Kaksivaiheinen todennus (2FA) näytti aiemmin olevan vakoojaelokuville tai poliittisille trillereille varattu-sellainen asia, jota Mission Impossiblein Ethan Huntin on käytettävä päästäkseen tehtäväänsä ennen kuin se tuhoaa itsensä. Mutta näin ei enää ole. Käytännössä kaikki meistä käyttävät 2FA: ta päivittäin, olipa kyseessä sitten laitteidemme biometrinen 2FA (sormenjälki tai kasvojentunnistus) tai tavalliset kertakäyttöiset salasanat, jotka on saatu tekstiviestillä tai todentamissovelluksella.
Tilimme ovat aivan liian arvokkaita hakkereille jätettäväksi huomiotta. Jopa vaarantunut sähköpostitili voi olla askel kohti pääsyä finanssitileille ja ryöstää ansaitsemasi rahat luodessasi sinulle painajaisskenaarion. Vaikka elokuvissa on kuvattu hupparipukuinen hakkeri, jonka sormet lentävät raivokkaasti näppäimistön yli, tosiasia on, että vuoden 2022-2023--2022 Verizon Data Breach Investigation Report -raportin mukaan valtaosa turvamurroista (85%) liittyy ihmisiin. 2FA on paras tapa torjua tällaista hyökkäystä.
- Parhaat VPN-palvelut 2022-2023
- Norton Antivirus -sovelluksella voit nyt ansaita salausta - tässä voit louhia
- Parhaat kannettavien tietokoneiden tarjoukset kesäkuussa 2022-2023–2022
Riippumatta siitä, luuletko tämän olevan sinulle todellinen huolenaihe vai ei, monet yritykset siirtyvät 2FA: han pakollisena turvatoimenpiteenä, ja Google on yksi viimeisimmistä ilmoittaneista, että se tarvitsee 2FA: n lähitulevaisuudessa.
Käsittelimme äskettäin, miksi sinun on lopetettava puhelinnumerosi käyttäminen kaksivaiheiseen todennukseen. tehdä 2FA oikealla tavalla.
Mikä on kaksivaiheinen todennus?
2FA on tunnetuin ja laajalti käytetty monivaiheisen todennuksen (MFA) muoto, joka nimensä mukaisesti perustuu useisiin tekijöihin henkilöllisyytesi vahvistamiseksi. Klassinen esimerkki on rahan saaminen pankkiautomaatista, tarvitset kortin ja PIN -koodin päästäksesi tiliisi.
Tämä esimerkki sisältää kaksi kolmesta MFA -luokasta, "mitä sinulla on" (fyysinen objekti) ja "mitä tiedät" (salasana tai turvakysymys). Kolmas vaihtoehto on "mitä olet" eli biometrinen menetelmä, kuten sormenjälkitunnistin tai kasvojentunnistus. Toisin kuin uskomattoman monimutkainen salasana, tämä eliminoi mahdollisuuden rikkoa tilisi ilman fyysistä pääsyä sinuun.
Googlen edellä mainitussa 2FA -ilmoituksessa se viittasi salasanoihin "suurimpana uhkana online -turvallisuudelle". Toistaiseksi salasanat ovat edelleen suurelta osin osa 2FA -prosessia. Asia on kuitenkin se, että ne ovat ketjun heikko kohta, jota on vahvistettava vähintään yhdellä lisätekijällä. Joten katsotaanpa parhaita vaihtoehtoja 2FA: lle.
Sovelluspohjainen kaksivaiheinen todennus
Kuten lähes kaikessa, 2FA: n käsittelyyn on olemassa sovellusratkaisuja, joita kutsutaan autentikointisovelluksiksi. Markkinoilla on kymmeniä, mutta muutamia, joita suosittelen, ovat Authy, Microsoft Authenticator, LastPass ja 1Password. Google Authenticator on toinen suosittu vaihtoehto, mutta en pidä siitä, että se ei vaadi salasanaa tai biometristä kirjautumista, vaan se on mahdollinen tietoturva -aukko prosessissa, joka yrittää poistaa ne.
Authy on omistettu todennussovellus, jota käytetään nimenomaan 2FA -kirjautumiseen. Microsoft Authenticator, LastPass ja 1Password ovat salasanojen hallitsijoita, joihin on sisällytetty autentikointikomponentti. Jos tarvitset salasananhallintaa tai käytät jo jotakin näistä, valitsisin tämän reitin, koska se tekee 2FA -prosessista mahdollisimman kitkattoman.
Kun olet valinnut todennussovelluksesi ja asentanut sen, voit aloittaa 2FA: n määrittämisen tileillesi. Tämä tulee olemaan prosessin tylsin osa, koska siihen sisältyy vierailu missä tahansa käyttämässäsi palvelussa tai sivustossa, joka tarjoaa 2FA -tukea yksitellen. Epäilen, että tämä on askel, joka estää useimmat ihmiset käyttämästä 2FA: ta, mutta se on viime kädessä sen arvoista verkkoturvallisuutesi vuoksi. Ja kun olet käynnistänyt 2FA: n, jotkut eivät tee siitä vaikeuksia.
Ensimmäisen asennuksen aikana joko skannaat QR -koodin tai joissakin tapauksissa annat koodin ja sitten palvelu tallennetaan autentikointisovellukseesi. Näet tilisi luettelossa, jossa on kuuden numeron sarja ja ajastin, joka laskee alaspäin. Jokaiselle 30 sekunnin välein luodaan uusi satunnainen kuusinumeroinen koodi. Nämä ovat aikaperusteisia kertaluonteisia salasanoja (TOTP), jotka ovat samanlaisia kuin tekstiviestillä tai sähköpostilla saadut salasanat, mutta ne eivät vaadi Internet-yhteyttä, eikä kukaan voi kriittisesti siepata niitä.
Useimmissa tapauksissa sinun ei tarvitse syöttää TOTP -koodiasi joka kerta, kun kirjaudut sisään, ellet halua tätä suojaustasoa. Yleensä sitä tarvitaan vain, kun kirjaudut sisään uudella laitteella tai tietyn ajan kuluttua, 30 päivää on yleistä, mutta sivustot ja palvelut vaihtelevat tämän mukaan.
Laitteistopohjainen kaksivaiheinen todennus
Nyt kun mobiilitodennustodistuksissa on varmasti mukavuustekijä. Kaksivuotisessa Googlen tapaustutkimuksessa laitteistopohjainen ratkaisu oli neljä kertaa nopeampi, vähemmän altis tukeen ja turvallisempi. Laitteellinen MFA/2FA -ratkaisu näyttää paljon USB -muistitikulta. Niitä on erimuotoisia ja -kokoisia, ja ne tukevat kaikkia laitteitasi, joissa on USB Type-A, USB Type-C ja Lightning. Jotkin modernit vaihtoehdot tarjoavat myös langatonta tukea NFC: n tai Bluetoothin kautta.
Näillä suojausavaimilla voit yksinkertaisesti liittää ne laitteeseesi tai pyyhkäistä niitä laitteesi NFC -sirun yli ja se toimii 2FA -menetelmänä. Tämä on "mitä sinulla on" MFA -luokka. On helppo nähdä, kuinka se tulee olemaan nopeampaa kuin todentamissovelluksen avaaminen, asianmukaisen TOTP -koodin löytäminen ja sen syöttäminen ennen sen nollaamista.
Aivan kuten autentikointisovellukset, 2FA -laitteistoissa on huomattava määrä vaihtoehtoja. Näkyvin (ja Google, jolla oli yli 50 000 työntekijää) on YubiKey. Googlella itsellään on Titan -suojausavain, ja Thetis on toinen vahva toimija markkinoilla, mutta kaikki nämä vaihtoehdot ovat FIDO U2F -sertifioitu, Googlen ja Yubicon (YubiKeyn takana oleva yritys) vuonna 2007 luoma avoin standardi, joka edistää turvallisten todentaminen.
Perusasetus on olennaisesti identtinen mobiilitodentamismenetelmän kanssa, sinun on mentävä jokaiseen palveluun ja noudatettava 2FA: n määrittämisohjeita. Sen sijaan, että skannaat QR -koodin ja haet TOTP -koodeja, voit joko liittää tai pyyhkäistä suojausavaimesi pyydettäessä ja rekisteröidä se sitten kyseiseen palveluun. Kun sinua kehotetaan tulevaisuudessa, sinun on vain liitettävä tai pyyhkäistä suojausavain uudelleen ja napautettava siinä olevaa yhteystietoa. Jos et ole varma, mitä palveluita ja sovelluksia käytät, jotka tukevat suojausavainta, voit tutustua tähän kätevään Yubicon luetteloon.
Yleisin suojausavaimen huolenaihe on se, mitä tehdä, jos kadotat sen tai se rikkoutuu. Siellä on pari vaihtoehtoa. Googlen ja Yubicon suosittelema on ylläpitää kahta suojausavainta, joista toinen on suojattu ja toinen, jota pidätte. Lukuun ottamatta joitakin pieniä suojausavaimia, jotka on tarkoitettu pysyvästi kytketyiksi laitteisiin, jotka ovat turvallisessa paikassa, kaikissa suojausavaimissa on reikä, jonka avulla ne voidaan kiinnittää avainrenkaaseen.
Tämä tarkoittaa sitä, että aina kun rekisteröidyt 2FA -palveluun uuteen palveluun, sinun on suoritettava molemmat suojausavaimet, kun se rekisteröidään fyysiseen laitteistoon eikä tilille, mutta tämän ei pitäisi olla niin usein uudelleen käyttöönoton jälkeen ongelma. Nämä eivät ole hirveän kalliita, kun esimerkiksi YubiKey 5 NFC maksaa 45 dollaria ja Thetis FIDO2 BLE -suojausavain on saatavilla alle 30 dollarilla, eikä sinun pitäisi joutua vaihtamaan niitä vuosiin, joten se ei ole huono ratkaisu.
Vaihtoehto on, että sinun on säilytettävä kaikkien 2FA: n käyttämien sivustojen ja palveluiden tarjoamat varakoodit. Ne voidaan joko tulostaa ja tallentaa turvalliseen paikkaan tai voit salata ja tallentaa tekstitiedostot turvalliseen paikkaan joko salasanalla lukittuun ja salattuun kansioon tai turvallisesti tallennettuun flash-asemaan.
Yleiskatsaus
Riippumatta siitä, valitsetko sovelluspohjaisen vai laitteistopohjaisen 2FA-ratkaisun, ei ole epäilystäkään siitä, että alkuasennus on yksi suurimmista esteistä, kun otetaan huomioon monien käyttämiemme sivustojen, palveluiden ja sovellusten määrä. Minusta oli helpompaa tehdä vain 3-5 päivässä, kunnes pääsin läpi ne kaikki sen sijaan, että menisin yhteen maratonin rekisteröintiistuntoon.
Kun olet kuitenkin suorittanut tämän alkuperäisen prosessin, se on melko kivuton lisävaihe, joka tarjoaa sinulle paljon enemmän turvallisuutta kuin pelkkä salasana tai tekstiviesti- tai sähköpostipohjainen 2FA-ratkaisu. Saatat hieroa hieman ylimääräistä aikaa, joka kuluu silloin tällöin, kun joudut joko syöttämään koodisi tai liittämään suojausavaimesi, mutta se kalpenee verrattuna siihen päänsärkyyn, että joudut käsittelemään kirjautumistietosi varastavan henkilön ja mahdollisesti kääntämään elämäsi ylösalaisin yrittäessäsi saadaksesi tilisi takaisin hallintaan.
Koska yritykset, kuten PayPal, Google ja muut, siirtyvät 2FA: han, tarvitset 2FA -ratkaisun. Älä tyydy tekstiviesti- tai sähköpostipohjaisiin ratkaisuihin, ne on yksinkertaisesti liian helppo kiertää. Sekä autentikointisovellukset että laitteiston suojausavaimet tarjoavat todellista vahvaa 2FA -suojausta, ja sen jälkeen, kun ensimmäinen asennusprosessi on tehty, siitä tulee nopeasti saumaton osa online -tietoturvaasi.