Uwierzytelnianie dwuskładnikowe (2FA) wydawało się być czymś zarezerwowanym dla filmów szpiegowskich lub thrillerów politycznych – coś, czego Ethan Hunt z Mission Impossible musi użyć, aby uzyskać dostęp do swojego zadania, zanim ulegnie samozniszczeniu. Ale tak już nie jest. Praktycznie każdy z nas używa 2FA na co dzień, niezależnie od tego, czy jest to biometryczne 2FA na naszych urządzeniach (odciski palców lub rozpoznawanie twarzy), czy zwykłe jednorazowe hasła uzyskiwane za pośrednictwem SMS-ów lub aplikacji uwierzytelniającej.
Nasze konta są zbyt cenne, by hakerzy mogli je ignorować. Nawet zhakowane konto e-mail może być odskocznią do uzyskania dostępu do kont finansowych i okradzenia Cię z ciężko zarobionych pieniędzy, jednocześnie tworząc dla Ciebie koszmarny scenariusz. Chociaż filmy przedstawiają hakera w bluzie z kapturem, który wściekle przelatuje palcami po klawiaturze, w rzeczywistości zgodnie z raportem Verizon Data Breach Investigations z lat 2022-2023 zdecydowana większość naruszeń bezpieczeństwa (85%) dotyczy czynnika ludzkiego. 2FA to najlepszy sposób na walkę z tego rodzaju atakiem.
- Najlepsze usługi VPN2021-2022
- Aplikacja Norton Antivirus pozwala teraz zarabiać krypto - oto, co możesz kopać
- Najlepsze oferty laptopów w czerwcu2021-2022
Niezależnie od tego, czy uważasz, że jest to dla Ciebie poważny problem, czy nie, wiele firm przechodzi na 2FA jako wymagany środek bezpieczeństwa, a Google jest jednym z ostatnich, który ogłosił, że będzie wymagał 2FA w najbliższej przyszłości.
Niedawno omówiliśmy, dlaczego musisz przestać używać swojego numeru telefonu do uwierzytelniania dwuskładnikowego, jeśli to przegapiłeś i nie jesteś pewien, dlaczego to taki zły pomysł, przeczytaj go i wróć, teraz pokażemy Ci, jak zrobić 2FA we właściwy sposób.
Co to jest uwierzytelnianie dwuskładnikowe?
2FA jest najbardziej znaną i powszechnie stosowaną formą uwierzytelniania wieloskładnikowego (MFA), która, jak sama nazwa wskazuje, opiera się na wielu czynnikach w celu weryfikacji Twojej tożsamości. Klasycznym przykładem jest otrzymanie pieniędzy z bankomatu, potrzebujesz karty oraz kodu PIN, aby uzyskać dostęp do konta.
Ten przykład obejmuje dwie z trzech kategorii MFA: „co masz” (obiekt fizyczny) i „co wiesz” (hasło lub pytanie zabezpieczające). Trzecia opcja to „jaki jesteś”, czyli metoda biometryczna, taka jak skaner linii papilarnych lub rozpoznawanie twarzy. W przeciwieństwie do nawet niezwykle złożonego hasła, eliminuje to możliwość włamania się na Twoje konto bez fizycznego dostępu do Ciebie.
We wspomnianym wyżej ogłoszeniu 2FA Google odniósł się do haseł jako „największego pojedynczego zagrożenia dla bezpieczeństwa online”. Na razie hasła są nadal w dużej mierze częścią procesu 2FA dla większości ludzi. Chodzi jednak o to, że są one słabym punktem w łańcuchu, który należy wzmocnić przynajmniej jednym dodatkowym czynnikiem. Przyjrzyjmy się więc najlepszym opcjom 2FA.
Uwierzytelnianie dwuskładnikowe oparte na aplikacji
Podobnie jak w przypadku prawie wszystkiego, istnieją rozwiązania aplikacji do radzenia sobie z 2FA, nazywane są one aplikacjami uwierzytelniającymi. Na rynku są dziesiątki, ale kilka, które polecam to Authy, Microsoft Authenticator, LastPass i 1Password. Google Authenticator to kolejna popularna opcja, ale nie podoba mi się, że nie wymaga ani hasła, ani logowania biometrycznego, jest to potencjalna luka w zabezpieczeniach procesu, który próbuje je wyeliminować.
Authy to dedykowana aplikacja uwierzytelniająca i jest wyraźnie używana do logowania 2FA. Microsoft Authenticator, LastPass i 1Password to menedżery haseł, które zawierają składnik uwierzytelniający. Jeśli potrzebujesz menedżera haseł lub już korzystasz z jednego z nich, poszedłbym tą drogą, ponieważ dzięki temu proces 2FA jest tak bezproblemowy, jak to tylko możliwe.
Po wybraniu aplikacji uwierzytelniającej i zainstalowaniu jej możesz rozpocząć konfigurowanie 2FA dla swoich kont. Będzie to najbardziej żmudna część procesu, ponieważ obejmuje odwiedzanie dowolnej usługi lub witryny, z której korzystasz, która oferuje obsługę 2FA jeden po drugim. Podejrzewam, że jest to krok, który zniechęca większość ludzi do korzystania z 2FA, ale ostatecznie jest to warte dla twojego bezpieczeństwa online. A kiedy już masz 2FA i działa, nie jest to problem, za który niektórzy to uważają.
Podczas początkowej konfiguracji zeskanujesz kod QR lub w niektórych przypadkach wprowadzisz kod, a następnie ta usługa zostanie zapisana w aplikacji uwierzytelniającej. Zobaczysz listę swoich kont, a obok nich zestaw sześciu cyfr i odliczający czas. Co 30 sekund dla każdego generowany jest nowy losowy sześciocyfrowy kod. Są to hasła jednorazowe (TOTP) oparte na czasie, podobne do tych, które można otrzymać za pośrednictwem wiadomości SMS lub e-mail, ale nie wymagają połączenia z Internetem i nie mogą zostać przechwycone przez nikogo.
Teraz w większości przypadków nie będziesz musiał wprowadzać kodu TOTP za każdym razem, gdy się logujesz, chyba że chcesz mieć taki poziom bezpieczeństwa. Zazwyczaj wymagane jest, aby używać go tylko podczas logowania na nowym urządzeniu lub po upływie określonego czasu, zwykle 30 dni, ale witryny i usługi będą się różnić w tym zakresie.
Uwierzytelnianie dwuskładnikowe oparte na sprzęcie
Teraz, podczas gdy mobilne uwierzytelnianie jest zdecydowanie czynnikiem wygodnym. W dwuletnim studium przypadku przeprowadzonym przez Google rozwiązanie sprzętowe było czterokrotnie szybsze, mniej podatne na wsparcie i bezpieczniejsze. Sprzętowe rozwiązanie MFA/2FA wygląda jak dysk flash USB. Są dostępne w różnych kształtach i rozmiarach, dzięki czemu obsługują dowolne urządzenia z portami USB typu A, USB typu C i Lightning. Niektóre nowoczesne opcje będą również oferować obsługę bezprzewodową przez NFC lub Bluetooth.
Za pomocą tych kluczy bezpieczeństwa po prostu podłączasz je do urządzenia lub przesuwasz po chipie NFC na urządzeniu i służy jako metoda 2FA. To jest kategoria MSZ „co masz”. Łatwo jest zobaczyć, jak będzie to szybsze niż otwieranie aplikacji uwierzytelniającej, znajdowanie odpowiedniego kodu TOTP, a następnie wpisywanie go przed zresetowaniem.
Podobnie jak aplikacje uwierzytelniające, istnieje wiele opcji dotyczących sprzętu 2FA. Najbardziej znanym (i tym, z którym Google skorzystał dla ponad 50 000 pracowników) jest YubiKey. Sam Google ma swój klucz bezpieczeństwa Titan, a Thetis jest kolejnym silnym graczem na rynku, ale wszystkie te opcje mają certyfikat FIDO U2F, otwarty standard stworzony przez Google i Yubico (firmę stojącą za YubiKey) w 2007 roku w celu promowania szerokiego stosowania bezpiecznych uwierzytelnianie.
Podstawowy proces konfiguracji jest zasadniczo identyczny z metodą mobilnego uwierzytelnienia, musisz przejść do każdej usługi i postępować zgodnie z instrukcjami konfiguracji 2FA. Zamiast skanować kod QR i otrzymywać kody TOTP, po wyświetleniu monitu podłączysz lub przeciągniesz klucz bezpieczeństwa, a następnie zostanie on zarejestrowany w tej usłudze. Po wyświetleniu monitu w przyszłości wystarczy ponownie podłączyć lub przesunąć klucz bezpieczeństwa i dotknąć kontaktu. Jeśli nie masz pewności, jakich usług i aplikacji używasz, które obsługują klucz bezpieczeństwa, możesz zapoznać się z tym przydatnym katalogiem firmy Yubico.
Najczęstszym problemem związanym z kluczem bezpieczeństwa jest to, co zrobić, jeśli go zgubisz lub się zepsuje. Istnieje kilka opcji. Ten, który stosuje Google i zaleca Yubico, to utrzymywanie dwóch kluczy bezpieczeństwa, jednego, który jest bezpiecznie przechowywany, a drugiego, który masz przy sobie. Z wyjątkiem niektórych małych kluczy bezpieczeństwa, które mają być na stałe podłączone do urządzeń znajdujących się w bezpiecznym miejscu, wszystkie klucze bezpieczeństwa mają otwór umożliwiający ich przymocowanie do breloczka.
Oznacza to, że za każdym razem, gdy rejestrujesz się w usłudze 2FA w nowej usłudze, musisz uruchomić oba klucze bezpieczeństwa, ponieważ rejestrujesz się na fizycznym sprzęcie, a nie na koncie, ale ponownie po początkowej konfiguracji nie powinno to być tak częste jak wydanie. Nie są one strasznie drogie, na przykład YubiKey 5 NFC kosztuje 45 USD, a klucz bezpieczeństwa Thetis FIDO2 BLE jest dostępny za mniej niż 30 USD i nie powinieneś ich wymieniać przez lata, więc nie jest to złe rozwiązanie.
Alternatywą jest to, że musisz zachować kody zapasowe dostarczane przez wszystkie witryny i usługi, w których używasz funkcji 2FA. Można je wydrukować i przechowywać w bezpiecznej lokalizacji lub zaszyfrować i przechowywać pliki tekstowe w bezpiecznym miejscu w zabezpieczonym hasłem i zaszyfrowanym folderze lub na bezpiecznie przechowywanym dysku flash.
Przegląd
Niezależnie od tego, czy zdecydujesz się na rozwiązanie 2FA oparte na aplikacji, czy na sprzęcie, nie ma wątpliwości, że początkowa konfiguracja jest jedną z największych przeszkód, biorąc pod uwagę ogromną liczbę witryn, usług i aplikacji, z których korzysta wielu z nas. Łatwiej mi było po prostu robić 3-5 dziennie, dopóki nie przebrnę przez wszystkie, zamiast iść na pojedynczą sesję rejestracyjną do maratonu.
Po zakończeniu tego wstępnego procesu jest to dość bezbolesny dodatkowy krok, który oferuje o wiele większe bezpieczeństwo niż samo hasło lub rozwiązanie 2FA oparte na wiadomościach SMS lub e-mail. Możesz trochę irytować dodatkowy czas spędzany od czasu do czasu na wpisywanie kodu lub podłączanie klucza bezpieczeństwa, ale blednie w porównaniu z bólem głowy związanym z koniecznością radzenia sobie z kimś, kto kradnie twoje dane uwierzytelniające i potencjalnie wywraca twoje życie do góry nogami, gdy próbujesz odzyskać kontrolę nad swoimi kontami.
Ponieważ firmy takie jak PayPal, Google i inne przechodzą na 2FA jako wymóg, będziesz potrzebować rozwiązania 2FA. Nie zadowalaj się rozwiązaniami opartymi na wiadomościach SMS lub e-mail, po prostu zbyt łatwo je obejść. Zarówno aplikacje uwierzytelniające, jak i sprzętowe klucze bezpieczeństwa zapewniają rzeczywiste, silne zabezpieczenia 2FA, a po wstępnym procesie konfiguracji szybko stają się integralną częścią Twoich nawyków związanych z bezpieczeństwem online.