24Aug
Coraz więcej banków, firm obsługujących karty kredytowe, a nawet sieci społecznościowe i strony z grami zaczynają korzystać z uwierzytelniania dwuskładnikowego. Jeśli nie wiesz, co to jest i dlaczego chcesz zacząć go używać, przeczytaj, aby dowiedzieć się, w jaki sposób uwierzytelnianie dwuskładnikowe może zapewnić bezpieczeństwo danych.
Co to jest uwierzytelnienie dwuskładnikowe?
Czytnik podręczników do gry Geek Jordan wpisuje proste pytanie:
Coraz częściej słyszę o uwierzytelnianiu dwuskładnikowym. Niejasno pamiętam, jak Google robił z tego wielką sprawę w ubiegłym roku, mój bank niedawno zaoferował darmowy brelok do kluczy dla cenionych klientów, a mój współlokator ma nawet jakąś aplikację na swoim telefonie, aby jego konto Diablo III nie zostało zhackowane. Rozumiem, że to jakieś narzędzie bezpieczeństwa, ale co to dokładnie jest i czy powinienem go używać?
Aby zrozumieć, czym jest uwierzytelnianie dwuskładnikowe, najpierw przyjrzyjmy się, jakie jest jednoetapowe uwierzytelnianie i porównajmy je z rzeczywistymi i wirtualnymi modelami zabezpieczeń.
Kiedy wracasz do domu z pracy, wyciągasz klucze i otwierasz tylne drzwi, angażujesz się w proste jednokierunkowe uwierzytelnianie. Drzwi i zamek nie dbają o to, czy osoba posiadająca klucz jest tobą, twoim sąsiadem, czy przestępcą, który podniósł twoje klucze. Jedyną rzeczą, o którą chodzi w tym zamku jest to, że klucz pasuje( nie potrzebujesz dwóch kluczy, klucza i odcisków palców, ani żadnej innej kombinacji czeków).Klucz fizyczny jest pojedynczym potwierdzeniem, że osoba władająca nim może otworzyć drzwi.
Ten sam poziom jednokierunkowego uwierzytelniania występuje, gdy logujesz się do strony internetowej lub usługi, która wymaga jedynie Twojego loginu i hasła. Podłączyliście tę informację i istnieje ona jako jedyna kontrola, którą faktycznie jesteście.
Zakładając, że nikt nigdy nie ukradnie kluczy ani nie złamie / nie ukradnie twojego hasła, jesteś w dobrej formie. Chociaż skradzione klucze są dość niskim ryzykiem, bezpieczeństwo wirtualne jest bardziej złożone( w przeciwieństwie do naruszeń bezpieczeństwa w Internecie, na przykład kierownik kompleksu apartamentów nigdy nie skopiowałby wszystkich kluczy i nie zostawił ich z nazwiskiem i adresem na rogu ulicy).
Naruszenia bezpieczeństwa, wyrafinowane ataki i inne niefortunne, ale zbyt rzeczywiste aspekty pracy i grania w wirtualnej przestrzeni wymagają udoskonalonych praktyk bezpieczeństwa, w tym wielu złożonych i różnorodnych, złożonych haseł oraz, gdy są dostępne, uwierzytelniania dwuskładnikowego.
Co to jest uwierzytelnianie dwuskładnikowe i jak ono wygląda dla użytkownika końcowego? Przy minimalnym uwierzytelnianiu dwuskładnikowym wymagane są dwie z trzech zatwierdzonych przez administratora zmiennych uwierzytelniających, takich jak:
- Coś, co znasz( na przykład kod PIN na karcie bankowej lub hasło e-mail).
- Coś, co masz( fizyczna karta bankowa lub token uwierzytelniający).
- Coś, kim jesteś( dane biometryczne, takie jak odcisk palca lub wzór tęczówki).
Jeśli kiedykolwiek korzystałeś z karty debetowej, skorzystałeś z prostej formy uwierzytelniania dwuskładnikowego: nie wystarczy znać kodu PIN lub fizycznie mieć karty, musisz posiadać obie, aby uzyskać dostęp do konta bankowegoza pośrednictwem bankomatu.
Uwierzytelnianie dwuskładnikowe może przybierać różne formy i nadal spełnia wymagania 2 do 3.Może istnieć fizyczny token, taki jak te powszechnie używane w bankowości, gdzie generowany jest kod bezprzewodowy. Do zalogowania potrzebujesz swojej nazwy użytkownika, hasła i unikalnego kodu( który wygasł co 30 sekund).Inne firmy pomijają trasę niestandardowego sprzętu i dostarczają aplikacje na telefony komórkowe( lub kody dostarczone przez SMS), które zapewniają taką samą funkcjonalność.Chociaż nie jest to szczególnie powszechne, można również zastosować uwierzytelnianie dwuskładnikowe w oparciu o dane biometryczne( takie jak bezpieczeństwo zaszyfrowany plik za pomocą hasła i odcisku palca).
Dlaczego warto z niego korzystać i gdzie mogę go znaleźć?
Za każdym razem, gdy wprowadzasz dodatkową warstwę do swojej procedury bezpieczeństwa, zawsze musisz zadać sobie pytanie, czy problem jest uzasadniony. Wieloczynnikowe uwierzytelnianie na forum dyskusyjnym na temat samochodów sportowych, które nie zawiera żadnych danych osobowych i nie jest w żaden sposób powiązane z prawdziwym adresem e-mail lub informacje finansowe są oczywiście przesadą.Posiadanie drugiej warstwy uwierzytelniania dla twojej karty kredytowej lub głównego konta e-mail jest jednak po prostu praktyczne - uraz osobisty i finansowy, który mógłby powstać w wyniku złodziejstwa tożsamości lub innego złośliwego podmiotu mającego dostęp do tych rzeczy, znacznie przewyższa drobne problemy z wprowadzeniemdodatkowa odrobina informacji.
W każdej chwili dostępne jest uwierzytelnianie dwuskładnikowe dla systemu, a złamanie tego systemu spowoduje znaczne cierpienie, należy je włączyć.Po złamaniu zabezpieczeń poczty e-mail otwierają się inne usługi, które są traktowane jako serwery poczty e-mail jako rodzaj klucza głównego w celu uzyskania dostępu do resetowania hasła i innych zapytań.Jeśli Twój bank udostępnia mobilne narzędzie uwierzytelniające lub inne narzędzie, skorzystaj z niego. Nawet dla takich osób jak twoi współlokatorzy gracze na kontach Diablo III spędzają setki godzin budując swoje postacie i często wydają prawdziwe pieniądze kupując towary w grze, tracąc całą pracę, a sprzęt jest okropną propozycją, policzcie autentykację na swoim koncie!
Niestety nie każda usługa oferuje uwierzytelnianie dwuskładnikowe. Najlepszym sposobem, aby się tego dowiedzieć, jest przejrzenie najczęściej zadawanych pytań / plików pomocy i / lub skontaktowanie się z obsługą techniczną danej usługi. To powiedziawszy, wiele firm mówi o wprowadzeniu wieloskładnikowych schematów uwierzytelniania.
Google ma uwierzytelnianie dwuskładnikowe zarówno dla wiadomości SMS, jak i poręcznej aplikacji mobilnej - przeczytaj nasz przewodnik po instalacji i konfiguracji aplikacji mobilnej tutaj.
LastPass oferuje wiele form uwierzytelniania wieloskładnikowego, w tym za pomocą Google Authenticator. Mamy tutaj przewodnik konfiguracji.
Facebook ma dwuskładnikowy system o nazwie "zatwierdzenia logowania", który wykorzystuje SMS-y do potwierdzenia tożsamości.
SpiderOak, usługa pamięci masowej typu Dropbox, oferuje uwierzytelnianie dwuskładnikowe.
Blizzard, firma stojąca za takimi grami, jak World of War Craft i Diablo, ma darmowego uwierzytelniającego.
Nawet jeśli wygląda na to, że czyta się plik FAQ danej firmy, nie ma on uwierzytelniania dwuskładnikowego, nie wysyła do nich e-maila i nie pyta. Im więcej osób pyta o czynnik dwuskładnikowy, tym większa szansa, że firma go wdroży.
Chociaż uwierzytelnianie dwuskładnikowe nie jest odporne na ataki( wyrafinowany atak typu "człowiek w środku" lub kradzież dodatkowego tokena uwierzytelniającego i pokonanie go za pomocą potoku może go złamać), jest radykalnie bezpieczniejsze niż poleganie na zwykłymHasło i po prostu posiadanie dwuskładnikowego systemu włączonego czyni cię mniej atrakcyjnym celem.
Czy znasz usługę, dużą lub małą, która oferuje uwierzytelnianie dwuskładnikowe? Zagraj w komentarzach, aby ostrzec innych czytelników.