Kilde: Joe Maring / Android Central
Du burde bruke tofaktorautentisering på hver konto som gir deg muligheten. Det er ingen bedre måte å holde kontoen din sikker på, og uansett hvem du er, bør du ønske at alle kontoene dine skal være så sikre som mulig. Det spiller ingen rolle hvilken telefon du bruker - 2FA fungerer med en billig Android-telefon, den beste Android-telefon, eller en iPhone. Du har hørt alt dette før.
Alle tofaktormetoder er ikke skapt like. Som alle andre brukertilpassede sikkerhetstiltak må du bytte noe bekvemmelighet for beskyttelse, og de sikreste metodene for 2FA er også de minst praktiske. Omvendt er de mest praktiske metodene også minst sikre.
VPN-tilbud: Lifetime-lisens for $ 16, månedlige planer til $ 1 og mer
Vi skal se på de forskjellige måtene du kan bruke tofaktorautentisering og diskutere fordeler og ulemper med hver.
Unngå for enhver pris, selv om det fortsatt er bedre enn ingenting
4. SMS-basert tofaktorautentisering
Kilde: Jeramy Johnson / Android Central
Å få en tekstmelding med en tofaktorkode er den mest populære måten å sikre en online konto. Dessverre er det også den verste måten.
SMS-basert 2FA er enkelt og praktisk. Det er heller ikke veldig sikkert.
Du oppgir telefonnummeret ditt når du registrerer deg for en konto eller hvis du går tilbake og aktiverer 2FA på et senere tidspunkt, og etter at nummeret er bekreftet, brukes det til å sende deg en kode når som helst du trenger for å bekrefte at du virkelig er du. Det er super enkelt og super praktisk, noe som betyr at mange bruker det, og mange selskaper tilbyr det som det eneste verktøyet for å sikre seg en konto.
Brukervennlighet og bekvemmelighet er gode ting, men ingenting annet om SMS er bra. SMS ble aldri designet for å være et sikkert kommunikasjonsmiddel, og siden det er en industristandard, til og med en app som Signal det gjør tilby kryptert og sikker melding sender fortsatt SMS-meldinger som ren tekst. Nathan Collier, en senior etterretningsanalytiker for malware ved Malwarebytes, beskriver SMS som dette:
SMS-tekstmeldinger, som sendes og lagres på servere i ren tekst, kan avskjæres under transitt. Dessuten er det mulig at SMS-meldinger sendes til feil nummer. Og når meldinger når riktig nummer, blir det ikke varslet fra mottakeren om meldingen ble lest eller til og med mottatt.
Et større problem er at transportører kan (og har vært) lurt til å autorisere et nytt SIM-kort ved hjelp av telefonnummeret til noen andre. Hvis noen egentlig ønsket å få tilgang til bankkontoen din eller bestille en haug med ting fra Amazon ved hjelp av kredittkortet ditt, alt de trenger å gjøre er å overbevise noen hos operatøren din at de er deg, du har mistet telefonen din, og du trenger at nummeret ditt flyttes til et nytt SIM-kort som de tilfeldigvis er holder.
Du bør bare sannsynligvis bruke dette
3. Authenticator-apper
Kilde: Android Central
Autentiseringsapper som Google Authenticator eller Authy tilbyr en stor forbedring i forhold til SMS-basert 2FA. De jobber med det som kalles Tidsbaserte engangspassord (TOTP) som et program på telefonen kan generere ved hjelp av en kompleks algoritme uten noen nettverksforbindelse. Et nettsted eller en tjeneste bruker samme algoritme for å sikre at koden er riktig.
Authenticator-apper er bedre enn SMS for 2FA, men de er ikke idiotsikre.
Siden de jobber frakoblet, er ikke TOTP-stil 2FA de samme problemene som å bruke SMS, men det er ikke uten sine egne feil. Sikkerhetsforskere har vist at det er mulig å fange opp og manipulere dataene du sender når du går inn i TOTP på et nettsted, men det er ikke lett.
Det virkelige problemet kommer fra phishing. Det er mulig å bygge et phishing-nettsted som ser ut og fungerer akkurat som den virkelige tingen og til og med går langs legitimasjon du oppgir, som passordet ditt og TOTP generert av en autentiseringsapp, slik at du kan logge på det virkelige service. Det logger seg også på samtidig og kan oppføre seg som om det var deg uten at tjenesten du bruker vet forskjellen. De riktige legitimasjonene ble tross alt gitt.
En annen ulempe er at det kanskje ikke er lett å få tak i kodene du trenger hvis du mister telefonen. Noen autentiseringsapper som Authy jobbe på tvers av enheter og bruk et sentralt passord for å sette opp ting slik at du kan være i gang igjen i nr tid, og de fleste selskaper vil tilby et sett med sikkerhetskopikoder du kan beholde for tider når alt går sør. Siden disse dataene også sendes over internett, svekker det effektiviteten ved å bruke TOTP, men gir brukerne større bekvemmelighet.
Trygt og praktisk, men ikke vanlig
2. Push-basert 2FA
Kilde: Google
Noen tjenester, spesielt Apple og Google, kan send en melding til telefonen under et påloggingsforsøk. Denne meldingen forteller deg at noen prøver å logge inn på kontoen din, også kan gi en omtrentlig plassering, og ber deg om å godkjenne eller avvise forespørselen. Hvis det er deg, trykker du på en knapp, og det fungerer bare.
Et varsel for 2FA er veldig enkelt og veldig praktisk. Ikke mist telefonen din skjønt.
Push-basert 2FA forbedrer SMS 2FA og TOTP-autentisering på et par måter. Det er enda mer praktisk fordi alt fungerer gjennom et standard varsel på telefonen din - alt du trenger å gjøre er å lese og trykke. Det er også mye mer motstandsdyktig mot phishing og har så langt vist seg å være veldig "hack" motstandsdyktig. Si aldri aldri, skjønt.
Push-basert 2FA forstørrer også noen av SMS- og TOTP-ulempene: du må være online gjennom faktiske data tilkobling (tale- og tekstcelleplaner fungerer ikke), og du må holde den rette enheten for å få meldingen. Det er heller ikke veldig standardisert, så du kan forvente å bruke en påloggingsprompt på Google Pixel for å autentisere de andre kontoene dine.
Utenfor disse to veldig virkelige ulempene, har push-basert 2FA vist seg å være sikker og praktisk. Det kommer også til å faktorisere Googles fremtidige planer om å håndheve 2FA for Google-kontoen din fremover.
Vinneren! Men også irriterende!
1. Maskinvarebasert 2FA
Kilde: Jerry Hildenbrand / Android Central
Ved hjelp av et eget stykke maskinvare som en autentiseringsenhet eller en U2F sikkerhetsnøkkel er den beste måten å sikre en hvilken som helst online konto. Det er også det minst praktiske og minst populære.
Du konfigurerer den ved hjelp av maskinvaren, og når du vil logge på fra en ny enhet eller etter en periode som er angitt av en kontoadministrator, må du produsere den samme enheten for å komme inn igjen. Det fungerer ved at enheten sender en signert utfordringskode tilbake til serveren som er spesifikk for nettstedet, kontoen din og selve enheten. Så langt har U2F vært phish-proof og hack-proof. Igjen, si aldri aldri.
Å bruke en U2F-nøkkel er den minst praktiske, men sikreste måten å utføre tofaktorautentisering på. Det er sannsynligvis ikke noe for deg fordi det er en PITA.
Du kan vanligvis konfigurere mer enn én enhet på samme konto, slik at du ikke mister tilgang hvis du mister sikkerheten nøkkel, men det betyr fortsatt at du må ha den nøkkelen med deg hver gang du vil logge på et nettsted eller service. Jeg bruker en U2F-nøkkel for å sikre Google-kontoene mine, og hver 12. time må jeg gi nøkkelen for å komme tilbake til Google Enterprise-kontoen min for jobb. Det betyr at jeg har en nøkkel i skrivebordsskuffen min, en nøkkel på nøkkelringen og en nøkkel i en konvolutt som en venn oppbevarer for meg i en nødsituasjon.
Kilde: Jerry Hildenbrand
Vanligvis kan du også sette opp en sikkerhetskopimetode på 2FA hvis du bruker en nøkkel, og Google tvinger deg til å gjøre det. Dette er bra for enkelhets skyld, men det kompromitterer også sikkerheten til kontoen din fordi de mindre sikre metodene fortsatt er levedyktige måter for deg - eller noen andre - å komme inn igjen.
En annen ulempe ved å bruke et maskinvaretoken som en sikkerhetsnøkkel er kostnad. Å bruke SMS, eller en autentiseringsapp eller push-basert 2FA er gratis. Å bruke en sikkerhetsnøkkel du må kjøpe en, og de kan variere fra $ 20 til $ 100 hver. Fordi du virkelig burde ha minst en sikkerhetskopinøkkel hvis du går denne ruten, kan dette legge opp. Endelig kan det være klumpete å bruke en sikkerhetsnøkkel med telefonen. Du finner nøkler som fungerer via USB, NFC og til og med Bluetooth, men ingen metode er 100% pålitelig 100% av tiden når du bruker en nøkkel med en telefon.
Hva er best?
Kilde: Joe Maring / Android Central
Alle og ingen av dem.
Enhver type 2FA på en konto er bedre enn ingen i det hele tatt, og til og med SMS-basert 2FA betyr at du er mer beskyttet enn du ville vært hvis du bare stolte på et passord. Hvis du har tålmodighet, et program som Googles avanserte beskyttelsesprogram kan gjøre livet ditt på nettet veldig sikker og nesten bekymringsfri. Men du må veie bekvemmeligheten opp mot sikkerheten.
Personlig ønsker jeg SMS-basert 2FA ville bare forsvinne fordi selv jeg kan hacke det. Det betyr at du kan også hvis du er villig til å gjøre en litt lesing og litt kopiering. Verre, det betyr at hvem som helst kan hacke det, og det er mennesker der ute som vil ta seg tid og energi til å prøve det på intetanende offer de kan finne.
Til slutt må du innse at du er et mål for online hackere, selv om du ikke er politiker eller filmstjerne. Dette betyr at du virkelig trenger å ta det ekstra trinnet eller to for å beskytte dine elektroniske kontoer og forhåpentligvis vite det litt mer om hvordan de forskjellige metodene for tofaktorautentisering fungerer kan hjelpe deg med å gjøre det rette beslutning.
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Fishing Life er et enkelt spill om fiske, og gir deg en kort frist fra de mange elendighetene i verden. Strekk den støpearmen og gjør deg klar til å slappe av seriøst i dette avslappede spillet.
Google I / O brakte en tidevannsbølge av nye funksjoner og forbedrede evner til nesten alle siloer i Googles tjenester. Mens store endringer var lette å få øye på i år, kan mange mindre justeringer og tillegg gli under radaren hvis du ikke var oppmerksom. Disse Google I / O-kunngjøringene er små seire som kan gi store konsekvenser for millioner av brukere.
Google I / O ble fylt med nye detaljer om en rekke selskapets produkter og tjenester, men blant de mest interessante var hvor stor betydning bilsektoren har for sine fremtidige planer. Den neste bilen du kjører kan ha Googles avtrykk i seg hvis pipen blir en større trend.
Hvis du har en Samsung Galaxy S20 FE og planlegger å henge på denne enheten de neste årene, vil du være sikker på at den er beskyttet fra alle vinkler. Dette er de beste skjermbeskytterne for Galaxy S20 FE som du kan få i dag.