Securitywatch: kung paano hindi mai-lock out na may dalawang-factor na pagpapatunay | max eddy

Ang mga tool sa seguridad ay madalas na lumilikha ng isang tiyak na halaga ng pagkabalisa. Ano ang mangyayari kung mawala ang aking password? O kung tinatanggal ng aking antivirus ang aking mga gamit? Ang pagdating ng pagpapatunay ng two-factor ay lumikha ng isang bagong twist sa isang pamilyar na pagkabalisa: ano ang mangyayari kung hindi ko magamit ang aking pangalawang kadahilanan at mai-lock ang aking account?

Si Jeremy na taga-Capetown ay sumulat ng ilang mga alalahanin tungkol sa 2FA. Na-edit ko ang kanyang sulat para sa brevity.

Mahal na Sir,

Hindi ako masyadong teknikal at nais ang isang aparato na may dalawang salik na nagpapatunay na hindi tumatakbo sa mga nakakalito na komplikasyon kapag nagse-set o mag-access tulad ng nakatagpo mo sa Yubikey. Ang aking pinakamalaking takot ay ang pag-lock sa aking sarili sa labas ng aking Gmail.

Mas mabuti bang bumili ng dalawang mga susi, na may isa bilang isang backup na susi?

Taos-puso

Jeremy

Kung sakaling hindi mo narinig ang pagpapatunay ng dalawang salik, o 2FA, narito ang gist: Ang 2FA ay isang pangalawang pagkilos na iyong gagawin pagkatapos mong ipasok ang iyong password upang ma-verify ang iyong pagkakakilanlan. Ang ideya ay maaaring magkaroon ng isang password ang isang umaatake, ngunit hindi sila magkakaroon ng iyong key ng seguridad, authenticator app, o SMS code. Mayroong isang buong teorya at kasanayan sa 2FA na hindi ako makakapasok dito, ngunit hinihikayat ko kayo at paganahin ang 2FA kung saan makakaya.

Si Jeremy ay nasa mabuting kumpanya sa kanyang pagmamalasakit sa 2FA. Maraming mga technically savvy at security na may malay-tao na alam kong patuloy na nag-eschew ng two-factor na proteksyon dahil natatakot silang ma-lock out, at maaaring mawala ang pag-access sa kanilang mga bagay magpakailanman. Ito ay isang tunay at wastong pag-aalala.

Mambabasa, Nangyari Ito sa Akin

Sa katunayan, nai-lock ako sa mga protektadong account ng 2FA dati. Higit sa isang beses. Bumalik sa araw, ang isa sa mga unang kumpanya na nag-aalok ng dalawang-factor na pagpapatunay ay si Blizzard. Ang mga manlalaro ng World of Warcraft ay nakakuha ng unang pag-access, dahil kailangan nilang protektahan ang kanilang hard-earn loot. Maaari mong maalala ang mga taong naglalakad sa paligid ng mga WoW keychain na nagpakita ng pagbabago ng mga numero sa isang LCD. Kalaunan ay pinino ng Blizzard ang karanasan sa isang mobile app, at pinagsama ang 2FA sa lahat ng mga gumagamit ng Battle.net.

Bilang isang paranoid person na ako, pinagana ko ang 2FA sa aking Blizzard account gamit ang espesyal na Blizzard Authenticator app. Agad kong nakalimutan na nagawa ko ito, at sa mga nakagambalang buwan, tinanggal ang app mula sa aking telepono at nakalimutan ang aking password. Sa kabutihang palad, si Blizzard ay may mahusay na serbisyo sa customer. Ang ilang mga email sa kanilang mga kawani ng jovial ay bumalik sa online sa loob ng ilang araw. Gayon pa man, kinakabahan ito. Nasanay na ako upang mahawakan ang aking sariling password na na-reset, at ang ideya na makisali sa isang aktwal na buhay na tao bilang bahagi ng proseso na naramdaman, well, sobrang kakatwa.

Mula nang nasanay na ako sa karanasan, at natutunan kong maging mas matalinong tungkol sa pagpapanatiling ligtas ang aking tunay na tagapagtotoo. Pinamamahalaan ko pa rin na paulit-ulit na mai-lock ang Battle.net, pati na rin ang Steam at iba pang mga serbisyo.

Depende sa kung paano i-configure ng isang kumpanya ang pag-aalok ng 2FA, maaari mong makita ang iyong sarili na kailangang yumuko pabalik upang makakuha ng kontrol sa iyong account. Tulad ng nakakainis na tunog na iyon, talagang nangangahulugang gumagana ang serbisyo. Dapat kang tumalon sa maraming mga hoops kung wala kang tunay. Kung madali para sa iyo, kung gayon magiging madali para sa isang masamang tao.

I-Multiply ang Iyong Mga Kadahilanan

Sa kabutihang palad, mayroong isang madaling paraan upang maiwasan ang mai-lock out ng 2FA: gumamit ng maraming mga pagpipilian sa 2FA. Maaari itong kumilos bilang isang backup kung sakaling wala kang access sa ibang opsyon na 2FA. Halimbawa, gumagamit ako ng isang YubiKey 5 NFC kasama ang aking mga Google account, ngunit pinagana ko rin ang pag-tap sa isang notification sa pag-verify ng verification sa aking telepono. Kung wala akong Yubikey, gagamitin ko iyon.

Ang pagdaragdag ng higit pang mga aparato ng multifactor ay nagdaragdag ng panganib na maaaring makompromiso ang iyong account. Ngayon ay may dalawang paraan upang makapasok sa iyong account, sa halip na iisa lamang. Naniniwala ako na ang mga gantimpala ng hindi naka-lock sa labas ng iyong account ay labis na higit sa hindi malamang na sitwasyon na kung saan ikaw ay sinalsal at kinuha ng perp ang iyong pitaka, mga susi, at susi ng seguridad at isinulat mo rin ang iyong password.

Ang bundle ng Google Titan Security Key.

Ang pinakamahusay na pag-endorso ng paggamit ng higit sa isang 2FA aparato ay nagmula sa Google, na nagbibigay ng dalawang mga susi sa bundle ng Titan Key. Ang mga ito ay partikular na nilikha upang gumana sa sistema ng Advanced na Proteksyon ng Google, na kinakailangan mong mag-enrol ng dalawang magkakahiwalay na mga key ng seguridad. Gumagamit ka ng isa araw-araw, at inilalagay mo ang iba pa para sa mga emerhensiya. Kaya, upang direktang sagutin ang tanong ni Jeremy: Hindi masamang ideya na magkaroon ng dalawang susi para sa iyong account.

Sa kasamaang palad, hindi lahat ng mga site ay nagbibigay-daan sa iyo upang magpatala ng higit sa isang pagpipilian ng multifactor. Kung iyon ang kaso, inirerekumenda ko ang paggamit ng 2FA na opsyon na sa tingin mo ay maaasahan para sa iyo.

Pagbuo ng Iyong Authenticator Arsenal

Kung pipiliin mong bumili ng maramihang mga susi 2FA key, inirerekumenda ko ang alinman sa aming Editors 'Choice Security Key ni Yubico o ang Titan Key bundle mula sa Google. Ang pangunahing key ng seguridad ni Yubico ay nagkakahalaga lamang ng $ 20 bawat isa, o $ 36 para sa dalawa. Ang bundle ng Google ay nagkakahalaga ng $ 50 at may kasamang dalawang aparato: isang USB key at isang baterya na pinalakas ng baterya na Bluetooth.

Ang Security Key ni Yubico

Sa loob ng maraming taon, ang pinakakaraniwang paraan upang magamit ang 2FA ay ang magkaroon ng isang beses na mga code na ipinadala sa iyong telepono sa pamamagitan ng text message. Marahil ay kailangan mo pa ring gamitin ito sa iyong bangko, dahil ang mga institusyong pampinansyal ay may posibilidad na gumamit ng mga bagong teknolohiya nang mas mabagal. Ang kawili-wili, ang Google ay nangangailangan pa rin sa iyo upang paganahin ang mga code ng SMS kung nais mong gumamit ng anumang iba pang mga 2FA system. Sa tanong ni Jeremy, nangangahulugan ito kapag nagpunta ka upang ma-enrol ang iyong bagong key ng seguridad sa Google, kakailanganin mo na paganahin ang isang pangalawang pagpipilian sa 2FA sa anyo ng mga code ng SMS.

Ang isa pang pagpipilian ay ang paggamit ng Google Authenticator, o isang katulad na app tulad ng LastPass Authenticator. Ang mga mobile app na ito ay bumubuo ng anim na digit na passcode tuwing 30 segundo. Buksan lamang ang app, kopyahin ang code, at nakapasok ka. Ito ay lalo na madaling gamitin bilang isang pagpipilian ng backup na 2FA, dahil ang app ay gumagana kahit na walang serbisyo ng cellular o Wi-Fi.

Kung ang lahat ng mga iyon ay mukhang nakakabahala, maaari mong gamitin ang aking ginustong pamamaraan: mga pisikal na code ng backup. Maaaring nakita mo ito kapag lumilikha ng mga account, o pag-enrol sa 2FA. Ito ay isang grid ng maraming mga numero na maaari mong gamitin bilang kapalit ng isang password at 2FA token. Isang beses lamang silang nabuo, at kung muling nabuo ang mga ito, ang mga luma ay itatapon. Sa isip, mai-secure mo ang mga ito sa isang naka-encrypt na file vault, o mas mahusay pa sa isang piraso ng papel na naka-tuck sa isang ligtas na lugar.

Nang nilikha nito ang programa ng Advanced na Proteksyon, ang Google ay pumili ng maraming mga susi sa hardware dahil ang lahat ng iba pang mga pagpipilian na nakalista ko sa itaas - kasama ang mga backup code - ay maaaring makuha ng isang mahusay na gawaing pahina ng phishing. Ang paglalagay ng isang key ng seguridad ay mas mahirap.

• Two-Factor Authentication: Sino ang May Ito at Paano Itakda Ito Dalawa-Factor Authentication: Sino May Ito at Paano Itakda Ito
• Bakit Hindi Ka Gumagamit ng Dalawahang Pagpapatunay sa Dalubhasa? Bakit Hindi Ka Gumagamit ng Dalawahang Pagpapatunay sa Dalubhasa?
• Google: Ang Pag-atake ng Phishing na Maaaring Talunin ang Dalawang-Dalubhasa ay Nasa Google: Ang Phry Attacks na Maaaring Talunin ang Dalaw-Bahagi

Tandaan na hindi lahat ng mga site ay sumusuporta sa bawat uri ng nagpapatibay. Ang LastPass, halimbawa, ay nagbibigay-daan sa iyo na gamitin ang mga key ng seguridad, ngunit ang mga susi lamang na sumusuporta sa mga one-time na mga passcode. Ang pagguhit kung aling mga nagpapatunay na gagamitin ay madalas na isang function ng kung ano ang mga pagpipilian ay suportado.

Ang Iyong Mga Unang Hakbang para sa Dalawang-Factor Authentication

Iyon ay sinabi, inirerekumenda ko na ang sinumang bago sa 2FA ay subukan ito gamit ang isang system maliban sa mga key ng seguridad. Kung hindi ka sanay na magkaroon ng ikalawang bagay sa paligid upang mag-log in, mas malamang na magulo ka sa isang bagay na hindi pamilyar bilang isang key ng seguridad. Sa halip, subukang gumamit ng mga notification ng push, mga code na ipinadala sa pamamagitan ng text message, Duo, o Google Authenticator (o mga katulad na code generator). Ginagamit ng mga ito ang mga aparato na mayroon ka, kaya walang gastos sa pagpasok. Sa sandaling pamilyar ka sa kung paano gumagana ang 2FA, at nagsisimula itong pakiramdam tulad ng pangalawang kalikasan, maaari mong isipin ang tungkol sa pag-plonking ng pera para sa isang (s) seguridad.

Mahalaga lamang ang isang tampok sa seguridad kung talagang ginagamit mo ito. Kaya't paganahin ang 2FA, ngunit bigyan ang iyong sarili ng pahintulot upang i-play sa paligid nito at makahanap ng isang pamamaraan na gumagana para sa iyo.