Talaan ng mga Nilalaman:
- Ang Mga Pangunahing Kaalaman sa 2FA
- Ang Praktikal na Pitfalls
- Ang problema ng Pagbawi ng Account
- Ang 2FA Ay Tunay na Magaling
Video: Multi-Factor Authentication | Two-factor authentication Salesforce (Nobyembre 2024)
Sa linggong ito, naghuhukay ako pabalik sa aking ilalim na mailbag upang matugunan ang isa pang katanungan tungkol sa two-factor authentication (2FA). Ito ay isang paksa na naantig ko noon, ngunit ang paghusga mula sa dami at pagiging tiyak ng mga tanong na natanggap ko tungkol dito, malinaw na isang isyu na iniisip ng maraming tao. Yamang nakikita ko ang 2FA bilang, marahil, ang nag-iisang pinakamagandang bagay na maaaring gawin ng mga regular na tao upang manatiling ligtas sa online, mas masaya akong makipag-usap nang walang katapusang tungkol dito.
Ang tanong ngayon ay nagmula kay Ted, na sumulat sa pagtatanong tungkol sa kung ang mga 2FA system ba talaga ang lahat ng kanilang pinutok. Mangyaring tandaan na ang sulat ni Ted ay na-edit para sa pagkasira. Sinimulan ni Ted ang kanyang mensahe sa pamamagitan ng sangguniang ilan sa aking iba pang pagsulat sa 2FA.
Sumulat ka ng "Kapag na-enrol mo ang iyong security key, ang mga SMS ng mga passcode ay magiging isang pagpipilian sa pag-backup kung mawala ka o hindi ma-access ang iyong key." Kung totoo ito, kung gayon bakit mas ligtas ang aparatong ito kaysa sa isang 2FA SMS code? Tulad ng isinulat mo rin, "Ngunit maaaring magnanakaw ang mga telepono at ang SIM-jacking ay tila isang bagay na kailangan nating mag-alala ngayon."
Ano ang upang maiwasan ang isang tao na sabihin sa Google na sila ka, nawala ang security key at kailangan ng isang SMS code na ipinadala sa iyong ninakaw / jacked phone? Kung naiintindihan ko ito nang tama, ang aparatong ito pagkatapos ay hindi mas ligtas kaysa sa mga teksto ng 2FA na SMS. Ito ay mas maginhawa, iyon ay sigurado, ngunit nabigo ako upang makita kung paano ito mas ligtas.
Ang upshot ng lahat ng ito ay ang security key ay tataas ang iyong seguridad, ngunit dahil lamang mas malamang mong gamitin ito, hindi dahil sa likas na mas ligtas kaysa sa 2FA? Ano ako nawawala?
Wala kang nawawala, Ted. Sa katunayan, matalino kang pumili ng isang pangunahing isyu na pinagbabatayan ng maraming seguridad na nakapaligid sa online na pagpapatunay: paano mo ligtas na mapatunayan kung sino ang mga tao, nang hindi ginagawang imposible para sa kanila na mabawi ang kanilang mga account?
Ang Mga Pangunahing Kaalaman sa 2FA
Takpan muna natin ang ilang mga pangunahing kaalaman. Ang dalawang-factor na pagpapatunay, o 2FA, ay isang konsepto ng seguridad kung saan kailangan mong ipakita ang dalawang katibayan ng pagkakakilanlan, na tinatawag na mga kadahilanan, mula sa isang listahan ng isang posibleng tatlo.
- Isang bagay na alam mo, tulad ng isang password.
- Isang bagay na mayroon ka, tulad ng isang telepono.
- Isang bagay ka, tulad ng iyong fingerprint.
Sa mga praktikal na termino, ang 2FA ay madalas na nangangahulugang pangalawang bagay na ginagawa mo pagkatapos ipasok ang iyong password upang mag-sign in sa isang site o serbisyo. Ang password ay ang unang kadahilanan, at ang pangalawa ay maaaring alinman sa isang mensahe ng SMS na ipinadala sa iyong telepono gamit ang isang espesyal na code, o gamit ang Apple's FaceID sa isang iPhone. Ang ideya ay habang ang isang password ay maaaring mahulaan o nakawin, mas malamang na ang isang mang-atake ay maaaring makuha ang parehong iyong password at ang iyong pangalawang kadahilanan.
Sa kanyang sulat, partikular na nagtatanong si Ted tungkol sa mga key ng 2FA ng hardware. Ang serye ng YubiKey ni Yubico ay marahil ang pinakamahusay na kilalang pagpipilian, ngunit ang layo nito sa tanging pagpipilian. Ang Google ay may sariling mga susi ng Titan Security at nag-aalok ang Nitrokey ng isang bukas na mapagkukunan, upang pangalanan lamang ang dalawa.
Ang Praktikal na Pitfalls
Walang sistema ng seguridad ay perpekto, at ang 2FA ay hindi naiiba. Guemmy Kim, nangunguna sa pamamahala ng produkto para sa koponan ng Seguridad ng Account ng Google, tama na itinuro na marami sa mga system na umaasa sa atin para sa pagbawi ng account at ang 2FA ay madaling kapitan ng phishing. Ito ay kung saan ang mga masasamang tao ay gumagamit ng pekeng mga site upang linlangin ka sa pagpasok ng pribadong impormasyon.
Ang isa sa mga pinaka-kakaibang pag-atake ay ang SIM jacking, kung saan ang isang umaatake ay kinakalkula ang iyong SIM card o nililinlang ang kumpanya ng telepono sa pag-deregister sa iyong SIM card, upang maagawin ang iyong mga mensahe sa SMS. Sa sitwasyong ito, ang epektibong pag-atake ay maaaring mabisang kumatha sa iyo, dahil magagamit nila ang iyong numero ng telepono bilang kanilang sarili.
Ang isang hindi-eksotikong pag-atake ay simpleng lumang pagkawala at pagnanakaw. Kung ang iyong telepono o isang app sa iyong telepono ang iyong pangunahing nagpapatibay, at nawala mo ito, magiging sakit ng ulo. Ang parehong ay totoo para sa mga key ng hardware. Bagaman ang mga key sa seguridad ng hardware, tulad ng Yubico YubiKey, ay mahirap na masira, napakadali nilang mawala.
Ang problema ng Pagbawi ng Account
Ang itinuturo ni Ted sa kanyang liham ay hinihiling sa iyo ng maraming mga kumpanya na mag-set up ng isang pangalawang pamamaraan ng 2FA, bilang karagdagan sa isang key ng seguridad sa hardware. Halimbawa, hinihiling sa iyo ng Google na gamitin ang alinman sa SMS, i-install ang Authenticator app ng kumpanya, o i-enrol ang iyong aparato upang makatanggap ng mga abiso sa pagtulak mula sa Google na nagpapatunay sa iyong account. Lilitaw na kailangan mo ng hindi bababa sa isa sa tatlong mga pagpipilian na ito bilang isang backup sa anumang iba pang pagpipilian na 2FA na ginagamit mo - tulad ng mga Titan key mula sa Google.
Kahit na nagpatala ka ng pangalawang key ng seguridad bilang isang backup, kailangan mo pa ring paganahin ang SMS, Google Authenticator, o itulak ang mga abiso. Kapansin-pansin, kung nais mong gamitin ang Advanced na Program ng Proteksyon ng Google, kinakailangan ang pagpapatala ng isang pangalawang key.
Katulad nito, hinihiling din ng Twitter na gumamit ka ng alinman sa mga code ng SMS o isang app ng nagpapatibay bilang karagdagan sa isang opsyonal na key ng seguridad sa hardware. Sa kasamaang palad, pinapayagan ka lamang ng Twitter na mag-enrol ng isang susi sa seguridad sa bawat oras.
Tulad ng itinuro ni Ted, ang mga alternatibong pamamaraan na ito ay hindi gaanong ligtas kaysa sa paggamit ng isang key ng seguridad. Maaari ko lamang hulaan kung bakit ang mga sistemang ito ay ipinatupad sa ganitong paraan, ngunit hinala ko na nais nilang tiyakin na ang kanilang mga customer ay maaaring palaging ma-access ang kanilang mga account. Ang mga code ng SMS at apps ng authenticator ay mga pagpipilian na nasubok sa oras na madaling maunawaan ng mga tao at hindi hinihiling ang mga ito na bumili ng mga karagdagang aparato. Natutukoy din ng mga code ng SMS ang problema ng pagnanakaw ng aparato. Kung nawala mo ang iyong telepono o ninakaw, maaari mong malayuan i-lock ito, i-deauthorize ang SIM card nito, at makakuha ng isang bagong telepono na maaaring makatanggap ng mga SMS code upang makabalik sa online.
Personal, gusto kong magkaroon ng maraming mga pagpipilian na magagamit dahil habang nag-aalala ako tungkol sa seguridad ay alam ko rin ang aking sarili, at alam kong nawawala o nasisira ang mga bagay na medyo regular. Alam ko na ang mga taong hindi pa gumamit ng 2FA noon ay labis na nag-aalala tungkol sa paghahanap ng kanilang sarili na naka-lock sa kanilang account kung gumagamit sila ng 2FA.
Ang 2FA Ay Tunay na Magaling
Laging mahalaga na maunawaan ang mga drawback ng anumang sistema ng seguridad, ngunit hindi iyon wasto ang system. Habang ang 2FA ay may mga kahinaan, malaki ang naging tagumpay.
Muli, kailangan lang nating tumingin sa Google. Kinakailangan ng kumpanya ang paggamit ng mga key 2FA key sa loob, at ang mga resulta ay nagsasalita para sa kanilang sarili. Ang matagumpay na pagkuha ng account ng mga empleyado ng Google ay epektibong nawala. Mahalaga ito lalo na isinasaalang-alang na ang mga empleyado ng Google, kasama ang kanilang posisyon sa loob ng industriya ng tech at (ipinagpalagay) na kayamanan, ay pangunahing para sa mga target na pag-atake. Dito na ginugol ng mga umaatake ang malaking pagsisikap upang mai-target ang mga tiyak na indibidwal sa isang pag-atake. Ito ay bihirang, at karaniwang matagumpay kung ang nagsasalakay ay may sapat na pondo at pasensya.
Ang caveat dito ay kinakailangan ng Google ng isang tiyak na uri ng 2FA: mga key ng seguridad sa hardware. Ang mga ito ay may kalamangan sa iba pang mga scheme ng 2FA bilang napakahirap mag-phish o kung hindi man ay makagambala. Ang ilan ay maaaring sabihin imposible, ngunit nakita ko kung ano ang nangyari sa Titanic at mas kilala ang mas mahusay.
Gayunpaman, ang mga pamamaraan para sa paghawak sa mga code ng SMS ng 2FA, o mga token ng nagpapatibay na patas ay hindi gaanong kakaiba at hindi talaga masukat. Nangangahulugan ito na hindi nila gagamitin ng average na kriminal, na naghahanap upang gumawa ng kaunting pera nang mabilis at madaling hangga't maaari, sa average na tao, tulad mo.
Sa punto ni Ted: ang mga key ng security security ay ang pinaka ligtas na paraan na nakita pa nating gawin ang 2FA. Mahirap silang mag-phish at napakahirap pag-atake, bagaman hindi sila wala ng kanilang likas na kahinaan. Bukod dito, ang 2FA key key ay napatunayan sa hinaharap sa ilang antas. Maraming mga kumpanya ang lumilipat mula sa mga code ng SMS, at ang ilan ay yumakap pa rin sa mga password na walang password na umaasa nang buo sa mga key ng 2FA na gumagamit ng pamantayang FIDO2. Kung gumagamit ka ng isang key ng hardware ngayon, mayroong isang magandang pagkakataon na ma-secure ka sa darating na taon.
- Two-Factor Authentication: Sino ang May Ito at Paano Itakda Ito Dalawa-Factor Authentication: Sino May Ito at Paano Itakda Ito
- Google: Ang Pag-atake ng Phishing na Maaaring Talunin ang Dalawang-Dalubhasa ay Nasa Google: Ang Phry Attacks na Maaaring Talunin ang Dalaw-Bahagi
- SecurityWatch: Paano Hindi Makaka-lock Sa May Dalubhasang Dalubhasang Factor SecurityWatch: Paano Hindi Makaka-lock Sa May Dalubhasang Factor Authentication
Tulad ng ligtas bilang mga key ng 2FA, ang mas malaking ekosistema ay nangangailangan ng ilang mga kompromiso upang maiwasang hindi ka mai-lock ang iyong account. Ang 2FA ay kailangang maging isang teknolohiya na talagang ginagamit ng mga tao, o kung hindi man ito ay hindi katumbas ng halaga.
Dahil sa napili, sa palagay ko ang karamihan sa mga tao ay gagamit ng mga pagpipilian at mga pagpipilian sa 2FA na nakabase sa SMS dahil mas madali silang mag-set up at epektibong libre. Maaaring hindi ito ang pinakamahusay na posibleng mga pagpipilian, ngunit napakahusay na gumagana sila para sa karamihan sa mga tao. Maaaring magbago iyon sa lalong madaling panahon, gayunpaman, ngayon na hinahayaan ka ng Google na gumamit ka ng isang mobile device na nagpapatakbo ng Android 7.0 o mas bago bilang isang key ng seguridad sa hardware.
Sa kabila ng mga limitasyon nito, ang 2FA ay marahil ang nag-iisang pinakamahusay na bagay para sa seguridad ng consumer mula sa antivirus. Ito ay maayos at epektibong pinipigilan ang ilan sa mga pinaka-nagwawasak na pag-atake, lahat nang walang pagdaragdag ng labis na pagiging kumplikado sa buhay ng mga tao. Gayunpaman nagpasya kang gumamit ng 2FA, pumili ng isang paraan na may katuturan para sa iyo. Ang hindi paggamit ng 2FA ay higit na nakakasira kaysa sa paggamit ng isang bahagyang-hindi gaanong mahusay na 2FA lasa.
