Wiele usług online oferuje uwierzytelnianie dwuskładnikowe, które zwiększa bezpieczeństwo, wymagając więcej niż tylko hasła do logowania. Istnieje wiele różnych rodzajów dodatkowych metod uwierzytelniania, z których można korzystać.
Różne usługi oferują różne metody uwierzytelniania dwuskładnikowego, aw niektórych przypadkach można nawet wybierać spośród kilku różnych opcji. Oto, jak działają i jak się różnią.
Wiele usług pozwala zarejestrować się, aby otrzymać wiadomość SMS za każdym razem, gdy zalogujesz się na swoje konto. Ta wiadomość SMS będzie zawierać krótki jednorazowy kod, który musisz wprowadzić. W tym systemie twój telefon komórkowy jest używany jako druga metoda uwierzytelniania. Ktoś nie może dostać się na twoje konto, jeśli ma twoje hasło - potrzebuje twojego hasła i dostępu do telefonu lub wiadomości SMS.
Jest to wygodne, ponieważ nie musisz robić nic specjalnego, a większość ludzi ma telefony komórkowe. Niektóre usługi będą nawet wybierać numer telefonu, a zautomatyzowany system będzie wymawiać kod, umożliwiając korzystanie z niego przy użyciu stacjonarnego numeru telefonu, który nie może odbierać wiadomości tekstowych.
Istnieją jednak duże problemy z weryfikacją przez SMS. Atakujący mogą korzystać z ataków SIM, aby uzyskać dostęp do bezpiecznych kodów lub przechwycić je dzięki błędom w sieci komórkowej. Zalecamy, aby nie używać wiadomości SMS, jeśli to możliwe. Jednak wiadomości SMS są nadal dużo bezpieczniejsze, niż nie wykorzystują w ogóle uwierzytelniania dwuskładnikowego!
Możesz też wygenerować kody przez aplikację na telefonie. Najbardziej znaną aplikacją, która to robi, jest Google Authenticator, który Google oferuje na Androida i iPhone'a. Wolimy jednak Authy, która robi wszystko, co robi Google Authenticator - i nie tylko. Pomimo nazwy te aplikacje używają otwartego standardu. Na przykład można dodać konta Microsoft i wiele innych typów kont do aplikacji Google Authenticator.
Zainstaluj aplikację, zeskanuj kod podczas konfigurowania nowego konta, a aplikacja będzie generować nowe kody co około 30 sekund. Będziesz musiał wprowadzić aktualny kod wyświetlany w aplikacji na telefonie, a także hasło podczas logowania do konta.
Nie wymaga to w ogóle sygnału komórkowego, a "materiał siewny", który pozwala aplikacji generować kody o ograniczonym czasie, jest przechowywany tylko na urządzeniu. Oznacza to, że jest o wiele bezpieczniejsza, ponieważ nawet osoba, która uzyska dostęp do Twojego numeru telefonu lub przechwyci twoje wiadomości tekstowe, nie będzie znała twoich kodów.
Niektóre usługi - na przykład Battle.net Authenticator firmy Blizzard - mają również własne dedykowane aplikacje generujące kody.
Fizyczne klucze uwierzytelniające to kolejna opcja, która zaczyna być bardziej popularna. Duże firmy z sektora technologii i finansów tworzą standard znany jako U2F i już można używać fizycznego tokena U2F do zabezpieczenia kont Google, Dropbox i GitHub. To tylko mały klucz USB, który umieścisz na pęku kluczy. Za każdym razem, gdy chcesz zalogować się na swoje konto z nowego komputera, musisz włożyć klucz USB i nacisnąć przycisk na nim. To wszystko - bez kodów do pisania. W przyszłości urządzenia te powinny współpracować z NFC i Bluetooth w celu komunikowania się z urządzeniami mobilnymi bez portów USB.
To rozwiązanie działa lepiej niż weryfikacja SMS i kody jednorazowe, ponieważ nie można ich przechwycić i zignorować. Jest także prostszy i wygodniejszy w użyciu. Na przykład strona phishingowa może pokazać fałszywą stronę logowania Google i przechwycić kod jednorazowy podczas próby zalogowania. Następnie może użyć tego kodu do zalogowania się w Google. Ale dzięki fizycznemu kluczowi uwierzytelnienia, który działa wspólnie z przeglądarką, przeglądarka może zapewnić, że komunikuje się z prawdziwą witryną, a kod nie może zostać przechwycony przez osobę atakującą.
Spodziewaj się, że zobaczysz o wiele więcej w przyszłości.
Niektóre aplikacje mobilne mogą zapewniać uwierzytelnianie dwuskładnikowe za pomocą samej aplikacji. Na przykład Google oferuje teraz bezkodowe uwierzytelnianie dwuskładnikowe, o ile masz zainstalowaną aplikację Google na telefonie. Za każdym razem, gdy próbujesz zalogować się do Google z innego komputera lub urządzenia, wystarczy nacisnąć przycisk na telefonie, bez kodu. Google sprawdza, czy masz dostęp do telefonu przed próbą zalogowania.
Dwustopniowa weryfikacja Apple działa podobnie, chociaż nie używa aplikacji - korzysta z samego systemu operacyjnego iOS. Za każdym razem, gdy próbujesz zalogować się z nowego urządzenia, możesz otrzymać jednorazowy kod wysłany na zarejestrowane urządzenie, takie jak iPhone lub iPad.Aplikacja mobilna na Twitterze ma podobną funkcję, jak weryfikacja logowania. Ponadto Google i Microsoft dodały tę funkcję do aplikacji na smartfony Google i Microsoft Authenticator.
Inne usługi polegają na Twoim koncie e-mail, aby Cię uwierzytelnić. Na przykład, jeśli włączysz Ochronę Steam, Steam poprosi Cię o podanie jednorazowego kodu wysłanego na twój adres e-mail za każdym razem, gdy logujesz się z nowego komputera. Zapewnia to przynajmniej, że osoba atakująca będzie potrzebować zarówno hasła do konta Steam, jak i dostępu do konta e-mail, aby uzyskać dostęp do tego konta.
To nie jest tak bezpieczne, jak inne metody weryfikacji dwuetapowej, ponieważ może być łatwo uzyskać dostęp do konta e-mail, zwłaszcza jeśli nie korzystasz z weryfikacji dwuetapowej! Unikaj weryfikacji przez e-mail, jeśli możesz użyć czegoś silniejszego. (Na szczęście aplikacja Steam oferuje aplikację opartą na uwierzytelnianiu w aplikacji mobilnej).
Kody odzyskiwania zapewniają sieć bezpieczeństwa w przypadku utraty dwuetapowej metody uwierzytelniania. Po skonfigurowaniu uwierzytelniania dwuskładnikowego zwykle dostarczane są kody odzyskiwania, które należy zapisać i przechowywać w bezpiecznym miejscu. Będziesz ich potrzebować, jeśli kiedykolwiek stracisz dwuetapową metodę weryfikacji.
Upewnij się, że masz kopię kodów odzyskiwania, jeśli używasz uwierzytelniania dwuetapowego.
Nie znajdziesz wielu opcji dla każdego konta. Jednak wiele usług oferuje wiele dwuetapowych metod weryfikacji, z których można skorzystać.
Istnieje również możliwość korzystania z wielu metod uwierzytelniania dwuskładnikowego. Na przykład, jeśli skonfigurujesz aplikację generującą kody i fizyczny klucz zabezpieczeń, możesz uzyskać dostęp do konta za pośrednictwem aplikacji, jeśli kiedykolwiek zgubisz klucz fizyczny.