Drošības pulkstenis: kā netikt izslēgtam ar divu faktoru autentifikāciju | max virpuļi

Drošības rīki bieži rada zināmu satraukumu. Kas notiek, ja es pazaudēju savu paroli? Vai ja antivīruss izdzēš manas lietas? Divfaktoru autentifikācijas parādīšanās ir radījusi jaunu saikni ar pazīstamu satraukumu: kas notiek, ja es nevaru izmantot savu otro faktoru un tikt izslēgtam no sava konta?

Džeremijs no Keiptaunas rakstīja ar dažām bažām par 2FA. Esmu rediģējis viņa vēstuli īsuma dēļ.

Dārgais Kungs, Es neesmu pārāk tehnisks un vēlos divu faktoru autentifikācijas ierīci, kas nerada sarežģītas komplikācijas iestatot vai piekļūstot tam, kā jūs saskārāties ar Yubikey. Vislielākās bailes ir tas, ka es sevi izslēdzu no sava Gmail.

Vai ir labāk pirkt divas atslēgas, vienu no tām - kā rezerves atslēgu?

Ar cieņu

Džeremijs

Ja jūs vēl neesat dzirdējis par divu faktoru autentifikāciju vai 2FA, šeit ir vissvarīgākais: 2FA ir otrā darbība, kuru veicat pēc paroles ievadīšanas, lai pārbaudītu savu identitāti. Ideja ir tāda, ka uzbrucējam varētu būt jūsu parole, taču viņiem nebūs jūsu drošības atslēgas, autentifikācijas lietotnes vai SMS koda. 2FA ir visa teorija un prakse, ko es šeit neiedziļināšos, bet es jūs mudinu iespējot un iespējot 2FA, kur vien varat.

Džeremijs ir labā kompānijā, uztraucoties par 2FA. Daudzi tehniski lietpratīgi un drošības zinoši cilvēki, kurus es pazīstu, turpina izvairīties no divu faktoru aizsardzības, jo baidās tikt izslēgti un, iespējams, uz visiem laikiem zaudēt piekļuvi savam saturam. Tas rada patiesas un pamatotas bažas.

Lasītāj, tas notika ar mani

Patiesībā es iepriekš esmu bijis izslēgts no 2FA aizsargātajiem kontiem. Vairāk nekā vienreiz. Dienā viens no pirmajiem uzņēmumiem, kas piedāvāja divu faktoru autentifikāciju, bija Blizzard. World of Warcraft spēlētāji ieguva piekļuvi vispirms, jo viņiem vajadzēja aizsargāt grūti nopelnītos laupījumus. Jūs varat atsaukt atmiņā cilvēkus, kas staigā apkārt, izmantojot WoW atslēgu piekariņus, kuri LCD displejā parādīja mainīgos ciparus. Blizzard vēlāk uzlaboja pieredzi mobilajā lietotnē un izplatīja 2FA visiem Battle.net lietotājiem.

Tā kā esmu paranoiķis, es savā Blizzard kontā ieslēdzu 2FA, izmantojot speciālo lietotni Blizzard Authenticator. Es uzreiz aizmirsu, ka esmu to izdarījis, un dažos mēnešos izdzēsu lietotni no sava tālruņa un aizmirsu paroli. Par laimi Blizzard nodrošina izcilu klientu apkalpošanu. Pēc dažām e-pasta vēstulēm ar viņu dzīvespriecīgajiem darbiniekiem pāris dienu laikā es atgriezos tiešsaistē. Tomēr tas joprojām bija nervozs. Es biju tik pieradis, ka es pats spēju rīkoties ar savu paroli. Tiek atiestatīta ideja, ka šī procesa ietvaros man bija jāiesaistās ar reālu dzīvo cilvēku, kas bija ļoti dīvains.

Kopš tā laika esmu pieradis pie šīs pieredzes, kā arī esmu iemācījies būt gudrāks par sava autentifikatora drošu saglabāšanu. Man joprojām ir izdevies vairākkārt tikt bloķētam no Battle.net, kā arī no Steam un citiem pakalpojumiem.

Atkarībā no tā, kā uzņēmums konfigurē savu 2FA piedāvājumu, jums var nākties liekties atpakaļ, lai atgūtu kontroli pār savu kontu. Tik nepatīkami, kā izklausās, tas faktiski nozīmē, ka pakalpojums darbojas. Ja jums nav autentifikatora, jums vajadzētu izlēkt daudz stīpu. Ja jums būtu viegli, tad sliktam puisim - viegli.

Reiziniet faktorus

Par laimi, ir vienkāršs veids, kā novērst 2FA bloķēšanu: izmantojiet vairākas 2FA opcijas. Tie var darboties kā rezerves kopija, ja jums nav piekļuves citai 2FA opcijai. Piemēram, es savos Google kontos izmantoju YubiKey 5 NFC, taču es tālrunī arī iespējoju pieskaršanos verifikācijas push paziņojumam. Ja man nav mana Yubikey, es to izmantoju.

Pievienojot vairāk daudzfaktoru ierīces, palielinās risks, ka jūsu konts var tikt apdraudēts. Tagad ir divi veidi, kā iekļūt savā kontā, nevis tikai viens. Es uzskatu, ka ieguvumi no tā, ka netiksit izslēgts no jūsu konta, ievērojami pārsniedz ļoti maz ticamo scenāriju, kurā jūs esat ieskauts un perp ņem jūsu maku, atslēgas un drošības atslēgu, kā arī jums ir jāizraksta sava parole.

Google Titan drošības atslēgas komplekts.

Vislabākais apstiprinājums par vairāk nekā vienas 2FA ierīces izmantošanu nāk no Google, kas savā Titan Key komplektā nodrošina divas atslēgas. Tie tika īpaši izveidoti, lai darbotos ar Google uzlaboto aizsardzības sistēmu, kurai nepieciešams reģistrēt divas atsevišķas drošības atslēgas. Jūs katru dienu lietojat vienu, bet otru - ārkārtas gadījumiem. Tātad, lai tieši atbildētu uz Džeremija jautājumu: Nav slikta ideja, ja jūsu kontam ir divas atslēgas.

Diemžēl ne visās vietnēs ir atļauts reģistrēt vairāk nekā vienu daudzfaktoru opciju. Ja tas tā ir, es iesaku izmantot 2FA opciju, kas, jūsuprāt, jums ir visuzticamākā.

Autentifikatora Arsenāla veidošana

Ja izvēlaties iegādāties vairākas aparatūras 2FA atslēgas, es iesaku vai nu mūsu redaktoru Choice Security Key by Yubico, vai arī Titan Key paketi no Google. Yubico drošības atslēga maksā tikai 20 USD vai 36 USD par diviem. Google pakete maksā 50 USD, un tajā ietilpst divas ierīces: viena USB atslēga un ar akumulatoru darbināms Bluetooth dongle.

Yubico drošības atslēga

Gadiem ilgi izplatītākais 2FA izmantošanas veids bija vienreizēju kodu nosūtīšana uz tālruni, izmantojot īsziņu. Jums, iespējams, tas joprojām ir jāizmanto savā bankā, jo finanšu iestādes mēdz lēnāk pieņemt jaunas tehnoloģijas. Interesanti, ka Google joprojām pieprasa iespējot SMS kodus, ja vēlaties izmantot citas 2FA sistēmas. Uz Džeremija jautājumu tas nozīmē, ka, dodoties reģistrēt jauno drošības atslēgu Google, jums jau būs jāiespējo otrā 2FA opcija SMS kodu veidā.

Vēl viena iespēja ir izmantot Google Authenticator vai līdzīgu lietotni, piemēram, LastPass Authenticator. Šīs mobilās lietotnes ģenerē sešciparu piekļuves kodus ik pēc 30 sekundēm. Vienkārši atveriet lietotni, nokopējiet kodu un atrodaties. Tie ir īpaši noderīgi kā 2FA rezerves opcija, jo lietotne darbojas pat bez mobilā pakalpojuma vai Wi-Fi.

Ja šie visi šķiet satraucoši, varat izmantot manu vēlamo metodi: fiziskos rezerves kodus. Iespējams, ka jūs tos redzējāt, veidojot kontus vai reģistrējoties 2FA. Tas ir vairāku numuru režģis, kuru varat izmantot paroles un 2FA marķieru vietā. Tie tiek ģenerēti tikai vienu reizi, un, ja jūs tos atkārtoti ģenerējat, vecie tiek izdzīti. Ideālā gadījumā tos nostiprināsit šifrētā failu glabātuvē vai, vēl labāk, drošā vietā ievietotā papīra gabalā.

Izveidojot uzlabotās aizsardzības programmu, Google izvēlējās vairākas aparatūras atslēgas, jo visas pārējās iepriekš uzskaitītās iespējas, ieskaitot rezerves kodus, iespējams, varēja notvert ar labi izveidotu pikšķerēšanas lapu. Drošības atslēgas viltošana ir daudz grūtāka.

• Divfaktoru autentifikācija: kam tā ir un kā to iestatīt Divfaktoru autentifikācija: kam tā ir un kā to iestatīt
• Kāpēc jūs neizmantojat divu faktoru autentifikāciju? Kāpēc jūs neizmantojat divu faktoru autentifikāciju?
• Google: pieaug pikšķerēšanas uzbrukumi, kas var pārspēt divfaktorus, un pieaug Google: pikšķerēšanas uzbrukumi, kas var pārspēt divfaktorus, pieaug

Ņemiet vērā, ka ne visas vietnes atbalsta visa veida autentifikāciju. Piemēram, LastPass ļauj izmantot drošības atslēgas, bet tikai tās atslēgas, kas atbalsta vienreizējās piekļuves kodus. Izpētīšana, kurus autentifikatorus izmantot, bieži ir atkarīga no atbalstītajām opcijām.

Jūsu pirmie soļi divfaktoru autentifikācijai

Tas nozīmē, ka iesaku visiem, kas ir 2FA jaunieši, vispirms izmēģināt tos ar sistēmu, kas nav drošības atslēgas. Ja jūs neesat pieradis pie šīs otrās lietas, lai pieteiktos, jūs, visticamāk, sajauksities ar kaut ko tik nepazīstamu kā drošības atslēga. Tā vietā mēģiniet izmantot push paziņojumus, kodus, kas nosūtīti, izmantojot īsziņu, Duo vai Google Authenticator (vai līdzīgu kodu ģeneratoru). Tie izmanto jau pieejamās ierīces, tāpēc par iebraukšanu nav jāmaksā. Kad esat iepazinies ar 2FA darbību un tas sāk justies kā otrais raksturs, varat padomāt par naudas atslēgas (-u) samazināšanu.

Drošības līdzeklis ir vērtīgs tikai tad, ja jūs to faktiski izmantojat. Tātad ieslēdziet 2FA, bet dodiet sev atļauju ar to spēlēties un atrast metodi, kas jums der.