Dvofaktorsko preverjanje pristnosti (2FA) se je včasih zdelo kot nekaj, rezervirano za vohunske filme ali politične trilerje-takšno, kar mora Ethan Hunt Mission Impossible uporabiti za dostop do svoje naloge, preden se samodejno uniči. A temu ni več tako. Skoraj vsi dnevno uporabljamo 2FA, ne glede na to, ali gre za biometrično 2FA na naših napravah (prstni odtis ali prepoznavanje obraza) ali običajna enkratna gesla, ki jih dobimo prek SMS-a ali aplikacije za preverjanje pristnosti.
Naši računi so hekerjem preveč dragoceni, da bi jih ignorirali. Tudi ogrožen e-poštni račun je lahko odskočna deska za dostop do finančnih računov in vam odvzame težko zaslužen denar, hkrati pa vam ustvari scenarij nočne more. Čeprav filmi upodabljajo hekerja, oblečenega s kapuco, s prsti, ki besno letijo po tipkovnici, je v resnici tako, da v skladu s poročilom Verizon Data Breach Investigations Investigation of the 2022-2023 velika večina kršitev varnosti (85%) vključuje človeški element. 2FA je najboljši način za boj proti tovrstnim napadom.
- Najboljše storitve VPN 2022-2023
- Z aplikacijo Norton Antivirus zdaj lahko zaslužite kripto - tukaj lahko mine
- Najboljši ponudniki prenosnih računalnikov junija 2022-2023
Ne glede na to, ali menite, da je to resnična skrb za vas ali ne, se številna podjetja preusmerijo na 2FA kot zahtevan varnostni ukrep, pri čemer je Google eden najnovejših, ki bo v bližnji prihodnosti zahteval 2FA.
Pred kratkim smo obravnavali, zakaj morate za dvofaktorsko preverjanje pristnosti prenehati uporabljati svojo telefonsko številko. Če ste to zamudili in niste prepričani, zakaj je to tako slaba ideja, jo preberite in se vrnite, zdaj vam bomo pokazali, kako narediti 2FA na pravi način.
Kaj je dvofaktorska avtentikacija?
2FA je najbolj znana in široko uporabljena oblika večfaktorske avtentikacije (MFA), ki kot že ime pove, se za preverjanje vaše identitete opira na več dejavnikov. Klasičen primer je pridobivanje denarja z bankomata, za dostop do računa potrebujete kartico in PIN.
Ta primer vključuje dve od treh kategorij za MFA, "kaj imaš" (fizični predmet) in "kaj veš" (geslo ali varnostno vprašanje). Tretja možnost je "kar si", kar pomeni biometrično metodo, kot je skener prstnih odtisov ali prepoznavanje obrazov. Za razliko od celo neverjetno zapletenega gesla to odpravlja možnost kršitve vašega računa brez fizičnega dostopa do vas.
V omenjeni Googlovi napovedi 2FA so gesla označila za "največjo grožnjo vaši spletni varnosti". Za zdaj so gesla za večino ljudi še vedno del procesa 2FA. Bistvo pa je, da so šibka točka v verigi, ki jo je treba okrepiti z vsaj enim dodatnim dejavnikom. Torej, poglejmo najboljše možnosti za 2FA.
Dvofaktorsko preverjanje pristnosti na podlagi aplikacije
Tako kot pri skoraj vsem obstajajo rešitve aplikacij za obravnavo 2FA, ki se imenujejo aplikacije za preverjanje pristnosti. Na trgu je na ducate, vendar bi jih nekaj priporočil Authy, Microsoft Authenticator, LastPass in 1Password. Google Authenticator je še ena priljubljena možnost, vendar mi ni všeč, da ne potrebuje niti gesla niti biometrične prijave, ampak potencialno varnostno vrzel v procesu, ki jih poskuša odpraviti.
Authy je namenska aplikacija za preverjanje pristnosti in se izrecno uporablja za prijavo v 2FA. Microsoft Authenticator, LastPass in 1Password so upravitelji gesel, ki vključujejo komponento preverjanja pristnosti. Če potrebujete upravitelja gesel ali že uporabljate enega od teh, bi šel po tej poti, saj postopek 2FA naredi čim bolj brez trenja.
Ko izberete aplikacijo za preverjanje pristnosti in jo namestite, lahko začnete nastavljati 2FA za svoje račune. To bo najbolj dolgočasen del postopka, saj vključuje obisk katere koli storitve ali spletnega mesta, ki ga uporabljate in ponuja enega za drugim podporo 2FA. Sumim, da je to korak, ki večino ljudi odvrne od uporabe 2FA, vendar je zaradi vaše spletne varnosti to na koncu vredno. In ko enkrat zaženete 2FA, se nekateri ne znajdejo v težavah.
Med začetno nastavitvijo boste skenirali kodo QR ali v nekaterih primerih vnesli kodo, nato pa bo ta storitev shranjena v aplikaciji za preverjanje pristnosti. Videli boste svoje račune z nizom šestih številk poleg njih in odštevalnikom časa. Vsakih 30 sekund se za vsako izdela nova naključna šestmestna koda. To so časovno zasnovana enkratna gesla (TOTP), podobna tistim, ki bi jih dobili po SMS-u ali e-pošti, vendar ne zahtevajo internetne povezave in jih kritično ne more nihče prestreči.
Zdaj vam v večini primerov kode TOTP ne bo treba vnesti vsakič, ko se prijavite, razen če želite te ravni varnosti. Običajno ga morate uporabljati le, ko se prijavljate v novo napravo ali po preteku določenega časa, običajno 30 dni, vendar se bodo spletna mesta in storitve glede tega razlikovale.
Dvofaktorska avtentikacija, ki temelji na strojni opremi
Čeprav je pri mobilnih overiteljih zagotovo priročnost. V dveletni študiji primera z Googlom je bila strojna rešitev štirikrat hitrejša, manj nagnjena k podpori in varnejša. Strojna rešitev MFA/2FA je zelo podobna bliskovnemu pogonu USB. Na voljo so v različnih oblikah in velikostih ter ponujajo podporo za vse vaše naprave z USB Type-A, USB Type-C in Lightning. Nekatere sodobne možnosti bodo ponujale tudi brezžično podporo prek NFC ali Bluetooth.
S temi varnostnimi ključi jih preprosto priključite v napravo ali jih povlečete po čipu NFC v napravi, kar vam služi kot metoda 2FA. To je kategorija MSP "kaj imaš". Preprosto je videti, kako bo to hitreje kot odpreti aplikacijo za preverjanje pristnosti, poiskati ustrezno kodo TOTP in jo nato vnesti, preden se ponastavi.
Tako kot aplikacije za preverjanje pristnosti tudi pri strojni opremi 2FA obstaja veliko možnosti. Najpomembnejši (in tisti, s katerim je Google sodeloval z več kot 50.000 zaposlenimi) je YubiKey. Google ima svoj varnostni ključ Titan in Thetis je še en močan igralec na trgu, vendar so vse te možnosti FIDO U2F Certified, odprti standard, ki sta ga Google in Yubico (podjetje za YubiKeyjem) ustvarila leta 2007 za širše sprejetje varnih preverjanje pristnosti.
Osnovni postopek nastavitve je v bistvu enak metodi mobilnega preverjanja pristnosti, morate iti na vsako storitev in slediti navodilom za nastavitev 2FA. Namesto da skenirate kodo QR in pridobite kode TOTP, boste ob pozivu vtaknili ali potegnili varnostni ključ, nato pa bo registriran pri tej storitvi. Ko boste v prihodnosti pozvani, boste morali znova vklopiti ali potegniti varnostni ključ in se na njem dotakniti stika. Če niste prepričani, katere storitve in aplikacije uporabljate in podpirajo varnostni ključ, si oglejte ta priročni katalog podjetja Yubico.
Najpogostejša skrb glede varnostnega ključa je, kaj storiti, če ga izgubite ali se pokvari. Obstaja nekaj možnosti. Google uporablja in Yubico priporoča, da hranite dva varnostna ključa, enega, ki je varno shranjen, in drugega, ki ga hranite pri sebi. Razen nekaterih drobnih varnostnih ključev, ki naj bi bili trajno priključeni na naprave, ki so na varnem mestu, imajo vsi varnostni ključi luknjo, ki omogoča njihovo pritrditev na obesek za ključe.
To pomeni, da vsakič, ko se registrirate za 2FA na novi storitvi, morate zagnati oba varnostna ključa, ko se registruje na fizično strojno opremo in ne na račun, vendar po začetni nastavitvi to ne bi smelo biti tako pogosto težava. Ti niso zelo dragi, saj sta YubiKey 5 NFC na primer za 45 USD in varnostni ključ Thetis FIDO2 BLE, ki je na voljo za manj kot 30 USD, zato jih ne bi smeli zamenjati več let, zato to ni slaba rešitev.
Druga možnost je, da morate hraniti varnostne kode, ki jih ponujajo vsa spletna mesta in storitve, na katerih uporabljate 2FA. Lahko jih natisnete in shranite na varno mesto ali pa besedilne datoteke šifrirate in shranite na varno, bodisi v šifrirano mapo, zaklenjeno z geslom, ali na varno shranjen bliskovni pogon.
Pregled
Ne glede na to, ali se odločite za rešitev 2FA, ki temelji na aplikaciji ali strojni opremi, ni dvoma, da je začetna nastavitev ena največjih ovir glede na obseg spletnih mest, storitev in aplikacij, ki jih mnogi od nas uporabljajo. Bilo mi je lažje narediti 3-5 dni na dan, dokler se nisem prebil skozi vse, namesto da bi šel na eno samo registracijo za maraton.
Ko končate s tem začetnim postopkom, je to precej neboleč dodaten korak, ki vam ponuja toliko več varnosti kot samo geslo ali rešitev 2FA, ki temelji na SMS-u ali e-pošti. Ob dodatnem času, ki ga morate občasno vnesti ali vnesti kodo ali vstaviti varnostni ključ, se lahko nekoliko zmedete, vendar v primerjavi z glavobolom, ko se morate spoprijeti z nekom, ki vam ukrade poverilnice in vam potencialno obrne življenje na glavo, zbledi. da ponovno vzpostavite nadzor nad svojimi računi.
Ker se podjetja, kot so PayPal, Google in druga, kot zahteva preselijo na 2FA, boste potrebovali rešitev 2FA. Ne zadovoljujte se s rešitvami, ki temeljijo na sporočilih SMS ali e-pošti, preprosto jih je enostavno zaobiti. Tako aplikacije za preverjanje pristnosti kot varnostni ključi strojne opreme ponujajo dejansko močno zaščito 2FA in po tem postopku začetne nastavitve hitro postane brezhiben del vaših spletnih varnostnih navad.