If-Koubou

Co to jest uwierzytelnienie dwuetapowe i dlaczego go potrzebuję?

Co to jest uwierzytelnienie dwuetapowe i dlaczego go potrzebuję? (Jak)

Coraz więcej banków, firm obsługujących karty kredytowe, a nawet sieci społecznościowe i strony z grami zaczynają korzystać z uwierzytelniania dwuskładnikowego. Jeśli nie wiesz, co to jest i dlaczego chcesz zacząć go używać, przeczytaj, aby dowiedzieć się, w jaki sposób uwierzytelnianie dwuskładnikowe może zapewnić bezpieczeństwo danych.

Czym dokładnie jest uwierzytelnianie dwuskładnikowe?

How-To Geek Reader Jordan pisze proste pytanie:

Coraz częściej słyszę o uwierzytelnianiu dwuskładnikowym. Niejasno pamiętam, jak Google robił z tego wielką sprawę w ubiegłym roku, mój bank niedawno zaoferował darmowy brelok do kluczy dla cenionych klientów, a mój współlokator ma nawet jakąś aplikację na swoim telefonie, aby jego konto Diablo III nie zostało zhackowane. Rozumiem, że to jakieś narzędzie bezpieczeństwa, ale co to dokładnie jest i czy powinienem go używać?

Aby zrozumieć, czym jest uwierzytelnianie dwuskładnikowe, najpierw przyjrzyjmy się, jakie jest jednoetapowe uwierzytelnienie i porównajmy je z rzeczywistymi i wirtualnymi modelami zabezpieczeń.

Kiedy wracasz do domu z pracy, wyciągasz klucze i otwierasz tylne drzwi, angażujesz się w proste jednokierunkowe uwierzytelnianie. Drzwi i zamek nie dbają o to, czy osoba posiadająca klucz jest tobą, twoim sąsiadem, czy przestępcą, który podniósł twoje klucze. Jedyną rzeczą, o którą chodzi w tym zamku jest to, że klucz pasuje (nie potrzebujesz dwóch kluczy, klucza i odcisków palców, ani żadnej innej kombinacji czeków). Klucz fizyczny jest pojedynczym potwierdzeniem, że osoba władająca nim może otworzyć drzwi.

Ten sam poziom uwierzytelniania jednoczynnikowego występuje, gdy logujesz się do strony internetowej lub usługi, która wymaga podania loginu i hasła. Podłączyliście tę informację i istnieje ona jako jedyna kontrola, którą faktycznie jesteście.

Zakładając, że nikt nigdy nie ukradnie ci kluczy ani nie złamie / nie ukradnie twojego hasła, jesteś w dobrej formie. Chociaż skradzione klucze są dość niskim ryzykiem, bezpieczeństwo wirtualne jest bardziej złożone (i w przeciwieństwie do naruszeń bezpieczeństwa w Internecie, na przykład kierownik kompleksu apartamentów nigdy nie skopiowałby wszystkich kluczy i nie zostawił ich z nazwiskiem i adresem na rogu ulicy ).

Naruszenia bezpieczeństwa, wyrafinowane ataki i inne niefortunne, ale zbyt rzeczywiste aspekty pracy i grania w wirtualnej przestrzeni wymagają udoskonalonych praktyk bezpieczeństwa, w tym wielu złożonych i różnorodnych, złożonych haseł i, jeśli to możliwe, uwierzytelniania dwuskładnikowego.

Co to jest uwierzytelnianie dwuskładnikowe i jak ono wygląda dla użytkownika końcowego? Przy minimalnym uwierzytelnianiu dwuskładnikowym wymagane są dwie z trzech zatwierdzonych przez organy regulacyjne zmiennych uwierzytelniających, takich jak:

  • Coś, o czym wiesz (na przykład PIN na karcie bankowej lub hasło e-mail).
  • Coś, co masz (fizyczna karta bankowa lub token uwierzytelniający).
  • Coś, czym jesteś (dane biometryczne, takie jak odcisk palca lub wzór tęczówki).

Jeśli kiedykolwiek korzystałeś z karty debetowej, skorzystałeś z prostej formy uwierzytelniania dwuskładnikowego: nie wystarczy znać kodu PIN lub fizycznie posiadać karty, musisz posiadać obie, aby uzyskać dostęp do konta bankowego za pośrednictwem bankomat.

Uwierzytelnianie dwuskładnikowe może przybierać różne formy i nadal spełniać wymagania 2 do 3. Może istnieć fizyczny token, taki jak te powszechnie używane w bankowości, gdzie generowany jest kod bezprzewodowy. Do zalogowania potrzebujesz swojej nazwy użytkownika, hasła i unikalnego kodu (który wygasł co 30 sekund). Inne firmy pomijają trasę niestandardowego sprzętu i dostarczają aplikacje na telefony komórkowe (lub kody dostarczone przez SMS), które zapewniają taką samą funkcjonalność. Chociaż nie jest to szczególnie powszechne, można również zastosować uwierzytelnianie dwuskładnikowe w oparciu o dane biometryczne (takie jak bezpieczeństwo zaszyfrowany plik za pomocą hasła i odcisku palca).

Dlaczego warto z niego korzystać i gdzie mogę go znaleźć?

Za każdym razem, gdy wprowadzasz dodatkową warstwę do rutyny bezpieczeństwa, zawsze musisz zadać sobie pytanie, czy problem jest uzasadniony. Wieloczynnikowe uwierzytelnianie na forum dyskusyjnym na temat samochodów sportowych, które nie zawiera żadnych danych osobowych i nie jest w żaden sposób powiązane z prawdziwym adresem e-mail lub informacje finansowe są oczywiście przesadą. Posiadanie drugiej warstwy uwierzytelniania dla twojej karty kredytowej lub głównego konta e-mail jest jednak po prostu praktyczne - uraz osobisty i finansowy, który mógłby powstać w wyniku złodziejstwa tożsamości lub innego złośliwego podmiotu mającego dostęp do tych rzeczy, znacznie przewyższa drobne problemy z wprowadzeniem dodatkowa odrobina informacji.

W każdej chwili dostępne jest uwierzytelnianie dwuskładnikowe dla systemu, a złamanie tego systemu spowoduje znaczne cierpienie, należy je włączyć. Po złamaniu zabezpieczeń poczty e-mail otwierają się inne usługi, które są traktowane jako serwery poczty e-mail jako rodzaj klucza głównego w celu uzyskania dostępu do resetowania hasła i innych zapytań. Jeśli Twój bank udostępnia mobilne narzędzie uwierzytelniające lub inne narzędzie, skorzystaj z niego. Nawet dla takich osób jak twoi współlokatorzy gracze na kontach Diablo III spędzają setki godzin budując swoje postacie i często wydają prawdziwe pieniądze kupując towary w grze, tracąc całą pracę, a sprzęt jest okropną propozycją, policzcie autentykację na swoim koncie!

Nie każda usługa oferuje uwierzytelnianie dwuskładnikowe, niestety. Najlepszym sposobem, aby się tego dowiedzieć, jest przejrzenie najczęściej zadawanych pytań / plików pomocy i / lub skontaktowanie się z obsługą techniczną danej usługi. To powiedziawszy, wiele firm mówi o wprowadzeniu wieloskładnikowych schematów uwierzytelniania.

Google ma uwierzytelnianie dwuskładnikowe zarówno dla wiadomości SMS, jak i poręcznej aplikacji mobilnej - przeczytaj nasz przewodnik po instalacji i konfiguracji aplikacji mobilnej tutaj.

LastPass oferuje wiele form uwierzytelniania wieloskładnikowego, w tym za pomocą Google Authenticator. Mamy tutaj przewodnik konfiguracji.

Facebook ma dwuskładnikowy system o nazwie "zatwierdzenia logowania", który wykorzystuje SMS-y do potwierdzenia tożsamości.

SpiderOak, usługa pamięci masowej typu Dropbox, oferuje uwierzytelnianie dwuskładnikowe.

Blizzard, firma stojąca za takimi grami, jak World of War Craft i Diablo, ma darmowego uwierzytelniającego.

Nawet jeśli wygląda na to, że czyta się plik FAQ danej firmy, nie ma on uwierzytelniania dwuskładnikowego, nie wysyła do nich e-maila i nie pyta. Im więcej osób pyta o czynnik dwuskładnikowy, tym większa szansa, że ​​firma go wdroży.

Chociaż uwierzytelnianie dwuskładnikowe nie jest niewrażliwe na atak (wyrafinowany atak typu "człowiek w środku" lub kradzież dodatkowego tokena uwierzytelniającego i pokonanie go za pomocą potoku może go złamać), jest radykalnie bezpieczniejsze niż poleganie na zwykłym haśle i po prostu posiadanie dwuskładnikowego systemu włączonego czyni cię mniej atrakcyjnym celem.

Znasz usługę, dużą lub małą, która oferuje uwierzytelnianie dwuskładnikowe? Zagraj w komentarzach, aby ostrzec innych czytelników.