Ko sem nekaj prijateljem omenil, da pišem funkcijo o preverjanju pristnosti v dveh korakih, je bil tipičen odgovor zavijanje z očmi in „Oh, ta moteča stvar?…” Da, ta moteč dodatni korak. Vsi smo imeli to misel, ko smo morali pridobiti kodo, preden smo se lahko prijavili ali preverili svojo identiteto na spletu. Ali se lahko prosim samo prijavim brez množice zahtev?
Vendar pa po številnih raziskavah dvofaktorske avtentikacije (pogosto imenovane kot 2FA), mislim, da ne bom več zavijala z očmi. Spoznajmo dvostopenjsko avtentikacijo malo bolje, različne možnosti, ki obstajajo, in razblinimo nekaj mitov, ki obkrožajo ta „nadležen” dodaten korak.
Najpogostejše alternative za uporabo 2FA
SMS preverjanje
Običajno je, da aplikacije in varne storitve predlagajo, da dodate 2FA vsaj prek sporočil SMS, na primer, ko se prijavljate v svoj račun – bodisi vedno ali samo, ko to počnete iz nove naprave. Pri uporabi tega sistema je vaš mobilni telefon druga metoda preverjanja pristnosti.
SMS sporočilo je sestavljeno iz kratke kode za enkratno uporabo, ki jo vnesete v storitev. Tako bi gospod Joe Hacker potreboval dostop do vašega gesla in telefona, da bi lahko vstopil v vaš račun. Ena precej očitna skrb je pokritost celic. Kaj pa, če ste obtičali sredi ničesar brez signala ali potujete v tujino brez dostopa do skupnega operaterja? Ne boste mogli prejeti sporočila s kodo in se ne boste mogli prijaviti.
Toda večino časa je ta metoda priročna (vsi imamo telefon večino časa pri roki). Obstajajo celo nekatere storitve, ki imajo avtomatiziran sistem, ki izgovori kodo, tako da jo lahko uporabljate s stacionarnim telefonom, če ne morete prejemati besedilnih sporočil.
Google Authenticator, Authy, kode, ki jih ustvari aplikacija
Potencialno boljša alternativa SMS-om, ker ni odvisna od vašega brezžičnega operaterja. Google Authenticator je najbolj priljubljena aplikacija v svoji kategoriji, a če se ne želite zanašati na Google za tovrstno storitev, obstajajo obsežne alternative, kot je Authy, ki ponuja šifrirane varnostne kopije kod, ustvarjenih skozi čas, in več platformo in podporo brez povezave. Microsoft in Lastpass imata tudi lastne avtentifikatorje.
Te aplikacije bodo ustvarjale časovno specifične kode do prihoda kraljestva, z ali brez internetne povezave. Edini kompromis je, da je nastavitev nastavitve aplikacije nekoliko zapletena.
Ko nastavite dano storitev z Authenticatorjem, boste poleg svojega uporabniškega imena in gesla pozvani, da vnesete kodo za preverjanje pristnosti. Zanašali se boste na aplikacijo Google Authenticator v pametnem telefonu, da vam bo zagotovila novo kodo. Kode potečejo v eni minuti, zato boste včasih morali hitro vnesti trenutno kodo, preden poteče, nato pa je treba uporabiti novo kodo.
Ključi fizične avtentikacije
Če se ukvarjanje s kodami, aplikacijami in besedilnimi sporočili sliši kot glavobol, obstaja še ena možnost, ki je na robu priljubljenosti: fizični ključi za preverjanje pristnosti. To je majhna naprava USB, ki jo namestite na obesek za ključe — kot varnostni ključ na spodnji sliki. Ko se prijavite v svoj račun na novem računalniku, vstavite USB ključ in pritisnite njegovo tipko. Končano in končano.
Okoli tega obstaja standard, imenovan U2F. Računi Google, Dropbox, GitHub in številni drugi so združljivi z žetonom U2F. Ključi za fizično preverjanje pristnosti lahko delujejo z NFC in Bluetooth za komunikacijo tudi z napravami, ki nimajo vrat USB.
Avtentikacija na podlagi aplikacije in e-pošte
Številne aplikacije in storitve v celoti preskočijo zgornje možnosti in preverijo prek svojih mobilnih aplikacij. Omogočite na primer »Preverjanje prijave« na Twitterju in ko se prvič prijavite v Twitter iz nove naprave, morate to prijavo preveriti v prijavljeni aplikaciji v telefonu. Twitter se želi prepričati, da imate vi in ne gospod Joe Hacker vaš telefon, preden se prijavite.
Podobno Google Računi ponujajo nekaj podobnega, ko se prijavite v nov računalnik, vas prosi, da odprete Gmail v telefonu. Apple uporablja tudi iOS za preverjanje novih prijav v napravi. Ko se prijavite v novo napravo, boste prejeli kodo za enkratno uporabo, poslano v napravo Apple, ki jo že uporabljate.
Sistemi, ki temeljijo na e-pošti, kot ste verjetno ugotovili iz opisa, uporabljajo vaš e-poštni račun kot drugostopenjsko avtentikacijo. Ko se prijavite v aplikacijo ali storitev, ki uporablja to možnost, bo koda za enkratno uporabo poslana na vaš registriran e-poštni naslov za dodatno preverjanje.
Miti / Pogosta vprašanja
Katere so pogoste storitve, kjer je priporočljivo omogočiti 2FA?
- Google / Gmail, Hotmail / Outlook, Yahoo Mail **
- Lastpass, 1Password, Keepass ali kateri koli drug upravitelj gesel, ki ga uporabljate **
- Dropbox, iCloud, OneDrive, Google Drive (in druge storitve v oblaku, kjer gostite dragocene podatke)
- Bančništvo, PayPal in druge finančne storitve, ki jih uporabljate in ki to podpirajo
- Facebook / Twitter / LinkedIn
- Steam (v primeru, da je vaša knjižnica iger vredna več kot vaše povprečno stanje na bančnem računu)
** Te so še posebej pomembne, ker običajno služijo kot prehod do vsega drugega, kar počnete na spletu.
Če pride do kršitve varnosti, vklopiti dvostopenjsko avtentikacijo ASAP?
Težava je v tem, da ne morete preprosto obrniti stikala in vklopiti 2FA. Zagon 2FA pomeni, da je treba izdati žetone ali pa kriptografske ključe vdelati v druge naprave. V primeru kršitve storitve priporočamo, da najprej spremenite gesla in nato omogočite 2FA. Še vedno veljajo najboljše prakse, na primer uporaba gesel, ki jih je težko uganiti, in neponovna uporaba gesla v različnih storitvah/spletnih mestih.
Ali naj omogočim dvofaktorsko avtentikacijo ali ne?
ja Še posebej za kritične storitve, ki vsebujejo vaše osebne podatke in finančne informacije.
Dvostopenjska avtentikacija je neprepustna za grožnje
Št. 2FA je odvisen od tehnologij in uporabnikov, ki imajo napake, zato je tudi pomanjkljiv. 2FA, ki kot drugi dejavnik uporablja besedilo SMS, se opira na varnost brezžičnega operaterja. Zgodilo se je tudi, da zlonamerna programska oprema na telefonu prestreže in pošlje sporočila SMS napadalcu. Drugi način, na katerega lahko gre 2FA narobe, je, ko uporabnik ni pozoren in odobri zahtevo za preverjanje pristnosti (morda gre za pojavno sporočilo na njegovem računalniku Mac), ki je bila sprožena s poskusom napadalca, da se prijavi.
Kako lahko 2FA odpove v primeru uspešnega poskusa lažnega predstavljanja?
Dvostopenjska avtentikacija lahko spodleti pri lažnem predstavljanju, če napadalec zavede uporabnika, da vnese svojo kodo 2FA na lažni strani. Napadalec ima nato dostop do uporabniških poverilnic za prijavo in kode 2FA, pri čemer obide varnost 2FA. Da bi to preprečili, je pomembno, da so uporabniki pozorni na poskuse lažnega predstavljanja in da pred vnosom podatkov preverijo pristnost strani za prijavo in strani 2FA.
Dvofaktorske rešitve so (v osnovi) vse enake
To je morda nekoč res, vendar je bilo v 2FA veliko inovacij. Obstajajo rešitve 2FA z uporabo SMS sporočil ali e-pošte. Druge rešitve uporabljajo mobilno aplikacijo, ki vsebuje kriptografsko skrivnost ali podatke o ključu, shranjene v uporabnikovem brskalniku. Zanašanje na storitve tretjih oseb je nekaj, o čemer je treba razmisliti in bi ga bilo treba izboljšati, saj je bilo kršeno in preverjanje pristnosti v nekaterih primerih ni uspelo.
Dvostopenjska avtentikacija je moteč dodatek z malo koristi
No, s takim odnosom ne bomo nikoli nikamor prišli. V resnici nekatera podjetja ali storitve pristopijo k 2FA kot k zahtevi za skladnost, namesto k nečemu, kar lahko pomaga zmanjšati goljufije. Nekatera podjetja uporabljajo minimalni zahtevani 2FA, ki komaj kaj naredi, samo zato, da potrdijo polje 2FA. Kot uporabnik je lahko uporaba 2FA moteča, vendar če podjetje uporablja prilagodljivo metodo preverjanja pristnosti (ne le minimalno), lahko zmanjša možnost goljufije. In kdo si tega ne želi?