Men to-faktor autentificering er ikke en sølvkugle, der er i stand til at stoppe hackere i deres spor. Det er en nyttig modforanstaltning at have blandt dine forsvar, men i sidste ende er det ingen erstatning for en praktisk viden om de største trusler, vi står over for online.
Anbefalede videoer
Aktiver to-faktor-autentificering, hvor som helst muligheden tilbydes - men begå ikke den fejl at stole på dens beskyttelse, hvis du ikke forstår, hvad den kan og ikke kan forsvare sig imod. Som 2016 viste, er det komplekst at holde data sikre, og overmod kan gøre dig åben for angreb.
Relaterede
- Adgangskoder er svære, og folk er dovne, viser ny rapport
- Twitter har ikke længere brug for telefonnumre til to-faktor-godkendelse
- Google tilbyder sin egen 'Titan' USB-sikkerhedsnøgle til adgangskodefri login
Er du den du siger du er?
I sin kerne handler to-faktor-autentificering om at tjekke legitimationsoplysninger. Det er en måde at sikre sig, at nogen er den, de hævder at være, ved at verificere to forskellige typer af beviser. Denne form for system har eksisteret i årevis.
Hvis du ikke forstår det grundlæggende i computersikkerhed, bør du ikke have lov til at banke på internettet.
Chip-and-PIN kreditkortbetalinger er måske det mest allestedsnærværende eksempel; de er afhængige af, at brugeren har et fysisk kort i deres besiddelse og kendskab til deres PIN-kode. Mens en tyv kunne tænkes at stjæle et kort og lære pinkoden, det er ikke nemt at administrere begge dele.
Der var engang, for ikke så længe siden, hvor finansielle transaktioner var den eneste grund til, at folk skulle autentificere deres identitet regelmæssigt. I dag har enhver, der bruger internettet, en række konti, som de ikke vil have, at hvem som helst skal have adgang til, af forskellige årsager.
Finansindustrien formåede meget nemt at implementere to-faktor autentificering, fordi den eneste hardware, der skulle distribueres, var et bankkort. Det er næsten umuligt at distribuere et lignende system til hverdagswebsteder, så to-faktor er aktiveret på andre måder. Og disse metoder har deres egne fejl.
Brugererfaring
"Jeg er virkelig træt af, at alle de bekvemme ting i livet pludselig bliver for besværlige at bruge," lyder en kommentar til en 2005 SlashDot artikel om den forestående stigning i to-faktor autentificering i forhold til netbank. "Jeg ville virkelig, virkelig hade at have en svær token at bære rundt på."
"Politikere har ingen idé om, hvilken indflydelse dette har på den virkelige verden," sagde en anden og beklagede truslen om, at brugere bliver tvunget til at købe ekstra hardware. "Hvis du ikke forstår det grundlæggende i computersikkerhed, bør du ikke have lov til at banke på internettet," tilføjede en anden kommentator.
I dag virker klager som disse positivt tåbelige, men i 2005 blev brugerne mere overvejet over omkostningerne og irritationen ved at bære en form for to-faktor token. Brugersvar kan vise sig at være endnu mere negativt, når noget mindre vigtigt end bank er beskyttet. I 2012 blev der anlagt et gruppesøgsmål mod spiludvikleren Blizzard Entertainment efter selskabet introducerede en autentificeringsudstyr designet til at forsvare brugernes Battle.net-konti ifølge en rapport fra BBC.
LastPass
Bestræbelser på at implementere denne form for to-faktor autentificering havde været på plads siden 1980'erne, hvor Security Dynamics Technologies patenteret en "metode og apparat til positiv identifikation af et individ." I 2000'erne var infrastrukturen og produktionsevnen på plads for organisationer lige fra finansielle institutioner til videospilsudgivere for at håndhæve deres egne midler til to-faktor Godkendelse.
Desværre besluttede brugerne ikke at samarbejde. Uanset om den anden faktor for autentificering var så simpel som en LCD-skærm, der leverede en unik kode, eller så kompleks som en fingeraftryksscanner, at have endnu et stykke fysisk hardware - og potentielt en for hver anden tjeneste, der krævede et unikt log-in - var utiltalende for masser.
Det er muligt at forestille sig en alternativ historie, hvor to-faktor aldrig fangede på grund af dette problem. Heldigvis for os introducerede Apple iPhone, og Google introducerede Android. Smartphones sætter en enhed, der er i stand til to-faktor-godkendelse, i hænderne på milliarder på verdensplan, hvilket løste det bekvemmelighedsproblem, som brugerne klagede over i 2005.
Smartphones er praktiske, men har deres egne risici
Den allestedsnærværende karakter af smartphones har gjort det muligt for websteder og tjenester at fjerne besværet fra to-faktor autentificeringsprocessen. "Dem, der bruger din mobiltelefon, har en tendens til at være meget nemme at bruge, meget lav effekt," sagde sikkerhedsekspert og Harvard-stipendiat Bruce Schneier, der talte til Digital Trends tidligere på måneden. "Fordi det er noget, du allerede har. Det er ikke noget nyt, du skal have med dig."
Det er muligt at forestille sig en alternativ historie, hvor to-faktor aldrig fangede.
I visse scenarier kan denne tilgang give klare fordele. For eksempel, hvis du logger på en tjeneste fra en ny computer, kan du blive bedt om at indtaste en kode, der er sendt til en pålidelig enhed, samt din standardadgangskode. Dette er et godt eksempel på, hvordan man bruger to-faktor-godkendelse; en anden kunne have stjålet din adgangskode og forsøgt at logge ind på den tilknyttede konto fra deres system - men medmindre de allerede har stjålet din telefon, vil de ikke kunne få adgang.
Der er dog trusler, som denne form for beskyttelse simpelthen ikke kan håndtere. I 2005 skrev Schneier, at "to-faktor autentificering er ikke vores frelser" i en blogindlæg dykke ned i dens svagheder.
Han fortsatte med at beskrive, hvordan et man-i-midten-angreb kunne få brugeren til at tro, at de på et legitimt websted og overbevise dem om at tilbyde begge former for godkendelse til et falsk log-in skærmen. Han bemærker også, at en trojaner kunne bruges til at piggyback af et legitimt log-in, der blev udført ved hjælp af to former for godkendelse. Der er også problemet med at centralisere sikkerheden på en enkelt enhed; de fleste bruger en smartphone-aktiveret to-faktor til flere websteder. Hvis telefonen bliver stjålet og kompromitteret, er alle disse websteder i fare.
Viden er magt
"Når du logger ind på din konto, er to-faktor fantastisk," sagde Schneier. "Mit universitet, Harvard, bruger det, mit firma bruger det. Mange mennesker har taget det til sig, og det er meget nyttigt. Men hvad jeg skrev om dengang, problemet var, at det blev set på som et vidundermiddel, det vil løse alt. Selvfølgelig ved vi, at det ikke gør det."
Økonomisk gevinst vil altid motivere ondsindede hackere til at dyrke nye teknikker til at få adgang til andres konti. Så længe der er en fordel ved at besidde en andens legitimationsoplysninger, vil vi se hacking udvikle sig konstant.
"Der er mange forskellige trusler og en masse forskellige sikkerhedsmekanismer," forklarede Schneier. "Der er ikke kun én trussel, ikke kun én mekanisme, der er mange trusler og mange mekanismer."
Det bedste forsvar er en kontinuerlig strøm af nye og forbedrede modforanstaltninger. Hvis vi fortsætter med at ændre og opdatere de metoder, vi bruger til at holde vores konti sikre, gør vi tingene sværere for alle, der forsøger at få adgang uden tilladelse.
Desværre har angriberne initiativet. Det tog år for to-faktor autentificering at blive accepteret af masserne. Efterhånden som nye former for beskyttelse bliver tilgængelige, skal vi som brugere forpligte os til at udnytte dem. Og det bringer os lige tilbage på Slashdot-foraene omkring 2005. Vi bliver alle igen brugere, der klager over bekvemmelighed, i stedet for at bekymre os om sikkerhed.
Det er svært at ignorere, hvor almindelige storstilede hacks er blevet, og der er ingen tegn på, at denne form for kriminalitet vil dø ud. Der er intet forsvar, der er 100 procent i stand til at blokere enhver form for angreb; kriminelle vil altid finde en måde at udnytte selv den mindste svaghed på. Selvom det ikke er let, er den bedste måde at forblive sikker på online at være opmærksom på truslerne og bevidst om, hvad der kan gøres for at beskytte mod disse trusler.
Online sikkerhed er som at betale for forsikring eller gå til tandlægen. Det virker ikke så vigtigt, indtil det er. Det er ikke nok blot at tilmelde sig de former for beskyttelse, vi tilbydes af forskellige websteder og tjenester. At vide, hvilken slags angreb disse beskyttelser forsvarer os mod - og hvad de ikke gør - er den eneste måde at tage ansvar for din egen sikkerhed.
Redaktørens anbefalinger
- Twitters SMS-to-faktor-godkendelse har problemer. Sådan skifter du metoder
- Her er grunden til, at folk siger, at tofaktorautentificering ikke er perfekt
- Hackere finder en måde at omgå Gmail to-faktor-godkendelse på
