Но двуфакторното удостоверяване не е някакъв сребърен куршум, способен да спре хакерите на пътя им. Това е полезна контрамярка, която да имате сред защитите си, но в крайна сметка не е заместител на практическите познания за най-големите заплахи, пред които сме изправени онлайн.
Препоръчани видеоклипове
Активирайте двуфакторно удостоверяване, когато се предлага възможност – но не правете грешката да разчитате на неговата защита, ако не разбирате от какво може и от какво не може да се защити. Както доказа 2016 г., защитата на данните е сложна и прекомерната самоувереност може да ви остави отворени за атака.
Свързани
- Паролите са трудни, а хората са мързеливи, показва нов доклад
- Twitter вече не се нуждае от телефонни номера за двуфакторно удостоверяване
- Google предлага свой собствен USB защитен ключ „Titan“ за влизане без парола
Вие ли сте този, за който се представяте?
В основата си двуфакторното удостоверяване е свързано с проверка на идентификационни данни. Това е начин да се уверите, че някой е този, за когото се представя, чрез проверка на два различни вида доказателства. Този вид система съществува от години.
Ако не разбирате основите на компютърната сигурност, не трябва да ви позволяват да банкирате в Интернет.
Плащанията с кредитни карти с чип и ПИН са може би най-разпространеният пример; те разчитат на това, че потребителят притежава физическа карта и знае неговия ПИН. Докато крадецът би могъл да открадне карта и научете ПИН кода, не е лесно да управлявате и двете.
Имаше време, не толкова отдавна, когато финансовите транзакции бяха единствената причина хората да трябва редовно да удостоверяват самоличността си. Днес всеки, който използва интернет, има набор от акаунти, до които не би искал всеки да има достъп, поради различни причини.
Финансовата индустрия успя да приложи двуфакторна автентификация много лесно, защото единственият хардуер, който трябваше да бъде разпространен, беше банкова карта. Разпространяването на подобна система за ежедневни уебсайтове е почти невъзможно, така че двуфакторният се активира чрез други средства. И тези методи имат свои недостатъци.
Потребителски опит
„Наистина ми писна всички удобни неща в живота изведнъж да станат твърде тромави за използване“, гласи коментар, публикуван на 2005 г. Наклонена точка статия за предстоящото нарастване на двуфакторното удостоверяване във връзка с онлайн банкирането. „Наистина, наистина не бих искал да имам труден за носене жетон.“
„Политиците нямат представа какво въздействие има това върху реалния свят“, съгласи се втори, оплаквайки се от заплахата потребителите да бъдат принудени да купуват допълнителен хардуер. „Ако не разбирате основите на компютърната сигурност, не трябва да ви позволяват да банкирате в Интернет“, добави друг коментатор.
Днес оплаквания като тези изглеждат положително глупави, но през 2005 г. потребителите бяха по-обмислени относно цената и раздразнението от носенето на някаква форма на двуфакторен токен. Реакцията на потребителите може да се окаже още по-негативна, когато нещо по-малко важно от банкирането е защитено. През 2012 г. беше заведен колективен иск срещу разработчика на игри Blizzard Entertainment, след като компанията въведе периферно устройство за удостоверяване, предназначено да защитава акаунтите на потребителите в Battle.net, според доклад от Би Би Си.
LastPass
Усилията за прилагане на този вид двуфакторна автентификация са налице от 80-те години на миналия век, когато Security Dynamics Technologies патентова „метод и апарат за положително идентифициране на индивид“. До 2000-те години инфраструктурата и производствените възможности бяха на място за организации, вариращи от финансови институции до издатели на видеоигри, за да наложат своите собствени средства за двуфакторен подход удостоверяване.
За съжаление, потребителите решиха да не си сътрудничат. Независимо дали вторият фактор за удостоверяване е бил толкова прост като LCD екран, който доставя уникален код, или толкова сложен като скенер за пръстови отпечатъци, идеята за наличието на още един физически хардуер - и потенциално един за всяка различна услуга, която изисква уникално влизане - не беше привлекателно за маси.
Възможно е да си представим алтернативна история, в която двуфакторността никога не се е възприела поради този проблем. За наше щастие Apple представи iPhone, а Google го представи Android. Смартфоните предоставят устройство с възможност за двуфакторно удостоверяване в ръцете на милиарди по целия свят, разрешавайки проблема с удобството, от който потребителите се оплакваха през 2005 г.
Смартфоните са удобни, но крият своите рискове
Вездесъщият характер на смартфоните позволи на сайтовете и услугите да премахнат неприятностите от процеса на двуфакторна автентификация. „Тези, които използват вашия мобилен телефон, обикновено са много лесни за използване, много слабо въздействие“, каза експертът по сигурността и сътрудник от Харвард Брус Шнайер, говорейки пред Digital Trends по-рано този месец. „Защото това е нещо, което вече имате. Не е нещо ново, което трябва да носите със себе си.
Възможно е да си представим алтернативна история, в която двуфакторността никога не се е утвърдила.
В определени сценарии този подход може да предложи определени ползи. Например, ако влизате в услуга от нов компютър, може да бъдете помолени да въведете код, изпратен до надеждно устройство, както и вашата стандартна парола. Това е добър пример за това как да използвате двуфакторно удостоверяване; някой друг може да е откраднал паролата ви и да се е опитал да влезе в свързания акаунт от тяхната система - но освен ако вече не е откраднал телефона ви, няма да може да получи достъп.
Има обаче заплахи, с които този вид защита просто не може да се справи. През 2005 г. Шнайер написа, че „двуфакторното удостоверяване не е нашият спасител“ в блог пост задълбочавайки се в неговите слабости.
Той продължи да описва как атаката "човек по средата" може да измами потребителя да мисли, че са на законен уебсайт и ги убедете да предложат и двете форми на удостоверяване на фалшиво влизане екран. Той също така отбелязва, че троянски кон може да бъде използван за прехвърляне на легитимно влизане, което е извършено с помощта на две форми на удостоверяване. Съществува и проблемът с централизирането на сигурността на едно устройство; повечето хора използват активиран от смартфон двуфактор за множество уебсайтове. Ако този телефон бъде откраднат и компрометиран, всички тези сайтове са изложени на риск.
Знанието е сила
„Когато влизате в акаунта си, двуфакторният е страхотен“, каза Шнайер. „Моят университет, Харвард, го използва, моята компания го използва. Много хора са го приели и е много полезно. Но това, за което писах тогава, проблемът беше, че на него се гледаше като на панацея, ще реши всичко. Разбира се, знаем, че не е така.“
Финансовата печалба винаги ще мотивира злонамерените хакери да култивират нови техники за достъп до акаунти на други хора. Докато има полза от притежаването на идентификационни данни на някой друг, ще видим как хакерството се развива непрекъснато.
„Има много различни заплахи и много различни механизми за сигурност“, обясни Шнайер. „Няма само една заплаха, нито само един механизъм, има много заплахи и много механизми.“
Най-добрата защита е непрекъснат поток от нови и подобрени контрамерки. Ако продължим да променяме и актуализираме методите, които използваме, за да защитим нашите акаунти, ще затрудним нещата за всеки, който се опитва да получи достъп без разрешение.
За съжаление нападателите имат инициативата. Отне години, преди двуфакторната автентификация да бъде приета от масите. С появата на нови форми на защита ние като потребители трябва да се ангажираме да се възползваме от тях. И това ни връща обратно във форумите на Slashdot, около 2005 г. Всички отново ставаме потребители, оплакващи се от удобството, вместо да се тревожим за сигурността.
Трудно е да се пренебрегне колко често срещани са станали широкомащабните хакове и няма признаци, че тази форма на престъпност ще изчезне. Няма защита, която да е 100 процента способна да блокира всякакъв вид атака; престъпниците винаги ще намерят начин да се възползват и от най-малката слабост. Въпреки че не е лесно, най-добрият начин да сте в безопасност онлайн е да сте наясно със заплахите и да знаете какво може да се направи, за да се предпазите от тези заплахи.
Онлайн сигурността е като плащането на застраховка или ходенето на зъболекар. Не изглежда толкова важно, докато не стане. Не е достатъчно просто да се включите във формите на защита, предлагани от различни сайтове и услуги. Да знаем от какви атаки ни защитават тези защити – и от какви не – е единственият начин да поемете отговорност за собствената си сигурност.
Препоръки на редакторите
- Двуфакторното удостоверяване на SMS на Twitter има проблеми. Ето как да превключите методите
- Ето защо хората казват, че двуфакторното удостоверяване не е перфектно
- Хакерите намират начин да заобиколят двуфакторното удостоверяване на Gmail
