetskopior och sedan lagras dina tokens på Authy ’ s servrar.
på det sättet när du loggar in på någon Authy-app, vare sig det är på din smartphone, surfplatta eller Windows eller Mac-bärbar dator, har du tillgång till dina koder. Det finns till och med en Chrome-app för Chrome OS-användare.
Multi-device tillgång till dina 2FA koder är fantastisk, men det kommer med en nackdel. Authy säger att dina säkerhetskopior är krypterade baserat på ett lösenord som anges på din smartphone innan du trycker på molnet. Det betyder att ditt lösenord är det enda sättet att dekryptera dem, och Authy har det inte på filen. Om du glömmer ditt lösenord kan du bli låst ur dina konton eftersom du inte har 2FA-koderna. Hur du får åtkomst till varje konto beror på varje tjänsts kontoåterställningspolicy.
Om du är ny på 2FA kanske det inte är appen för dig om du inte är beredd att vidta lämpliga åtgärder för att säkerställa att du aldrig förlorar åtkomst till Authy—som att skriva ner ditt lösenord och lagra det någonstans säkert.
hårdvarualternativ
det absolut säkraste sättet att låsa dina konton med tvåfaktorsautentisering är att använda en fysisk säkerhetsnyckel. I Google-studien som jag nämnde tidigare fann den att säkerhetsnycklar blockerade 100 procent av massfiske och riktade attacker.
nackdelen med att använda en säkerhetsnyckel är dock att om du någonsin förlorar eller bryter din nyckel kan du vara låst ur dina konton—och du måste byta din andra faktor autentiseringsmetod till en ny nyckel.
Yubico Authenticator
det här alternativet är min personliga favorit. Yubicos YubiKey är en hårdvarubaserad 2FA-lösning. Det är en liten kortliknande enhet med ena änden som slitsar i en vanlig typ-A USB-port. Det kan verifiera autentisering med en knapptryckning istället för att manuellt ange en kort kod. YubiKeys är också mycket hållbara och vattentäta vilket gör det svårt att förstöra dessa enheter.
den här metoden med en knapptryckning fungerar bara för konton som stöder ovannämnda FIDO U2F-standard, som Google och GitHub. För de tjänster som inte stöder standarden kan en YubiKey också lagra 2FA-tokens och visa koder i Yubico Authenticator-appen.
hur du använder Yubico Authenticator för att få en 2FA-kod beror på om du använder authenticator-appen på en dator eller en Android-smartphone. På skrivbordet sätter du bara in nyckeln i en USB-port, och autentiseraren visar omedelbart dina kortkoder och låter dig lägga till nya. Ta bort din YubiKey, och appen slutar visa koder omedelbart. Yubico Authenticator på skrivbordet fungerar med de flesta YubiKey-modeller utom den grundläggande FIDO U2F-tangenten.
på Android behöver du en YubiKey som stöder NFC och Yubico Authenticator-appen, som vid detta skrivande är YubiKey 5 NFC ($45) och den nu avvecklade (men fortfarande stödda) YubiKey Neo. Med dessa tangenter allt du gör är att öppna Authenticator på telefonen, tryck på knappen nära telefonens NFC-chip, och dina koder kommer att visas på appen. Det finns också en $ 27 säkerhetsnyckel NFCRemove icke-produktlänk, men den stöder bara FIDO U2F-autentisering (och FIDO2-lösenordsfria inloggningar), inte engångs-lösenordsfunktionalitet.
I likhet med Authy är YubiKeys skönhet att det gör att du enkelt kan överföra dina autentiseringskoder från en enhet till nästa.
Titan säkerhetsnyckel
Google debuterade sin egen hårdvara säkerhetsnyckel i 2018, Titan säkerhetsnyckel ta bort icke-produktlänk. Denna nyckel kommer i en $ 50 bunt med två fysiska enheter. Den första är en nyckel med en USB-en insats som liknar YubiKey. Den andra är en Bluetooth-dongel som kan ansluta till din telefon trådlöst. Titan säkerhetsnyckel har några nackdelar. För det första stöder det bara webbplatser som använder Fido-och FIDO2F-standarden, vilket innebär att du inte kan falla tillbaka på OTP-koder för webbplatser som stöder 2FA men inte FIDO one-touch-post. Google var också nyligen tvungen att återkalla sina Bluetooth-donglar efter att en allvarlig säkerhetsfel upptäcktes. Yubico har som jämförelse ännu inte släppt en Bluetooth-version av sin säkerhetsnyckel, eftersom den inte tror att tekniken är tillräckligt säker.
Bonus: Google on-device prompts
ett exempel på Googles on-device prompts.
om dykning i 2FA-världen är för mycket för dig just nu, varför inte doppa tån i upplevelsen med Google on-device prompts? Detta är en enkel säkerhetsåtgärd som hjälper till att skydda ditt Google-konto.
När du vill logga in på Google på en ny maskin måste du godkänna den med ett klick på din Android-eller iOS-enhet. För att få detta att fungera på Android behöver du den senaste versionen av Google Play-tjänster, som de flesta borde ha automatiskt. Alla på iOS-enheter behöver en aktuell version av Google-eller Gmail-apparna.
tvåfaktorsautentisering är ett viktigt steg att ta för att skydda dina viktiga konton när det är möjligt. Det kan verka som en smärta ibland att ange den extra koden—som du kanske bara behöver göra en gång per enhet eller en gång var 30: e dag-men det är ett pris värt att betala för att göra dina onlinekonton säkrare.