Dvofaktorska autentifikacija (2FA) nekada se činila kao nešto rezervirano za špijunske filmove ili političke trilere-nešto što Ethan Hunt iz Nemoguće misije treba koristiti za pristup svom zadatku prije nego što se sam uništi. Ali to više nije slučaj. Gotovo svi mi svakodnevno koristimo 2FA, bilo da je to biometrijska 2FA na našim uređajima (otisak prsta ili prepoznavanje lica) ili uobičajene jednokratne lozinke koje se dobivaju SMS-om ili aplikacijom za provjeru autentičnosti.
Naši su računi previše vrijedni da bi ih hakeri mogli zanemariti. Čak i kompromitirani račun e-pošte može biti odskočna daska za pristup financijskim računima i oduzeti vam teško zarađeni novac, a za vas stvoriti scenarij noćne more. Iako filmovi prikazuju hakera odjevenog kapuljačom s prstima koji bijesno prelijeću tipkovnicu, stvarnost je da prema izvješću Verizon-a o istraživanju kršenja podataka za razdoblje 2022-2023.-2022. velika većina sigurnosnih povreda (85%) uključuje ljudski element. 2FA je najbolji način za borbu protiv ove vrste napada.
- Najbolje VPN usluge2021-2022
- Norton Antivirus aplikacija sada vam omogućuje da zaradite kriptovalute - evo što možete rudariti
- Najbolje ponude prijenosnih računala u lipnju 2022-2023.-2022
Bez obzira mislite li da vas to zabrinjava ili ne, mnoge tvrtke prelaze na 2FA kao potrebnu sigurnosnu mjeru, a Google je jedna od najnovijih koja je objavila da će joj u bliskoj budućnosti biti potrebna 2FA.
Nedavno smo objasnili zašto morate prestati koristiti svoj telefonski broj za dvofaktorsku autentifikaciju, ako ste to propustili i niste sigurni zašto je to tako loša ideja, pročitajte je i vratite se, sada ćemo vam pokazati kako napraviti 2FA na pravi način.
Što je autentifikacija u dva faktora?
2FA je najpoznatiji i najrašireniji oblik višefaktorske provjere autentičnosti (MFA) koji se, kako naziv govori, oslanja na više čimbenika kako bi potvrdio vaš identitet. Klasičan primjer je dobivanje novca s bankomata, potrebna vam je kartica kao i PIN za pristup računu.
Taj primjer uključuje dvije od tri kategorije za MIP, „ono što imate“ (fizički objekt) i „ono što znate“ (lozinka ili sigurnosno pitanje). Treća opcija je "ono što jeste", što znači biometrijska metoda poput skenera otiska prsta ili prepoznavanja lica. Za razliku od čak i nevjerojatno složene lozinke, ovo eliminira mogućnost kršenja vašeg računa bez fizičkog pristupa vama.
U spomenutoj Googleovoj najavi 2FA, lozinke se spominju kao "najveća najveća prijetnja vašoj mrežnoj sigurnosti". Za sada su lozinke za većinu ljudi još uvijek dio procesa 2FA. No, vrijedi reći da su one slaba točka u lancu koju treba ojačati barem jednim dodatnim čimbenikom. Pa pogledajmo najbolje opcije za 2FA.
Dvofaktorska autentifikacija zasnovana na aplikaciji
Kao i za gotovo sve, postoje rješenja za aplikacije koje se bave 2FA -om, te se zovu aplikacije za provjeru autentičnosti. Na tržištu ih ima na desetke, ali nekoliko koje bih preporučio su Authy, Microsoft Authenticator, LastPass i 1Password. Google Authenticator je još jedna popularna opcija, ali ne sviđa mi se što ne zahtijeva ni lozinku ni biometrijsku prijavu, to je potencijalna sigurnosna praznina u procesu koji ih pokušava ukloniti.
Authy je namjenska aplikacija za provjeru autentičnosti i izričito se koristi za prijavu na 2FA. Microsoft Authenticator, LastPass i 1Password upravitelji su lozinki koji imaju ugrađenu komponentu autentifikatora. Ako vam je potreban upravitelj lozinki ili već koristite jedan od njih, krenuo bih ovim putem jer čini proces 2FA što je moguće bez trenja.
Nakon što odaberete aplikaciju za provjeru autentičnosti i instalirate je, možete početi postavljati 2FA za svoje račune. Ovo će biti najdosadniji dio procesa jer uključuje posjet bilo kojoj usluzi ili web mjestu koje koristite, a koja nudi podršku 2FA jednu po jednu. Pretpostavljam da je ovo korak koji većinu ljudi odbija koristiti 2FA, ali se u konačnici isplati zbog vaše mrežne sigurnosti. A kad jednom pokrenete 2FA, neki to ne čine gnjavažom.
Tijekom početnog postavljanja skenirat ćete QR kôd ili u nekim slučajevima unijeti kôd, a zatim će ta usluga biti spremljena u vašu aplikaciju za provjeru autentičnosti. Vidjet ćete svoje račune sa nizom od šest znamenki pored njih i odbrojavanjem vremena. Svakih 30 sekundi za svaki se proizvodi novi slučajni šestoznamenkasti kod. To su jednokratne lozinke (TOTP) zasnovane na vremenu, slične onima koje biste dobili putem SMS-a ili e-pošte, ali ne zahtijevaju internetsku vezu i nitko ih kritički ne može presresti.
Sada u većini slučajeva nećete morati unijeti svoj TOTP kôd svaki put kada se prijavite, osim ako ne želite tu razinu sigurnosti. Obično je potrebno samo da ga koristite kada se prijavljujete na novi uređaj ili nakon što je proteklo zadano vrijeme, uobičajeno je 30 dana, no web -lokacije i usluge razlikuju se ovisno o tome.
Hardverska dvofaktorska provjera autentičnosti
Iako definitivno postoji faktor pogodnosti s mobilnim autentifikatorima. U dvogodišnjoj studiji slučaja s Googleom, hardversko rješenje bilo je četiri puta brže, manje sklono zahtijevanju podrške i sigurnije. Hardversko rješenje MFA/2FA jako sliči na USB flash pogon. Dolaze u različitim oblicima i veličinama nudeći podršku za bilo koji vaš uređaj s USB-om tipa A, USB-om tipa C i Lightningom. Neke moderne opcije također će nuditi bežičnu podršku putem NFC -a ili Bluetootha.
Pomoću ovih sigurnosnih ključeva jednostavno ih priključujete na svoj uređaj ili ih prevlačite preko NFC čipa na svom uređaju, a to vam služi kao 2FA metoda. Ovo je kategorija MIP -a "ono što imate". Lako je vidjeti kako će to biti brže nego otvoriti aplikaciju za provjeru autentičnosti, pronaći odgovarajući TOTP kôd, a zatim ga unijeti prije nego se resetira.
Baš kao i aplikacije za provjeru autentičnosti, postoji značajan broj opcija kada je u pitanju 2FA hardver. Najistaknutiji (i onaj s kojim je Google otišao s više od 50.000 zaposlenika) je YubiKey. Google sam ima svoj sigurnosni ključ Titan, a Thetis je još jedan snažan igrač na tržištu, ali sve su ove opcije FIDO U2F Certified, otvoreni standard koji su stvorili Google i Yubico (tvrtka iza YubiKeya) još 2007. kako bi promicali široko usvajanje sigurnih ovjera.
Osnovni postupak postavljanja u biti je identičan načinu mobilnog autentifikatora, morat ćete otići do svake usluge i slijediti upute za postavljanje 2FA. Umjesto skeniranja QR koda i dobivanja TOTP kodova, na zahtjev ćete uključiti ili prevući sigurnosni ključ, a zatim će se registrirati na toj usluzi. Kad se to ubuduće zatraži, morat ćete samo ponovno uključiti ili prevući sigurnosni ključ i dodirnuti kontakt na njemu. Ako niste sigurni koje usluge i aplikacije koristite koje podržavaju sigurnosni ključ, pogledajte ovaj praktični katalog tvrtke Yubico.
Najčešća briga oko sigurnosnog ključa je što učiniti ako ga izgubite ili se pokvari. Tu postoji nekoliko opcija. Jedan koji Google zapošljava i Yubico preporučuje jest održavanje dva sigurnosna ključa, jedan koji je sigurno pohranjen, a drugi koji imate kod sebe. S izuzetkom nekih sićušnih sigurnosnih ključeva koji su namijenjeni trajnom priključivanju na uređaje koji su na sigurnom mjestu, svi sigurnosni ključevi imaju rupu za pričvršćivanje na privjesak za ključeve.
To znači da svaki put kada se registrirate za 2FA na novoj usluzi morate pokrenuti oba sigurnosna ključa jer se registrira na fizički hardver, a ne na račun, ali opet nakon početnog postavljanja to ne bi trebalo biti tako često problem. Oni nisu strašno skupi s YubiKey 5 NFC -om, na primjer, za 45 USD, a Thetis FIDO2 BLE sigurnosni ključ dostupan za manje od 30 USD i ne biste ih trebali mijenjati godinama, pa to nije loše rješenje.
Alternativa je da morate zadržati sigurnosne kodove koje pružaju sva web mjesta i usluge na kojima koristite 2FA. Ove se datoteke mogu ispisati i pohraniti na zaštićeno mjesto ili možete šifrirati i pohraniti tekstualne datoteke na sigurno mjesto, bilo u zaštićenoj i šifriranoj mapi ili na flash pogonu koji je sigurno pohranjen.
Pregled
Bez obzira na to jeste li se odlučili za 2FA rješenje temeljeno na aplikaciji ili na hardveru, nema sumnje da je početno postavljanje jedna od najvećih prepreka s obzirom na golem broj web lokacija, usluga i aplikacija koje mnogi od nas koriste. Bilo mi je lakše raditi samo 3-5 dana dok nisam prošao kroz sve njih, a ne ići na jednu registraciju za maraton.
Nakon što završite s tim početnim procesom, to je prilično bezbolan dodatni korak koji vam nudi mnogo više sigurnosti od same lozinke ili 2FA rješenja zasnovanog na SMS-u ili e-pošti. Možda ćete se pomalo namučiti u dodatnom vremenu koje povremeno morate unijeti svoj kôd ili uključiti sigurnosni ključ, ali to blijedi u usporedbi s glavoboljom da se morate nositi s nekim tko vam ukrade vjerodajnice i potencijalno vam preokrene život dok pokušavate kako biste povratili kontrolu nad svojim računima.
S tvrtkama poput PayPala, Googlea i drugih koje se kao uvjet prebacuju na 2FA, trebat će vam 2FA rješenje. Nemojte se zadovoljavati rješenjima temeljenim na SMS-u ili e-pošti, jednostavno ih se previše lako zaobići. I aplikacije za provjeru autentičnosti i hardverski sigurnosni ključevi nude snažnu 2FA sigurnost, a nakon tog početnog procesa postavljanja brzo postaje besprijekoran dio vaših mrežnih sigurnosnih navika.