Co to jest uwierzytelnianie dwuetapowe i dlaczego go potrzebuję?
Coraz więcej banków, firm obsługujących karty kredytowe, a nawet sieci społecznościowe i strony z grami zaczynają korzystać z uwierzytelniania dwuskładnikowego. Jeśli nie wiesz, co to jest i dlaczego warto zacząć z niego korzystać, przeczytaj, aby dowiedzieć się, jak dwuskładnikowe uwierzytelnianie może zapewnić bezpieczeństwo danych.
To, co dokładnie jest uwierzytelnieniem dwuetapowym?
How-To Geek Reader Jordan pisze proste pytanie:
Coraz częściej słyszę o uwierzytelnianiu dwuskładnikowym. Niewyraźnie pamiętam, jak Google robił z tego wielką sprawę w ubiegłym roku, mój bank niedawno zaoferował darmową breloczka dla cenionych klientów, a mój współlokator ma nawet jakąś aplikację na swoim telefonie, aby jego konto Diablo III nie zostało zhackowane. Rozumiem, że to jakieś narzędzie bezpieczeństwa, ale co to jest i czy powinienem go używać?
Aby zrozumieć, czym jest uwierzytelnianie dwuskładnikowe, najpierw przyjrzyjmy się, jakie jest jednoetapowe uwierzytelnianie i porównajmy je z rzeczywistymi i wirtualnymi modelami zabezpieczeń..
Kiedy wracasz do domu z pracy, wyciągasz klucze i otwierasz tylne drzwi, angażujesz się w proste jednokierunkowe uwierzytelnianie. Drzwi i zamek nie dbają o to, czy osoba posiadająca klucz jest tobą, twoim sąsiadem, czy przestępcą, który podniósł twoje klucze. Jedyną rzeczą, o którą chodzi w zamku jest to, że klucz pasuje (nie potrzebujesz dwóch kluczy, klucza i odcisków palców, ani żadnej innej kombinacji czeków). Klucz fizyczny jest pojedynczym potwierdzeniem, że osoba władająca nim może otworzyć drzwi.
Ten sam poziom jednokierunkowego uwierzytelniania występuje, gdy logujesz się do strony internetowej lub usługi, która wymaga jedynie Twojego loginu i hasła. Podłączyliście tę informację i istnieje ona jako jedyna kontrola, którą faktycznie jesteście.
Zakładając, że nikt nigdy nie ukradnie ci kluczy ani nie złamie / nie ukradnie twojego hasła, jesteś w dobrej formie. Chociaż skradzione klucze są dość niskim ryzykiem, bezpieczeństwo wirtualne jest bardziej złożone (i w przeciwieństwie do naruszeń bezpieczeństwa w Internecie, na przykład kierownik kompleksu apartamentów nigdy nie skopiowałby wszystkich kluczy i nie zostawił ich z nazwiskiem i adresem na rogu ulicy ).
Naruszenia bezpieczeństwa, wyrafinowane ataki i inne niefortunne, ale zbyt rzeczywiste aspekty pracy i grania w wirtualnej przestrzeni wymagają udoskonalonych praktyk bezpieczeństwa, w tym wielu złożonych i różnorodnych, skomplikowanych haseł oraz, jeśli to możliwe, uwierzytelniania dwuskładnikowego..
Co to jest uwierzytelnianie dwuskładnikowe i jak ono wygląda dla użytkownika końcowego? Przy minimalnym uwierzytelnianiu dwuskładnikowym wymagane są dwie z trzech zatwierdzonych przez organy regulacyjne zmiennych uwierzytelniających, takich jak:
- Coś, co wiesz (na przykład PIN na karcie bankowej lub hasło e-mail).
- Coś, co masz (fizyczna karta bankowa lub token uwierzytelniający).
- Coś, czym jesteś (dane biometryczne, takie jak odcisk palca lub wzór tęczówki).
Jeśli kiedykolwiek korzystałeś z karty debetowej, skorzystałeś z prostej formy uwierzytelniania dwuskładnikowego: nie wystarczy znać kodu PIN lub fizycznie mieć karty, musisz posiadać obie, aby uzyskać dostęp do konta bankowego za pośrednictwem bankomat.
Uwierzytelnianie dwuskładnikowe może przybierać różne formy i nadal spełnia wymagania 2 do 3. Może istnieć fizyczny token, taki jak te powszechnie stosowane w bankowości, gdzie generowany jest kod bezprzewodowy. Do zalogowania potrzebujesz swojej nazwy użytkownika, hasła i unikalnego kodu (który wygasł co 30 sekund). Inne firmy pomijają trasę niestandardowego sprzętu i dostarczają aplikacje na telefony komórkowe (lub kody dostarczone przez SMS), które zapewniają taką samą funkcjonalność. Chociaż nie jest to szczególnie powszechne, można również użyć uwierzytelniania dwuskładnikowego opartego na danych biometrycznych (np. Bezpieczeństwo zaszyfrowanego pliku za pomocą hasła i odcisku palca).
Dlaczego powinienem go używać i gdzie mogę go znaleźć?
Za każdym razem, gdy wprowadzasz dodatkową warstwę do rutyny bezpieczeństwa, zawsze musisz zadać sobie pytanie, czy problem jest uzasadniony. Wieloczynnikowe uwierzytelnianie na forum dyskusyjnym na temat samochodów sportowych, które nie zawiera żadnych danych osobowych i nie jest w żaden sposób powiązane z prawdziwym adresem e-mail lub informacje finansowe są oczywiście przesadą. Posiadanie drugiej warstwy uwierzytelnienia dla twojej karty kredytowej lub głównego konta e-mail jest jednak po prostu praktyczne - uraz osobisty i finansowy, który mógłby powstać w wyniku złodziejstwa tożsamości lub innego złośliwego podmiotu mającego dostęp do tych rzeczy, znacznie przewyższa drobne problemy z wprowadzeniem dodatkowa informacja.
W dowolnym czasie dostępne jest uwierzytelnianie dwuskładnikowe dla systemu, a system, który został naruszony, spowodowałby znaczne cierpienie, należy go włączyć. Po skrzywieniu poczty e-mail otwiera się inne usługi, które są narażone na szwank jako serwery poczty e-mail jako rodzaj klucza dostępu do resetowania hasła i innych zapytań. Jeśli Twój bank udostępnia mobilny wystawca uwierzytelnienia lub inne narzędzie, skorzystaj z niego. Nawet dla takich osób, jak twoi współlokatorzy, gracze na kontach Diablo III spędzają setki godzin budując swoje postacie i często wydają prawdziwe pieniądze kupując towary w grze, tracąc całą pracę, a sprzęt jest okropną propozycją, policzcie wystawcę na swoim koncie!
Nie każda usługa oferuje uwierzytelnianie dwuskładnikowe, niestety. Najlepszym sposobem, aby się tego dowiedzieć, jest przejrzenie najczęściej zadawanych pytań / plików pomocy i / lub skontaktowanie się z obsługą techniczną danej usługi. To powiedziawszy, wiele firm mówi o wprowadzeniu wieloskładnikowych schematów uwierzytelniania.
Google ma dwuskładnikowe uwierzytelnienie zarówno dla SMS-ów, jak i poręcznej aplikacji mobilnej - przeczytaj nasz przewodnik po instalacji i konfiguracji aplikacji mobilnej tutaj.
LastPass oferuje wiele form uwierzytelniania wieloskładnikowego, w tym za pomocą Google Authenticator. Mamy tutaj przewodnik konfiguracji.
Facebook ma dwuskładnikowy system o nazwie "zatwierdzenia logowania", który wykorzystuje SMS-y do potwierdzenia tożsamości.
SpiderOak, usługa pamięci masowej typu Dropbox, oferuje uwierzytelnianie dwuskładnikowe.
Blizzard, firma stojąca za takimi grami, jak World of War Craft i Diablo, ma darmowego uwierzytelniającego.
Nawet jeśli wygląda na to, że czyta się plik FAQ danej firmy, nie ma on uwierzytelnienia dwuskładnikowego, nie wysyła do nich e-maila i nie pyta. Im więcej osób pyta o czynnik dwuskładnikowy, tym większa szansa, że firma go wdroży.
Chociaż uwierzytelnianie dwuskładnikowe nie jest niewrażliwe na atak (wyrafinowany atak typu "człowiek w środku" lub kradzież dodatkowego tokena uwierzytelniającego i pokonanie go za pomocą potoku może go złamać), jest znacznie bezpieczniejsze niż poleganie na zwykłym haśle i po prostu posiadanie dwuskładnikowego systemu włączonego czyni cię mniej atrakcyjnym celem.
Znasz usługę, dużą lub małą, która oferuje uwierzytelnianie dwuskładnikowe? Zagraj w komentarzach, aby ostrzec innych czytelników.