21Jul
Wiele usług online oferuje uwierzytelnianie dwuskładnikowe, które zwiększa bezpieczeństwo, wymagając więcej niż tylko hasła do logowania. Istnieje wiele różnych rodzajów dodatkowych metod uwierzytelniania, z których można korzystać.
Różne usługi oferują różne metody uwierzytelniania dwuskładnikowego, aw niektórych przypadkach można nawet wybierać spośród kilku różnych opcji. Oto, jak działają i jak się różnią.
Weryfikacja SMS
Wiele usług pozwala zarejestrować się, aby otrzymać wiadomość SMS za każdym razem, gdy logujesz się na swoje konto. Ta wiadomość SMS będzie zawierać krótki jednorazowy kod, który musisz wprowadzić.W tym systemie twój telefon komórkowy jest używany jako druga metoda uwierzytelniania. Ktoś nie może dostać się na twoje konto, jeśli ma twoje hasło - potrzebuje twojego hasła i dostępu do telefonu lub wiadomości SMS.
Jest to wygodne, ponieważ nie musisz robić nic specjalnego, a większość ludzi ma telefony komórkowe. Niektóre usługi będą nawet wybierać numer telefonu, a zautomatyzowany system będzie wymawiać kod, umożliwiając korzystanie z niego przy użyciu stacjonarnego numeru telefonu, który nie może odbierać wiadomości tekstowych.
Występują jednak duże problemy z weryfikacją SMS-ów. Atakujący mogą korzystać z ataków SIM, aby uzyskać dostęp do bezpiecznych kodów lub przechwycić je dzięki błędom w sieci komórkowej. Zalecamy, aby nie używać wiadomości SMS, jeśli to możliwe. Jednak wiadomości SMS są nadal dużo bezpieczniejsze, niż nie wykorzystują w ogóle uwierzytelniania dwuskładnikowego!
Kody generowane przez aplikację( np. Google Authenticator i Authy)
Możesz również wygenerować kody przez aplikację na telefonie. Najbardziej znaną aplikacją, która to robi, jest Google Authenticator, który Google oferuje na Androida i iPhone'a. Wolimy jednak Authy, która robi wszystko, co robi Google Authenticator - i nie tylko. Pomimo nazwy te aplikacje używają otwartego standardu. Na przykład można dodać konta Microsoft i wiele innych typów kont do aplikacji Google Authenticator.
Zainstaluj aplikację, zeskanuj kod podczas zakładania nowego konta, a aplikacja będzie generować nowe kody co około 30 sekund. Będziesz musiał wprowadzić aktualny kod wyświetlany w aplikacji na telefonie, a także hasło podczas logowania do konta.
Nie wymaga to w ogóle sygnału komórkowego, a "seed", który pozwala aplikacji generować kody o ograniczonym czasie, jest przechowywany tylko na urządzeniu. Oznacza to, że jest o wiele bezpieczniejszy, ponieważ nawet osoba, która uzyska dostęp do Twojego numeru telefonu lub przechwyci twoje wiadomości tekstowe, nie będzie znała twoich kodów.
Niektóre usługi - na przykład Blizzard's Battle.net Authenticator - mają również własne aplikacje do generowania kodu.
Fizyczne klucze uwierzytelniające
Fizyczne klucze uwierzytelniające to kolejna opcja, która zaczyna być bardziej popularna. Duże firmy z sektora technologii i finansów tworzą standard znany jako U2F i już można używać fizycznego tokena U2F do zabezpieczenia kont Google, Dropbox i GitHub. To tylko mały klucz USB, który umieścisz na pęku kluczy. Za każdym razem, gdy chcesz zalogować się na swoje konto z nowego komputera, musisz włożyć klucz USB i nacisnąć przycisk na nim. To wszystko - bez kodów do pisania. W przyszłości urządzenia te powinny współpracować z NFC i Bluetooth w celu komunikowania się z urządzeniami mobilnymi bez portów USB.
To rozwiązanie działa lepiej niż weryfikacja SMS i kody jednorazowe, ponieważ nie można ich przechwycić i zignorować.Jest także prostszy i wygodniejszy w użyciu. Na przykład strona phishingowa może pokazać fałszywą stronę logowania Google i przechwycić kod jednorazowy podczas próby zalogowania. Następnie może użyć tego kodu do zalogowania się w Google. Jednak dzięki fizycznemu kluczowi uwierzytelnienia, który działa wspólnie z przeglądarką, przeglądarka może zapewnić, że komunikuje się z prawdziwą witryną, a kod nie może zostać przechwycony przez osobę atakującą.
Oczekuj, że zobaczysz o wiele więcej w przyszłości.
Autoryzacja oparta na aplikacjach
Niektóre aplikacje mobilne mogą zapewniać uwierzytelnianie dwuskładnikowe za pomocą samej aplikacji. Na przykład Google oferuje teraz bezkodowe uwierzytelnianie dwuskładnikowe, o ile masz zainstalowaną aplikację Google na telefonie. Za każdym razem, gdy próbujesz zalogować się do Google z innego komputera lub urządzenia, wystarczy nacisnąć przycisk na telefonie, bez kodu. Google sprawdza, czy masz dostęp do telefonu przed próbą zalogowania.
Dwustopniowa weryfikacja Apple działa podobnie, chociaż nie używa aplikacji - korzysta z samego systemu operacyjnego iOS.Za każdym razem, gdy próbujesz zalogować się z nowego urządzenia, możesz otrzymać jednorazowy kod wysłany na zarejestrowane urządzenie, takie jak iPhone lub iPad. Aplikacja mobilna na Twitterze ma podobną funkcję, jak weryfikacja logowania. Ponadto Google i Microsoft dodały tę funkcję do aplikacji na smartfony Google i Microsoft Authenticator.
Systemy e-mail
Inne usługi polegają na Twoim koncie e-mail w celu uwierzytelnienia. Na przykład, jeśli włączysz Ochronę Steam, Steam poprosi Cię o podanie jednorazowego kodu wysłanego na twój adres e-mail za każdym razem, gdy logujesz się z nowego komputera. Zapewnia to przynajmniej, że osoba atakująca będzie potrzebować zarówno hasła do konta Steam, jak i dostępu do konta e-mail, aby uzyskać dostęp do tego konta.
To nie jest tak bezpieczne, jak inne metody weryfikacji dwuetapowej, ponieważ może być łatwo uzyskać dostęp do konta e-mail, zwłaszcza jeśli nie korzystasz z weryfikacji dwuetapowej! Unikaj weryfikacji przez e-mail, jeśli możesz użyć czegoś silniejszego.(Na szczęście aplikacja Steam oferuje uwierzytelnianie oparte na aplikacji w aplikacji mobilnej).
Last Resort: kody odzyskiwania
Kody odzyskiwania zapewniają sieć bezpieczeństwa na wypadek utraty dwuetapowej metody uwierzytelniania. Po skonfigurowaniu uwierzytelniania dwuskładnikowego zwykle dostarczane są kody odzyskiwania, które należy zapisać i przechowywać w bezpiecznym miejscu. Będziesz ich potrzebować, jeśli kiedykolwiek stracisz dwuetapową metodę weryfikacji.
Upewnij się, że masz kopię kodów odzyskiwania, jeśli używasz uwierzytelniania dwuetapowego.
Nie znajdziesz wielu opcji dla każdego konta. Jednak wiele usług oferuje wiele dwuetapowych metod weryfikacji, z których można skorzystać.
Istnieje również możliwość korzystania z wielu dwuczynnikowych metod uwierzytelniania. Na przykład, jeśli skonfigurujesz aplikację generującą kody i fizyczny klucz zabezpieczeń, możesz uzyskać dostęp do konta za pośrednictwem aplikacji, jeśli kiedykolwiek zgubisz klucz fizyczny.