Varnostna ura: kako se ne zaklenejo z dvofaktorno avtentikacijo | največ vrtljajev

Varnostna orodja pogosto ustvarijo določeno mero tesnobe. Kaj se zgodi, če izgubim geslo? Ali če moj protivirusni izdelek izbriše moje stvari? Pojav dvofaktorne avtentikacije je ustvaril novo zasnovo že znane tesnobe: kaj se zgodi, če ne morem uporabiti svojega drugega faktorja in se zapreti iz računa?

Jeremy iz Capetowna se je oglasil z nekaj pomisleki glede 2FA. Njegovo pismo sem v kratkem uredil.

Dragi gospod, Nisem preveč tehničen in želim dvofaktorsko napravo za preverjanje pristnosti, ki ne postavlja zapletenih zapletov pri nastavitvi ali dostopu, kot ste se srečali s Yubikeyjem. Največji strah sem, da se bom zaprl iz mojega Gmaila.

Ali je bolje kupiti dva ključa, enega pa kot varnostno kopijo?

Lep pozdrav, Jeremy

Če še niste slišali za dvofaktorsko preverjanje pristnosti ali 2FA, je naslednja: 2FA je drugo dejanje, ki ga izvedete po vnosu gesla, da preverite svojo identiteto. Ideja je, da bi imel napadalec vaše geslo, vendar ne bo imel vašega varnostnega ključa, aplikacije za preverjanje pristnosti ali kode SMS. Za 2FA obstaja cela teorija in praksa, da ne bom šel sem, vendar vas vseeno spodbujam in omogočite 2FA, kjer lahko.

Jeremy je v dobri družbi v skrbi za 2FA. Številni tehnično pametni in varnostno ozaveščeni ljudje, ki jih poznam, še naprej odstranjujejo dvofaktorno zaščito, ker se bojijo, da bi se lahko zaprli in morda za vedno izgubili dostop do svojih stvari. To je resnična in veljavna skrb.

Bralec, zgodilo se mi je

Pravzaprav sem bil pred tem zaklenjen iz 2FA zaščitenih računov. Več kot enkrat. Takrat je bilo eno prvih podjetij, ki je ponudilo dvofaktorsko avtentikacijo, Blizzard. Igralci World of Warcraft so najprej dobili dostop, saj so morali zaščititi svoj težko prislužen plen. Morda se spomnite ljudi, ki hodijo naokoli s ključnimi verižicami WoW, ki so na LCD-prikazovalniku prikazale spreminjajoče se številke. Blizzard je kasneje izkušnjo izpopolnil v mobilni aplikaciji in 2FA predstavil vsem uporabnikom Battle.net.

Kot paranoična oseba, ki sem, sem omogočila 2FA na svojem računu Blizzard s posebno aplikacijo Blizzard Authenticator. Takoj sem pozabil, da sem to storil, in v naslednjih mesecih izbrisal aplikacijo iz telefona in pozabil geslo. Na srečo ima Blizzard odlične storitve za stranke. Nekaj ​​e-poštnih sporočil s svojim veselim osebjem me je čez nekaj dni vrnilo na splet. Vendar je bilo še vedno živčno živčno. Bil sem tako navajen, da sem lahko reševal svoje resetiranje gesla, in ideja, da bi moral biti del tega živega človeka kot dela tega procesa, se mi je zdela zelo nenavadna.

Odtlej sem se bolj navadil na izkušnje in naučil sem se biti pametnejši glede varovanja pristnosti. Še vedno sem se uspel večkrat zapreti z Battle.net, pa tudi Steam in druge storitve.

Glede na to, kako podjetje konfigurira ponudbo 2FA, se boste morda morali upogniti nazaj, da boste dobili nadzor nad svojim računom. Kot se to sliši nadležno, dejansko pomeni, da služba deluje. Če nimate avtentikatorja, bi morali skočiti skozi veliko obročkov. Če bi bilo lahko zate, bi bilo slabo za slabega fanta.

Pomnožite faktorje

Na srečo obstaja preprost način, da preprečite, da bi ga 2FA zaklenila: uporabite več možnosti 2FA. Te lahko delujejo kot varnostna kopija, če nimate dostopa do druge možnosti 2FA. Na primer, s svojimi Google računi uporabljam YubiKey 5 NFC, omogočil pa sem tudi tapkanje po potrditvenem obvestilu o potrditvi na svojem telefonu. Če nimam svojega Yubikeyja, ga uporabljam namesto tega.

Če dodate več večfaktorskih naprav, povečate tveganje, da bi lahko bil vaš račun ogrožen. Zdaj obstajata dva načina, kako vstopiti v svoj račun, namesto samo enega. Verjamem, da koristi, ki jih ne boste zaklenili z vašega računa, močno odtehtajo zelo malo verjeten scenarij, v katerem ste zaprti, perp pa vam vzame denarnico, ključe in varnostni ključ, poleg tega pa vam napiše geslo.

Paket varnostnih ključev Google Titan.

Najboljša podpora za uporabo več kot ene 2FA naprave prihaja od Googla, ki ima v svojem paketu Titan Key dva ključa. Ti so bili ustvarjeni posebej za delo z Googlovim naprednim sistemom zaščite, za katerega morate vpisati dva ločena varnostna ključa. Eno uporabljate vsak dan, drugega pa odložite za nujne primere. Torej, da neposredno odgovorim na Jeremyjevo vprašanje: Ni slabo, da imate dva ključa za svoj račun.

Na žalost ne morejo vsa spletna mesta vpisati več možnosti za več faktorjev. V tem primeru priporočam uporabo možnosti 2FA, za katero menite, da je za vas najbolj zanesljiva.

Gradite svoj Authenticator Arsenal

Če se odločite za nakup več strojnih ključev 2FA, priporočam naš varnostni ključ urednika Yubico ali pa paket Googla Titan Key. Yubicov varnostni ključ stane le 20 dolarjev oziroma 36 dolarjev za dva. Googlov paket stane 50 dolarjev in vključuje dve napravi: en ključ USB in Bluetooth ključ Bluetooth.

Yubico varnostni ključ

Dolga leta je bil najpogostejši način uporabe 2FA enkratna koda, poslana na vaš telefon prek besedilnega sporočila. Verjetno morate to še vedno uporabljati pri svoji banki, saj finančne institucije navadno počasneje uvajajo nove tehnologije. Zanimivo je, da Google še vedno zahteva, da omogočite kode SMS, če želite uporabljati kateri koli drug sistem 2FA. Na vprašanje Jeremyja to pomeni, da boste morali ob vpisu svojega novega varnostnega ključa pri Googlu že omogočiti drugo možnost 2FA v obliki kod SMS.

Druga možnost je, da uporabite Google Authenticator ali podobno aplikacijo, kot je Authenticator LastPass. Te mobilne aplikacije vsakih 30 sekund ustvarijo šestmestno kodo gesla. Preprosto odprite aplikacijo, kopirajte kodo in že ste noter. Ti so še posebej priročni kot rezervna 2FA možnost, ker aplikacija deluje tudi brez mobilne storitve ali Wi-Fi.

Če se vam zdijo vsi zaskrbljujoči, lahko uporabite moj najprimernejši način: fizične varnostne kode. To ste morda videli pri ustvarjanju računov ali vpisu v 2FA. Gre za mrežo več številk, ki jih lahko uporabite namesto gesla in žetonov 2FA. Ustvarijo jih samo enkrat, in če jih znova ustvarite, se stare izpuščajo. V idealnem primeru jih boste zavadili v šifriranem datotečnem trezorju ali še bolje na papirju, ki je na varnem mestu.

Ko je ustvaril svoj program za napredno zaščito, se je Google odločil za več strojnih ključev, ker bi lahko vse druge zgoraj naštete možnosti - vključno z varnostnimi kopijami - zajela z dobro izdelano phishing stranjo. Skrivanje varnostnega ključa je veliko težje.

• Dvofaktorska overitev: kdo jo ima in kako jo nastaviti Dvofaktorsko preverjanje pristnosti: kdo jo ima in kako jo nastaviti
• Zakaj ne uporabljate dvofaktorske overitve? Zakaj ne uporabljate dvofaktorske overitve?
• Google: Napadi lažnega predstavljanja, ki lahko premagajo dvofaktor, so v porastu Google: Napadi lažnega predstavljanja, ki lahko premagajo dvofaktor, so v porastu

Upoštevajte, da ne podpirajo vsa spletna mesta vse vrste overitelja. LastPass vam na primer omogoča uporabo varnostnih ključev, vendar le tipke, ki podpirajo enkratne kode. Ugotovitev, katere overitelje uporabljati, je pogosto odvisno od možnosti, ki jih podpirajo.

Vaši prvi koraki za dvofaktorsko preverjanje pristnosti

Kljub temu priporočam vsem, ki novi v 2FA najprej preizkusijo sistem, ki ni varnostni ključi. Če se niste prijavili na tisto drugo stvar, da bi se prijavili, je večja verjetnost, da se boste zapletli s tako neznanim kot varnostni ključ. Namesto tega poskusite uporabiti potisna obvestila, kode, poslane prek besedilnega sporočila, Duo ali Google Authenticator (ali podobnega generatorja kode). Te uporabljajo naprave, ki jih že imate, tako da vstopnine ni stroškov. Ko se seznanite s tem, kako deluje 2FA, in se začne počutiti kot druga narava, lahko razmišljate o tem, da bi plačevali denar za varnostne ključe.

Varnostna funkcija je dragocena le, če jo dejansko uporabljate. Tako omogočite 2FA, vendar si dovolite, da se z njo igrate in poiščete način, ki vam ustreza.