Як правильно зробити 2FA: Початок роботи з двофакторною автентифікацією

Зміст:

Anonim

Двофакторна автентифікація (2FA) раніше здавалася чимось зарезервованим для шпигунських фільмів чи політичних трилерів-саме те, що Ітан Хант з «Неможливої ​​місії» повинен використати, щоб отримати доступ до свого завдання, перш ніж воно самознищиться. Але це вже не так. Практично всі ми щодня використовуємо 2FA, будь то біометрична 2FA на наших пристроях (відбитки пальців або розпізнавання облич) або звичайні одноразові паролі, які отримуються за допомогою SMS або програми автентифікації.

Наші акаунти надто цінні, щоб ігнорувати їх хакери. Навіть скомпрометований обліковий запис електронної пошти може стати сходинкою для отримання доступу до фінансових рахунків та позбавити вас ваших важко зароблених грошей, створюючи для вас сценарій кошмару. Хоча у фільмах зображено хакера в капюшоні з пальцями, які люто літають над клавіатурою, насправді така ситуація свідчить про те, що згідно зі Звітом розслідування порушень даних Verizon у 2022-2023 роках переважна більшість порушень безпеки (85%) стосуються людського елемента. 2FA - найкращий спосіб боротьби з такими атаками.

  • Найкращі послуги VPN 2022-2023
  • Програма Norton Antivirus тепер дозволяє заробляти на криптовалюті - ось що ви можете добути
  • Найкращі пропозиції для ноутбуків у червні 2022-2023 року

Незалежно від того, чи вважаєте ви, що це для вас справжнє занепокоєння чи ні, багато компаній переходять на 2FA як необхідний захід безпеки, оскільки Google одна з останніх оголосила про те, що найближчим часом їй знадобиться 2FA.

Нещодавно ми розглянули, чому вам потрібно припинити використовувати свій номер телефону для двофакторної автентифікації, якщо ви пропустили це і не впевнені, чому це така погана ідея, прочитайте його і поверніться, тепер ми покажемо вам, як зробити 2FA правильним способом.

Що таке двофакторна автентифікація?

2FA-найвідоміша та найуживаніша форма багатофакторної автентифікації (MFA), яка, як випливає з назви, спирається на численні фактори для того, щоб перевірити вашу особу. Класичний приклад - отримання грошей з банкомату, щоб отримати доступ до свого облікового запису, потрібна картка та PIN -код.

Цей приклад включає дві з трьох категорій МЗС: «те, що у вас є» (фізичний об'єкт) і «те, що ви знаєте» (пароль або секретне питання). Третій варіант - "те, що ви є", що означає біометричний метод, такий як сканер відбитків пальців або розпізнавання обличчя. На відміну від навіть неймовірно складного пароля, це виключає можливість злому вашого облікового запису без фізичного доступу до вас.

У вищезгаданому оголошенні 2FA від Google в ньому згадуються паролі як «найбільша загроза вашій безпеці в Інтернеті». Наразі паролі для більшості людей все ще є частиною процесу 2FA. Однак суть полягає в тому, що вони є слабкою точкою в ланцюжку, яку необхідно підкріпити принаймні одним додатковим фактором. Тож давайте розглянемо найкращі варіанти 2FA.

Двофакторна автентифікація на основі додатків

Як і практично у всьому, існують рішення додатків для роботи з 2FA, які називаються програмами автентифікації. На ринку є десятки, але я рекомендую кілька Authy, Microsoft Authenticator, LastPass та 1Password. Google Authenticator - це ще один популярний варіант, але мені не подобається, що він не вимагає ані пароля, ані біометричного входу, це потенційний розрив безпеки у процесі, який намагається їх усунути.

Authy - це спеціальний додаток для автентифікації, який спеціально використовується для входу в систему 2FA. Microsoft Authenticator, LastPass та 1Password - це менеджери паролів, які включають компонент автентифікації. Якщо вам потрібен менеджер паролів або ви вже користуєтесь одним із них, я б пішов цим шляхом, оскільки він робить процес 2FA максимально безперебійним.

Вибравши додаток для автентифікації та встановивши його, можна приступати до налаштування 2FA для своїх облікових записів. Це стане найбільш нудною частиною процесу, оскільки він передбачає відвідування будь -якої служби чи сайту, які ви використовуєте, що пропонує підтримку 2FA по одному. Я підозрюю, що це крок, який відштовхує більшість людей від використання 2FA, але це, зрештою, вартує вашої безпеки в мережі. І як тільки ви запустіть 2FA, деякі не зможуть це зробити.

Під час початкового налаштування ви або відскануєте QR -код, або в деяких випадках введіть код, а потім ця служба буде збережена у вашій програмі автентифікації. Ви побачите свої облікові записи з набором із шести цифр біля них і таймером для зворотного відліку. Кожні 30 секунд для кожного створюється новий випадковий шестизначний код. Це одноразові паролі (TOTP), орієнтовані на час, подібні до того, що ви отримаєте за допомогою SMS або електронної пошти, але вони не вимагають підключення до Інтернету та критично не можуть бути перехоплені.

Тепер у більшості випадків вам не потрібно буде вводити свій код TOTP щоразу під час входу, якщо ви не хочете такого рівня безпеки. Як правило, потрібно лише використовувати його, коли ви входите на новий пристрій або після того, як пройде певний час, зазвичай це 30 днів, але сайти та послуги залежать від цього.

Апаратна двофакторна автентифікація

Тепер, хоча, безумовно, є фактор зручності з мобільними автентифікаторами. У дворічному тематичному дослідженні з Google апаратне рішення було в чотири рази швидшим, менш схильним до необхідності підтримки та більш безпечним. Апаратне рішення MFA/2FA дуже схоже на флешку. Вони бувають різних форм і розмірів, що пропонують підтримку будь-якого вашого пристрою з USB Type-A, USB Type-C та Lightning. Деякі сучасні варіанти також пропонуватимуть бездротову підтримку через NFC або Bluetooth.

За допомогою цих ключів безпеки ви просто підключаєте їх до свого пристрою або проводите ними по чіпу NFC на своєму пристрої, і це служить вашим методом 2FA. Це категорія МЗС "те, що у вас є". Легко побачити, як це буде швидше, ніж відкривати програму автентифікації, знаходити відповідний код TOTP, а потім вводити його до скидання.

Так само, як і програми аутентифікації, існує значна кількість варіантів, коли мова йде про обладнання 2FA. Найвідоміший (і той, з яким Google працював із більш ніж 50 000 співробітниками) - YubiKey. У самої Google є ключ безпеки Titan, а Фетіда - ще один сильний гравець на ринку, але всі ці варіанти мають сертифікат FIDO U2F, відкритий стандарт, створений Google та Yubico (компанія, що стоїть за YubiKey) ще у 2007 році для сприяння широкому впровадженню безпечних автентифікація.

Основний процес налаштування по суті ідентичний методу мобільної автентифікації, вам потрібно буде зайти в кожну службу та слідувати інструкціям щодо налаштування 2FA. Замість того, щоб сканувати QR -код і отримувати коди TOTP, ви або вставите плагін, або проведіть по ньому ключ безпеки, коли буде запропоновано, і він буде зареєстрований у цій службі. Коли вам буде запропоновано в майбутньому, вам просто доведеться ще раз підключити або провести пальцем по ключу безпеки та торкнутися контакту на ньому. Якщо ви не впевнені, якими службами та програмами ви користуєтесь, які підтримують ключ безпеки, зверніться до цього зручного каталогу Yubico.

Найчастіше проблеми з ключем безпеки - це те, що робити, якщо ви його втратите або він зламається. Є кілька варіантів. Ключ, який використовує Google, і Yubico рекомендує зберігати два ключі безпеки: один надійно зберігається, а інший зберігається у вас. За винятком деяких крихітних ключів безпеки, які призначені для постійного підключення до пристроїв, що знаходяться в безпечному місці, усі ключі безпеки мають отвір, що дозволяє прикріпити їх до кільця для ключів.

Це означає, що щоразу, коли ви реєструєтесь у 2FA на новій службі, вам потрібно запустити обидва ключі безпеки, оскільки вони реєструються на фізичному обладнанні, а не в обліковому записі, але знову ж таки після початкового налаштування це не повинно бути частим явищем проблема. Вони не надто дорогі, якщо YubiKey 5 NFC коштує, наприклад, за 45 доларів, а ключ безпеки Thetis FIDO2 BLE доступний за ціною менше 30 доларів, і вам не доведеться міняти їх роками, тому це не погане рішення.

Альтернативою є те, що вам потрібно зберегти резервні коди, які надаються усіма сайтами та службами, на яких ви використовуєте 2FA. Вони можуть бути роздруковані та збережені в захищеному місці, або ви можете зашифрувати та зберегти текстові файли в безпечному місці або у заблокованій паролем та зашифрованій папці, або на флеш-накопичувачі, який надійно зберігається.

Огляд

Незалежно від того, чи ви обираєте рішення 2FA на основі додатків або апаратного забезпечення, немає сумнівів, що початкова настройка є однією з найбільших перешкод, враховуючи величезний обсяг веб-сайтів, служб та програм, якими користуються багато хто з нас. Мені було легше просто виконувати 3-5 днів на день, поки я не пробився до них усіх, а не йшов на одну реєстраційну сесію марафону.

Однак, коли ви завершите цей початковий процес, це досить безболісний додатковий крок, який пропонує вам набагато більшу безпеку, ніж лише пароль або рішення 2FA на основі SMS або електронної пошти. Ви можете трохи потерпіти час у додатковий час, витрачений час від часу на те, щоб або ввести код, або вставити ключ безпеки, але це блідне в порівнянні з головним болем того, що доводиться мати справу з кимось, хто вкраде ваші облікові дані та потенційно переверне ваше життя під час спроби щоб відновити контроль над своїми рахунками.

Оскільки такі компанії, як PayPal, Google та інші, переходять на 2FA як вимогу, вам знадобиться рішення 2FA. Не погоджуйтесь на рішення на основі SMS або електронної пошти, їх просто занадто легко обійти. І програми аутентифікації, і ключі безпеки апаратного забезпечення забезпечують справжню надійну безпеку 2FA, і після цього процесу початкового налаштування вона швидко стає невід’ємною частиною ваших звичок безпеки в Інтернеті.