Källa: Joe Maring / Android Central
Du borde använda tvåfaktorsautentisering på varje konto som ger dig möjlighet. Det finns inget bättre sätt att skydda ditt konto och oavsett vem du är bör du ha alla dina konton så säkra som möjligt. Det spelar ingen roll vilken telefon du använder - 2FA fungerar med en billig Android-telefon, den bästa Android-telefoneneller en iPhone. Du har hört allt detta tidigare.
Alla tvåfaktormetoder skapas dock inte lika. Precis som alla andra användarvänliga säkerhetsåtgärder måste du byta bekvämlighet för skydd och de säkraste metoderna för 2FA är också de minst praktiska. Omvänt är de mest bekväma metoderna också minst säkra.
VPN-erbjudanden: Lifetime-licens för $ 16, månadsabonnemang till $ 1 och mer
Vi ska ta en titt på de olika sätten du kan använda tvåfaktorautentisering och diskutera fördelar och nackdelar med var och en.
Undvik till varje pris, men det är fortfarande bättre än ingenting
4. SMS-baserad tvåfaktorautentisering
Källa: Jeramy Johnson / Android Central
Att få ett textmeddelande med en tvåfaktorkod är det mest populära sättet att säkra ett onlinekonto. Tyvärr är det också det värsta sättet.
SMS-baserad 2FA är enkelt och bekvämt. Det är inte särskilt säkert.
Du anger ditt telefonnummer när du registrerar dig för ett konto eller om du går tillbaka och aktiverar 2FA vid ett senare tillfälle, och efter att numret har verifierats används det för att skicka en kod när du behöver för att verifiera att du verkligen är du. Det är super enkelt och super bekvämt vilket innebär att många använder det och många företag erbjuder det som det enda sättet att säkra ett konto.
Användarvänlighet och bekvämlighet är fantastiska saker, men inget annat om SMS är bra. SMS var aldrig utformat för att vara ett säkert kommunikationsmedel och eftersom det är en industristandard, till och med en app som Signal det gör erbjuder krypterad och säker meddelande skickar fortfarande SMS-meddelanden som vanlig text. Nathan Collier, senioranalytiker för skadlig programvara på Malwarebytes, beskriver SMS så här:
SMS-meddelanden, som skickas och lagras på servrar i ren text, kan fångas upp under transitering. Dessutom är det möjligt för SMS-meddelanden att skickas till fel nummer. Och när meddelanden når rätt nummer finns det ingen avisering från mottagaren om meddelandet har lästs eller till och med tagits emot.
Ett större problem är att transportörer kan (och har varit) luras att auktorisera ett nytt SIM-kort med hjälp av någon annans telefonnummer. Om någon verkligen ville få tillgång till ditt bankkonto eller beställa en massa saker från Amazon med ditt kreditkort, allt de behöver göra är att övertyga någon hos din operatör att de är du, du har tappat telefonen och du behöver ditt nummer flyttat till ett nytt SIM-kort som de råkar vara innehav.
Du borde förmodligen använda det här
3. Authenticator-appar
Källa: Android Central
Autentiseringsappar som Google Authenticator eller Authy erbjuder en stor förbättring jämfört med SMS-baserad 2FA. De arbetar med det som kallas Tidsbaserade engångslösenord (TOTP) som ett program på din telefon kan generera med hjälp av en komplex algoritm utan någon form av nätverksanslutning. En webbplats eller tjänst använder samma algoritm för att säkerställa att koden är korrekt.
Authenticator-appar är bättre än SMS för 2FA, men de är inte idiotsäkra.
Eftersom de arbetar offline är TOTP-stil 2FA inte föremål för samma problem som att använda SMS är, men det är inte utan en egen uppsättning brister. Säkerhetsforskare har visat att det är möjligt att fånga upp och manipulera de data du skickar när du går in i TOTP på en webbplats, men det är inte lätt.
Det verkliga problemet kommer från nätfiske. Det är möjligt att bygga en nätfiskewebbplats som ser ut och fungerar precis som den riktiga saken och till och med går längs autentiseringsuppgifter du anger, som ditt lösenord och TOTP som genereras av en autentiseringsapp så att du kan logga in på det verkliga service. Det loggar också in sig samtidigt och kan agera som om det vore du utan att den tjänst du använder vet skillnaden. När allt kommer omkring tillhandahölls rätt referenser.
En annan nackdel är att det kanske inte är lätt att få de koder du behöver om du tappar telefonen. Vissa autentiseringsappar som Authy arbeta över enheter och använd ett centralt lösenord för att ställa in saker så att du kan komma igång igen i nr tid och de flesta företag kommer att tillhandahålla en uppsättning reservkoder som du kan behålla för tider när allt går söder. Eftersom den informationen också skickas över internet försvagar den effektiviteten med att använda TOTP men ger användarna större bekvämlighet.
Säker och bekväm, men inte vanligt
2. Push-baserad 2FA
Källa: Google
Vissa tjänster, särskilt Apple och Google, kan skicka en uppmaning till din telefon under ett inloggningsförsök. Denna uppmaning talar om för dig att någon försöker logga in på ditt konto, också kan ge en ungefärlig plats och ber dig att godkänna eller neka begäran. Om det är du trycker du på en knapp och det fungerar bara.
En anmälan för 2FA är super enkel och super bekväm. Förlora inte din telefon dock.
Push-baserad 2FA förbättrar SMS 2FA och TOTP-autentisering på ett par sätt. Det är ännu bekvämare eftersom allt fungerar genom en standardavisering på din telefon - allt du behöver göra är att läsa och knacka. Det är också mycket mer motståndskraftigt mot nätfiske och har hittills visat sig vara mycket "hack" -resistent. Säg aldrig aldrig.
Push-baserad 2FA förstorar också vissa av SMS och TOTP: s nackdelar: du måste vara online via faktiska data anslutning (röst- och textcellplaner fungerar inte) och du måste hålla rätt enhet för att få meddelandet. Det är inte särskilt standardiserat så du kan förvänta dig att använda en inloggningsprompt på din Google Pixel för att autentisera dina andra konton.
Utanför dessa två mycket verkliga nackdelar har push-baserad 2FA visats vara säker och bekväm. Det kommer också att ta hänsyn till Googles framtida planer för att genomföra 2FA för ditt Google-konto går framåt.
Vinnaren! Men också irriterande!
1. Hårdvarubaserad 2FA
Källa: Jerry Hildenbrand / Android Central
Med hjälp av en separat maskinvara som en autentiseringsenhet eller en U2F-säkerhetsnyckel är det bästa sättet att säkra alla onlinekonton. Det är också det minst bekväma och minst populära.
Du ställer in den med hårdvaran och när du vill logga in från en ny enhet eller efter en tid som har ställts in av en kontoadministratör måste du producera samma enhet för att komma tillbaka. Det fungerar genom att enheten skickar en signerad utmaningskod tillbaka till servern som är specifik för webbplatsen, ditt konto och själva enheten. Hittills har U2F varit phish-proof och hack-proof. Återigen, säg aldrig aldrig.
Att använda en U2F-nyckel är det minst bekväma men säkraste sättet att utföra tvåfaktorautentisering. Det är nog inte för dig eftersom det är en PITA.
Du kan vanligtvis ställa in mer än en enhet på samma konto så att du inte tappar åtkomst om du tappar din säkerhet nyckel, men det betyder fortfarande att du måste ha den nyckeln med dig varje gång du vill logga in på en webbplats eller service. Jag använder en U2F-nyckel för att säkra mina Google-konton och var 12: e timme måste jag ange nyckeln för att komma tillbaka till mitt Google Enterprise-konto för arbete. Det betyder att jag har en nyckel i skrivbordslådan, en nyckel på min nyckelring och en nyckel i ett kuvert som en vän förvarar åt mig i en nödsituation.
Källa: Jerry Hildenbrand
Vanligtvis kan du också ställa in en säkerhetskopieringsmetod på 2FA om du använder en nyckel och Google tvingar dig att göra det. Detta är bra för bekvämligheten men det äventyrar också ditt kontos säkerhet eftersom de mindre säkra metoderna fortfarande är genomförbara sätt för dig - eller någon annan - att komma in igen.
En annan nackdel med att använda en hårdvarutoken som en säkerhetsnyckel är kostnad. Att använda SMS eller en autentiseringsapp eller push-baserad 2FA är gratis. Att använda en säkerhetsnyckel du måste köpa en och de kan variera från $ 20 till $ 100 vardera. Eftersom du verkligen borde ha minst en reservnyckel om du går den här vägen kan detta lägga upp. Slutligen kan det vara klumpigt att använda en säkerhetsnyckel med din telefon. Du hittar nycklar som fungerar via USB, NFC och till och med Bluetooth men ingen metod är 100% pålitlig 100% av tiden när du använder en nyckel med en telefon.
Vilket är bäst?
Källa: Joe Maring / Android Central
Alla och ingen av dem.
Varje typ av 2FA på ett konto är bättre än ingen alls, och även SMS-baserad 2FA betyder att du är mer skyddad än du skulle vara om du bara litade på ett lösenord. Om du har tålamod, ett program som Googles avancerade skyddsprogram kan göra ditt online-liv mycket säker och nästan orofri. Men du måste väga bekvämligheten mot säkerheten.
Personligen önskar jag SMS-baserad 2FA skulle bara försvinna för även jag kan hacka det. Det betyder att du också kan om du är villig att göra en lite läsning och lite kopiering. Värre, det betyder att vem som helst kan hacka det och det finns människor där ute som tar sig tid och energi att prova det på något intet ont anande offer de kan hitta.
I slutändan måste du inse att du är ett mål för online-hackare även om du inte är politiker eller filmstjärna. Det betyder att du verkligen behöver ta det extra steget eller två för att skydda dina onlinekonton och förhoppningsvis veta lite mer om hur de olika metoderna för tvåfaktorsautentisering fungerar kan hjälpa dig att göra rätt beslut.
Har du lyssnat på veckans Android Podcast?
Varje vecka ger Android Central Podcast dig de senaste tekniska nyheterna, analyserna och hot-take, med bekanta medvärdar och speciella gäster.
- Prenumerera i Pocket Cast: Audio
- Prenumerera på Spotify: Audio
- Prenumerera i iTunes: Audio
Vi kan tjäna en provision för inköp med våra länkar. Läs mer.
Ett enkelt spel om fiske, Fishing Life ger dig en kort paus från världens många elände. Sträck den gjutningsarmen och gör dig redo att ta en seriös avkoppling i det här avslappnade spelet.
Google I / O gav en flodvåg av nya funktioner och förbättrade förmågor till nästan alla silor i Googles tjänster. Medan stora förändringar var lätta att upptäcka i år kunde många mindre justeringar och tillägg glida under radaren om du inte var uppmärksam. Dessa Google I / O-meddelanden är små segrar som kan få stora konsekvenser för miljontals användare.
Google I / O fylldes med nya detaljer om en mängd av företagets produkter och tjänster, men bland de mest intressanta var hur mycket vikt bilsektorn har för sina framtida planer. Nästa bil du kör kan ha Googles avtryck i sig om sippret blir en större trend.
Om du har en Samsung Galaxy S20 FE och planerar att hänga på den här enheten de närmaste åren, vill du se till att den är skyddad från alla vinklar. Det här är de bästa skärmskyddet för Galaxy S20 FE som du kan få idag.