Źródło: Joe Maring / Android Central
Powinieneś używać uwierzytelnianie dwuskładnikowe na każdym koncie, które daje taką możliwość. Nie ma lepszego sposobu na zapewnienie bezpieczeństwa konta i bez względu na to, kim jesteś, powinieneś chcieć, aby wszystkie konta były tak bezpieczne, jak to tylko możliwe. Nie ma również znaczenia, którego telefonu używasz - 2FA współpracuje z tanim telefonem z Androidem najlepszy telefon z Androidemlub iPhone'a. Słyszałeś już o tym wszystkim.
Jednak nie wszystkie metody dwuskładnikowe są sobie równe. Jak każdy inny środek bezpieczeństwa dla użytkownika, musisz wymienić wygodę na ochronę, a najbezpieczniejsze metody 2FA są również najmniej wygodne. I odwrotnie, najwygodniejsze metody są jednocześnie najmniej bezpieczne.
Oferty VPN: dożywotnia licencja za 16 USD, plany miesięczne za 1 USD i więcej
Przyjrzymy się różnym sposobom korzystania z uwierzytelniania dwuskładnikowego i omówimy zalety i wady każdego z nich.
Unikaj za wszelką cenę, choć nadal jest to lepsze niż nic
4. Uwierzytelnianie dwuskładnikowe oparte na wiadomościach SMS
Źródło: Jeramy Johnson / Android Central
Otrzymanie wiadomości tekstowej z kodem dwuskładnikowym to najpopularniejszy sposób zabezpieczenia konta online. Niestety to też najgorszy sposób.
2FA oparte na SMS-ach jest łatwe i wygodne. Nie jest też zbyt bezpieczny.
Podajesz swój numer telefonu podczas zakładania konta lub jeśli wrócisz i włączysz 2FA w późniejszym czasie, i po zweryfikowaniu numeru jest on używany do wysyłania kodu za każdym razem, gdy musisz potwierdzić, że naprawdę jesteś ty. Jest to bardzo łatwe i super wygodne, co oznacza, że korzysta z niego wiele osób, a wiele firm oferuje go jako jedyny sposób zabezpieczenia konta.
Łatwość obsługi i wygoda to wspaniałe rzeczy, ale nic więcej w SMS-ach nie jest dobre. SMS nigdy nie został zaprojektowany jako bezpieczny środek komunikacji, a ponieważ jest to standard branżowy, nawet aplikacja taka jak Signal that robi oferują zaszyfrowane i bezpieczne wiadomości nadal wysyła wiadomości SMS jako zwykły tekst. Nathan Collier, starszy analityk ds. Złośliwego oprogramowania w Malwarebytes, opisuje takie wiadomości SMS:
Wiadomości tekstowe SMS, które są wysyłane i przechowywane na serwerach w postaci zwykłego tekstu, mogą być przechwytywane podczas przesyłania. Ponadto istnieje możliwość wysyłania wiadomości SMS na zły numer. A kiedy wiadomości osiągną prawidłowy numer, nie ma powiadomienia od odbiorcy, czy wiadomość została przeczytana, czy w ogóle odebrana.
Większy problem polega na tym, że przewoźnicy mogą (i byłem) oszukali, aby autoryzować nową kartę SIM przy użyciu numeru telefonu innej osoby. Jeśli ktoś naprawdę chcieli uzyskać dostęp do Twojego konta bankowego lub zamówić kilka rzeczy z Amazon za pomocą karty kredytowej, wystarczy, że przekonają ktoś u twojego operatora, że to ty, zgubiłeś telefon i potrzebujesz przenieść swój numer na nową kartę SIM, którą tak się stało trzymać.
Powinieneś po prostu tego użyć
3. Aplikacje uwierzytelniające
Źródło: Android Central
Aplikacje uwierzytelniające, takie jak Google Authenticator lub Authy, oferują dużą poprawę w stosunku do 2FA opartej na SMS-ach. Pracują przy użyciu tego, co się nazywa Hasła jednorazowe oparte na czasie (TOTP), które aplikacja w telefonie może wygenerować za pomocą złożonego algorytmu bez wszelkiego rodzaju połączenia sieciowe. Witryna lub usługa używa tego samego algorytmu, aby upewnić się, że kod jest poprawny.
Aplikacje uwierzytelniające są lepsze niż SMS dla 2FA, ale nie są niezawodne.
Ponieważ działają one w trybie offline, 2FA w stylu TOTP nie ma takich samych problemów, jak korzystanie z SMS-ów, ale nie jest pozbawione własnego zestawu wad. Badacze bezpieczeństwa pokazali, że tak jest można przechwycić i manipulować danymi, które wysyłasz, gdy wchodzisz do TOTP na stronie internetowej, ale nie jest to łatwe.
Prawdziwy problem pochodzi z phishingu. Możliwe jest zbudowanie witryny phishingowej, która wygląda i działa tak jak prawdziwa, a nawet przechodzi przez dane uwierzytelniające, które podasz, takie jak hasło i TOTP wygenerowane przez aplikację uwierzytelniającą, dzięki czemu możesz zalogować się do prawdziwego usługa. Loguje się również w tym samym czasie i może działać tak, jakbyś to Ty, bez usługi, z której korzystasz, wiedząc o różnicy. W końcu podano odpowiednie dane uwierzytelniające.
Inną wadą jest to, że uzyskanie potrzebnych kodów może nie być łatwe, jeśli zgubisz telefon. Niektóre aplikacje uwierzytelniające, takie jak Authy Pracuj na różnych urządzeniach i używaj centralnego hasła do konfigurowania ustawień, aby móc tworzyć kopie zapasowe i uruchamiać się w nie większość firm zapewni zestaw kodów zapasowych, które można zachować na wypadek, gdyby wszystko przebiegło pomyślnie południe. Ponieważ dane te są również przesyłane przez Internet, osłabia to skuteczność korzystania z TOTP, ale zapewnia większą wygodę użytkownikom.
Bezpieczne i wygodne, ale nie powszechne
2. 2FA oparte na push
Źródło: Google
Niektóre usługi, w szczególności Apple i Google, mogą wyślij monit na swój telefon podczas próby logowania. Ten monit informuje Cię, że ktoś próbuje zalogować się na Twoje konto, może również podać przybliżoną lokalizację i prosi o zatwierdzenie lub odrzucenie prośby. Jeśli to ty, dotykasz przycisku i po prostu działa.
Powiadomienie o 2FA jest bardzo łatwe i super wygodne. Nie zgub jednak telefonu.
Oparte na push 2FA usprawnia uwierzytelnianie SMS 2FA i TOTP na kilka sposobów. Jest to jeszcze wygodniejsze, ponieważ wszystko działa poprzez standardowe powiadomienie w telefonie - wystarczy przeczytać i dotknąć. Jest też znacznie bardziej odporny na phishing i jak dotąd okazał się bardzo odporny na włamania. Jednak nigdy nie mów nigdy.
Oparte na push 2FA powiększa również niektóre wady SMS-ów i TOTP: musisz być online, korzystając z rzeczywistych danych połączenie (plany komórkowe głosowe i tekstowe nie będą działać) i musisz trzymać odpowiednie urządzenie, aby odebrać wiadomość. Nie jest też zbyt ustandaryzowany, więc możesz oczekiwać, że użyjesz monitu logowania na Google Pixel, aby uwierzytelnić inne konta.
Poza tymi dwoma bardzo realnymi wadami, 2FA oparte na push okazały się bezpieczne i wygodne. Będzie to również miało wpływ na Przyszłe plany Google dotyczące egzekwowania 2FA na Twoim koncie Google iść naprzód.
Zwycięzca! Ale też irytujące!
1. 2FA oparta na sprzęcie
Źródło: Jerry Hildenbrand / Android Central
Korzystanie z oddzielnego sprzętu, takiego jak urządzenie uwierzytelniające lub klucz bezpieczeństwa U2F to najlepszy sposób na zabezpieczenie dowolnego konta internetowego. Jest też najmniej wygodna i najmniej popularna.
Skonfigurowałeś go za pomocą sprzętu i za każdym razem, gdy chcesz zalogować się z nowego urządzenia lub po czasie określonym przez administratora konta, musisz wyprodukować to samo urządzenie, aby wrócić. Działa, gdy urządzenie wysyła podpisany kod wezwania z powrotem do serwera, który jest właściwy dla witryny, Twojego konta i samego urządzenia. Jak dotąd U2F był odporny na phishing i włamania. Ponownie, nigdy nie mów nigdy.
Korzystanie z klucza U2F jest najmniej wygodnym, ale najbezpieczniejszym sposobem uwierzytelniania dwuskładnikowego. To prawdopodobnie nie dla ciebie, ponieważ to PITA.
Zwykle możesz skonfigurować więcej niż jedno urządzenie na tym samym koncie, więc nie stracisz dostępu, jeśli stracisz bezpieczeństwo key, ale nadal oznacza to, że musisz mieć ten klucz przy sobie za każdym razem, gdy chcesz zalogować się do witryny internetowej lub usługa. Używam klucza U2F, aby zabezpieczyć swoje konta Google i co 12 godzin muszę podawać klucz, aby wrócić do mojego konta Google Enterprise w pracy. Oznacza to, że mam klucz w szufladzie biurka, klucz na pęku kluczy i klucz w kopercie, którą znajomy trzyma dla mnie w nagłych wypadkach.
Źródło: Jerry Hildenbrand
Zwykle możesz również skonfigurować metodę tworzenia kopii zapasowych 2FA, jeśli używasz klucza, a Google zmusza Cię do tego. Jest to świetne dla wygody, ale także zagraża bezpieczeństwu Twojego konta, ponieważ mniej bezpieczne metody są nadal opłacalne dla Ciebie - lub kogokolwiek innego - na powrót.
Inną wadą używania tokena sprzętowego, takiego jak klucz bezpieczeństwa, jest koszt. Korzystanie z wiadomości SMS, aplikacji uwierzytelniającej lub 2FA opartego na wypychaniu jest bezpłatne. Aby użyć klucz bezpieczeństwa musisz kupić jeden, a każdy z nich może wynosić od 20 do 100 USD. Ponieważ naprawdę powinieneś mieć co najmniej jeden klucz zapasowy, jeśli wybierasz się tą trasą, może to się sumować. Wreszcie, używanie klucza bezpieczeństwa z telefonem może być niezgrabne. Znajdziesz klucze, które działają przez USB, NFC, a nawet Bluetooth, ale żadna metoda nie jest w 100% niezawodna w 100% przypadków, gdy używasz klucza z telefonem.
Który jest najlepszy?
Źródło: Joe Maring / Android Central
Wszystkie z nich i żaden z nich.
Każdy typ 2FA na koncie jest lepszy niż żaden, a nawet 2FA oparte na SMS-ach oznacza, że jesteś bardziej chroniony niż byłbyś, gdybyś polegał tylko na haśle. Jeśli masz cierpliwość, program taki jak Program Ochrony zaawansowanej Google może sprawić, że Twoje życie w Internecie bardzo bezpieczny i prawie bezproblemowy. Ale musisz zważyć wygodę i bezpieczeństwo.
Osobiście życzę sobie 2FA opartej na SMS-ach po prostu odejdzie ponieważ nawet ja mogę to zhakować. Oznacza to, że możesz też, jeśli chcesz zrobić trochę czytania i trochę kopiowania wklejania. Co gorsza, oznacza to, że każdy może go zhakować, a są ludzie, którzy poświęcą czas i energię, aby wypróbować to na każdej niczego nie podejrzewającej ofierze, jaką znajdą.
W końcu musisz zdać sobie sprawę, że jesteś celem hakerów internetowych, mimo że nie jesteś politykiem ani gwiazdą filmową. Oznacza to, że naprawdę musisz zrobić dodatkowy krok lub dwa, aby chronić swoje konta internetowe i miejmy nadzieję, że o tym wiesz trochę więcej o tym, jak działają różne metody uwierzytelniania dwuskładnikowego, które mogą pomóc w podjęciu decyzji decyzja.
Czy słuchałeś podcastu Android Central z tego tygodnia?
Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znajomymi współgospodarzami i gośćmi specjalnymi.
- Subskrybuj w Pocket Casts: Audio
- Subskrybuj w Spotify: Audio
- Subskrybuj w iTunes: Audio
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
Prosta gra o wędkowaniu, Fishing Life pozwala na chwilę wytchnienia od wielu nieszczęść świata. Rozciągnij ramię rzucające i przygotuj się na poważny relaks w tej wyluzowanej grze.
Google I / O przyniosło falę nowych funkcji i ulepszonych możliwości w prawie każdym silosie usług Google. Podczas gdy duże zmiany były łatwe do zauważenia w tym roku, wiele mniejszych poprawek i dodatków może wymknąć się radarowi, gdybyś nie zwracał na to uwagi. Te ogłoszenia Google I / O to małe zwycięstwa, które mogą mieć duży wpływ na miliony użytkowników.
Google I / O zostało wypełnione nowymi szczegółami dotyczącymi różnorodnych produktów i usług firmy, ale jednym z najciekawszych było to, jak duże znaczenie dla przyszłych planów ma sektor motoryzacyjny. Następny samochód, którym jeździsz, może mieć odcisk Google, jeśli strużka stanie się większym trendem.
Jeśli masz Samsung Galaxy S20 FE i planujesz trzymać się tego urządzenia przez kilka następnych lat, będziesz chciał mieć pewność, że jest chroniony pod każdym kątem. To najlepsze ochraniacze ekranu dla Galaxy S20 FE, jakie możesz dziś zdobyć.