Różne formy uwierzytelniania dwuetapowego SMS, aplikacje do obsługi automatów i wiele innych
Wiele usług online oferuje uwierzytelnianie dwuskładnikowe, które zwiększa bezpieczeństwo, wymagając więcej niż tylko hasła do logowania. Istnieje wiele różnych rodzajów dodatkowych metod uwierzytelniania, których można użyć.
Różne usługi oferują różne metody uwierzytelniania dwuskładnikowego, aw niektórych przypadkach można nawet wybierać spośród kilku różnych opcji. Oto, jak działają i jak się różnią.
Weryfikacja SMS
Wiele usług pozwala zarejestrować się, aby otrzymać wiadomość SMS za każdym razem, gdy logujesz się na swoje konto. Ta wiadomość SMS będzie zawierać krótki jednorazowy kod, który musisz wprowadzić. W tym systemie twój telefon komórkowy jest używany jako druga metoda uwierzytelniania. Ktoś nie może dostać się na twoje konto, jeśli ma twoje hasło - potrzebuje twojego hasła i dostępu do telefonu lub wiadomości SMS.
Jest to wygodne, ponieważ nie musisz robić nic specjalnego, a większość ludzi ma telefony komórkowe. Niektóre usługi będą nawet wybierać numer telefonu, a zautomatyzowany system będzie wymawiać kod, dzięki czemu będzie można go użyć z numerem telefonu stacjonarnego, który nie może odbierać wiadomości tekstowych.
Istnieją jednak duże problemy z weryfikacją SMS-ów. Atakujący mogą korzystać z ataków SIM, aby uzyskać dostęp do bezpiecznych kodów lub przechwycić je dzięki błędom w sieci komórkowej. Zalecamy, aby nie używać wiadomości SMS, jeśli to możliwe. Jednak wiadomości SMS są nadal dużo bezpieczniejsze niż brak jakiegokolwiek uwierzytelniania dwuskładnikowego!
Kody generowane przez aplikację (np. Google Authenticator i Authy)
Możesz też generować kody przez aplikację na telefonie. Najbardziej znaną aplikacją, która to robi, jest Google Authenticator, który Google oferuje na Androida i iPhone'a. Wolimy jednak Authy, która robi wszystko, co robi Google Authenticator - i nie tylko. Pomimo nazwy te aplikacje używają otwartego standardu. Na przykład można dodać konta Microsoft i wiele innych typów kont do aplikacji Google Authenticator.
Zainstaluj aplikację, zeskanuj kod podczas konfigurowania nowego konta, a aplikacja będzie generować nowe kody co około 30 sekund. Będziesz musiał wprowadzić aktualny kod wyświetlany w aplikacji na telefonie, a także hasło podczas logowania do konta.
Nie wymaga to w ogóle sygnału komórkowego, a "materiał siewny", który pozwala aplikacji generować kody o ograniczonym czasie, jest przechowywany tylko na urządzeniu. Oznacza to, że jest o wiele bezpieczniejsza, ponieważ nawet ktoś, kto uzyska dostęp do Twojego numeru telefonu lub przechwyci twoje wiadomości tekstowe, nie będzie znał Twoich kodów.
Niektóre usługi - na przykład Blizzard's Battle.net Authenticator - mają również własne dedykowane aplikacje generujące kody.
Fizyczne klucze uwierzytelniające
Fizyczne klucze uwierzytelniające to kolejna opcja, która zaczyna być bardziej popularna. Duże firmy z branży technologicznej i finansowej tworzą standard znany jako U2F i już można używać fizycznego tokena U2F do zabezpieczenia kont Google, Dropbox i GitHub. To tylko mały klucz USB, który umieścisz na pęku kluczy. Za każdym razem, gdy chcesz zalogować się na swoje konto z nowego komputera, musisz włożyć klucz USB i nacisnąć przycisk na nim. To wszystko - bez kodów do pisania. W przyszłości urządzenia te powinny współpracować z NFC i Bluetooth w celu komunikowania się z urządzeniami mobilnymi bez portów USB.
To rozwiązanie działa lepiej niż weryfikacja SMS i kody jednorazowe, ponieważ nie można ich przechwycić i zignorować. Jest także prostszy i wygodniejszy w użyciu. Na przykład witryna phishingowa może pokazać fałszywą stronę logowania Google i przechwycić kod jednorazowy podczas próby zalogowania. Następnie może użyć tego kodu do zalogowania się w Google. Jednak dzięki fizycznemu kluczowi uwierzytelnienia, który działa wspólnie z przeglądarką, przeglądarka może zapewnić, że komunikuje się z prawdziwą witryną, a kod nie może zostać przechwycony przez osobę atakującą..
Spodziewaj się, że zobaczysz o wiele więcej w przyszłości.
Uwierzytelnianie oparte na aplikacji
Niektóre aplikacje mobilne mogą zapewniać uwierzytelnianie dwuskładnikowe za pomocą samej aplikacji. Na przykład Google oferuje obecnie bezkodowe uwierzytelnianie dwuskładnikowe, o ile masz zainstalowaną aplikację Google na telefonie. Za każdym razem, gdy próbujesz zalogować się do Google z innego komputera lub urządzenia, wystarczy nacisnąć przycisk na telefonie, bez kodu. Google sprawdza, czy masz dostęp do telefonu przed próbą zalogowania.
Dwustopniowa weryfikacja Apple działa podobnie, chociaż nie używa aplikacji - korzysta z samego systemu operacyjnego iOS. Za każdym razem, gdy próbujesz zalogować się z nowego urządzenia, możesz otrzymać jednorazowy kod wysłany na zarejestrowane urządzenie, takie jak iPhone lub iPad. Aplikacja mobilna na Twitterze ma podobną funkcję, jak weryfikacja logowania. Google i Microsoft dodali tę funkcję do aplikacji na smartfony Google i Microsoft Authenticator.
Systemy e-mail
Inne usługi polegają na Twoim koncie e-mail w celu uwierzytelnienia. Na przykład, jeśli włączysz Ochronę Steam, Steam poprosi Cię o podanie jednorazowego kodu wysłanego na twój adres e-mail za każdym razem, gdy logujesz się z nowego komputera. Zapewnia to przynajmniej, że osoba atakująca będzie potrzebować zarówno hasła do konta Steam, jak i dostępu do konta e-mail, aby uzyskać dostęp do tego konta.
To nie jest tak bezpieczne, jak inne metody weryfikacji dwuetapowej, ponieważ może być łatwo uzyskać dostęp do konta e-mail, zwłaszcza jeśli nie korzystasz z weryfikacji dwuetapowej! Unikaj weryfikacji przez e-mail, jeśli możesz użyć czegoś silniejszego. (Na szczęście aplikacja Steam oferuje aplikację do uwierzytelniania w aplikacji mobilnej).
The Last Resort: Kody odzyskiwania
Kody odzyskiwania zapewniają sieć bezpieczeństwa w przypadku utraty dwuetapowej metody uwierzytelniania. Po skonfigurowaniu uwierzytelniania dwuskładnikowego zwykle dostarczane są kody odzyskiwania, które należy zapisać i przechowywać w bezpiecznym miejscu. Będziesz ich potrzebować, jeśli utracisz swoją dwuetapową metodę weryfikacji.
Upewnij się, że masz kopię kodów odzyskiwania, jeśli używasz uwierzytelniania dwuetapowego.
Nie znajdziesz wielu opcji dla każdego konta. Jednak wiele usług oferuje wiele dwuetapowych metod weryfikacji, z których można skorzystać.
Istnieje również możliwość korzystania z wielu metod uwierzytelniania dwuskładnikowego. Jeśli na przykład skonfigurujesz aplikację generującą kody i fizyczny klucz zabezpieczeń, możesz uzyskać dostęp do konta za pośrednictwem aplikacji, jeśli kiedykolwiek zgubisz klucz fizyczny.