Όταν εισήχθη για πρώτη φορά ο έλεγχος ταυτότητας δύο παραγόντων, έφερε επανάσταση στην ασφάλεια της συσκευής και βοήθησε να γίνει πολύ πιο δύσκολη η κλοπή ταυτότητας – με το μικρό κόστος της μικρής ταλαιπωρίας που προστέθηκε στις συνδέσεις.
Περιεχόμενα
- Τι ακριβώς είναι ο έλεγχος ταυτότητας δύο παραγόντων;
- Αυτό ακούγεται αρκετά ασφαλές. Ποιο είναι το πρόβλημα?
- Πρέπει να συνεχίσω να χρησιμοποιώ τον έλεγχο ταυτότητας δύο παραγόντων;
- Πώς μπορεί να βελτιωθεί ο έλεγχος ταυτότητας δύο παραγόντων;
Αλλά δεν είναι τέλειο, ούτε έχει λύσει όλα μας τα προβλήματα hacking και κλοπής δεδομένων. Ορισμένες πρόσφατες ειδήσεις παρείχαν περισσότερο πλαίσιο για το πώς οι χάκερ παρακάμπτουν τον έλεγχο ταυτότητας δύο παραγόντων και διαβρώνουν μέρος της εμπιστοσύνης μας σε αυτόν.
Τι ακριβώς είναι ο έλεγχος ταυτότητας δύο παραγόντων;
Ο έλεγχος ταυτότητας δύο παραγόντων προσθέτει ένα επιπλέον επίπεδο ασφάλειας στη διαδικασία σύνδεσης για συσκευές και υπηρεσίες. Προηγουμένως, οι συνδέσεις είχαν έναν μόνο παράγοντα για τον έλεγχο ταυτότητας — συνήθως, έναν κωδικό πρόσβασης ή μια βιομετρική σύνδεση, όπως σάρωση δακτυλικών αποτυπωμάτων ή Face ID, περιστασιακά με την προσθήκη ερωτήσεων ασφαλείας. Αυτό παρείχε κάποια ασφάλεια, αλλά δεν ήταν τέλεια, ειδικά με αδύναμους κωδικούς πρόσβασης ή κωδικούς πρόσβασης με αυτόματη συμπλήρωση (ή εάν οι βάσεις δεδομένων σύνδεσης παραβιαστούν και αυτές οι πληροφορίες αρχίσουν να εμφανίζονται στον σκοτεινό ιστό).
Σχετίζεται με
- Αυτός είναι ο λόγος για τον οποίο οι άνθρωποι λένε να αποφεύγουν το βασικό M2 Pro MacBook Pro
- Ο έλεγχος ταυτότητας δύο παραγόντων SMS του Twitter έχει προβλήματα. Δείτε πώς μπορείτε να αλλάξετε μεθόδους
- Οι κωδικοί πρόσβασης είναι σκληροί και οι άνθρωποι είναι τεμπέληδες, δείχνει νέα έκθεση
Ο έλεγχος ταυτότητας δύο παραγόντων αντιμετωπίζει αυτά τα ζητήματα προσθέτοντας έναν δεύτερο παράγοντα, ένα άλλο πράγμα που πρέπει να κάνει ένα άτομο για να εγγυηθεί ότι είναι πραγματικά αυτός και ότι έχει την εξουσία πρόσβασης. Συνήθως, αυτό σημαίνει ότι αποστέλλεται ένας κωδικός μέσω άλλου καναλιού, όπως λήψη μηνύματος κειμένου ή email από την υπηρεσία, το οποίο στη συνέχεια πρέπει να εισαγάγετε.
Ορισμένοι χρησιμοποιούν κωδικούς ευαίσθητους στο χρόνο (TOTP, Time-Based One Time Password) και άλλοι χρησιμοποιούν μοναδικούς κωδικούς που σχετίζονται με μια συγκεκριμένη συσκευή (HOTP, One Time Password που βασίζεται σε HMAC). Ορισμένες εμπορικές εκδόσεις ενδέχεται να χρησιμοποιούν επιπλέον φυσικά κλειδιά που πρέπει να έχετε στη διάθεσή σας.
Προτεινόμενα βίντεο
Η λειτουργία ασφαλείας έχει γίνει τόσο συνηθισμένη, που πιθανότατα έχετε συνηθίσει να βλέπετε μηνύματα όπως, "Σας έχουμε στείλει ένα email με έναν ασφαλή κωδικό για να εισαγάγετε, ελέγξτε το φίλτρο ανεπιθύμητης αλληλογραφίας σας, εάν δεν το έχετε λάβει." Είναι πιο συνηθισμένο για νέες συσκευές και ενώ χρειάζεται λίγος χρόνος, είναι ένα τεράστιο άλμα στην ασφάλεια σε σύγκριση με έναν παράγοντα μεθόδους. Υπάρχουν όμως κάποιες ατέλειες.
Αυτό ακούγεται αρκετά ασφαλές. Ποιο είναι το πρόβλημα?
Μια αναφορά κυκλοφόρησε πρόσφατα από την εταιρεία κυβερνοασφάλειας Sophos που περιγράφει λεπτομερώς έναν εκπληκτικό νέο τρόπο οι χάκερ παρακάμπτουν τον έλεγχο ταυτότητας δύο παραγόντων: μπισκότα. Οι κακοί ηθοποιοί είναι η «κλοπή cookie», η οποία τους δίνει πρόσβαση σε σχεδόν οποιοδήποτε είδος προγράμματος περιήγησης, υπηρεσία ιστού, λογαριασμό email ή ακόμα και αρχείο.
Πώς αποκτούν αυτά τα cookies αυτοί οι εγκληματίες του κυβερνοχώρου; Λοιπόν, η Sophos σημειώνει ότι το botnet Emotet είναι ένα τέτοιο κομμάτι κακόβουλου λογισμικού που κλέβει cookie που στοχεύει δεδομένα στα προγράμματα περιήγησης Google Chrome. Οι άνθρωποι μπορούν επίσης να αγοράσουν κλεμμένα cookies μέσω υπόγειων αγορών, κάτι που έγινε γνωστό στην πρόσφατη υπόθεση EA όπου τα στοιχεία σύνδεσης κατέληξαν σε μια αγορά που ονομάζεται Genesis. Το αποτέλεσμα ήταν 780 gigabyte κλεμμένων δεδομένων που χρησιμοποιήθηκαν για να προσπαθήσουν να εκβιάσουν την εταιρεία.
Αν και πρόκειται για μια υπόθεση υψηλού προφίλ, η υποκείμενη μέθοδος είναι εκεί έξω και δείχνει ότι ο έλεγχος ταυτότητας δύο παραγόντων απέχει πολύ από την ασημένια κουκκίδα. Πέρα από την κλοπή cookie, υπάρχουν ορισμένα άλλα ζητήματα που έχουν εντοπιστεί όλα αυτά τα χρόνια:
- Εάν ένας χάκερ έχει παραλάβατε το όνομα χρήστη ή τον κωδικό πρόσβασής σας για μια υπηρεσία, ενδέχεται να έχουν πρόσβαση στο email σας (ειδικά αν χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης) ή τον αριθμό τηλεφώνου σας. Αυτό είναι ιδιαίτερα προβληματικό για τον έλεγχο ταυτότητας δύο παραγόντων που βασίζεται σε SMS/κείμενο, επειδή οι αριθμοί τηλεφώνου είναι εύκολο να βρεθούν και μπορούν να χρησιμοποιηθούν για την αντιγραφή του τηλεφώνου σας (μεταξύ άλλων τεχνασμάτων) και τη λήψη του κωδικού κειμένου. Χρειάζεται περισσότερη δουλειά, αλλά ένας αποφασισμένος χάκερ έχει ακόμα μια σαφή πορεία προς τα εμπρός.
- Οι ξεχωριστές εφαρμογές για έλεγχο ταυτότητας δύο παραγόντων, όπως το Google Auth ή το Duo, είναι πολύ πιο ασφαλείς, αλλά τα ποσοστά υιοθέτησης είναι πολύ χαμηλά. Οι άνθρωποι τείνουν να μην θέλουν να κάνουν λήψη άλλης εφαρμογής μόνο για λόγους ασφαλείας για μία μόνο υπηρεσία και Οι οργανισμοί βρίσκουν πολύ πιο εύκολο να ρωτήσουν απλώς "Email ή μήνυμα;" αντί να απαιτείται από τους πελάτες να κατεβάσουν α εφαρμογή τρίτου μέρους. Με άλλα λόγια, οι καλύτεροι τύποι ελέγχου ταυτότητας δύο παραγόντων δεν χρησιμοποιούνται πραγματικά.
- Μερικές φορές οι κωδικοί πρόσβασης είναι πολύ εύκολο να επαναφέρουν. Οι κλέφτες ταυτότητας μπορούν να συγκεντρώσουν αρκετές πληροφορίες σχετικά με έναν λογαριασμό για να καλέσουν την εξυπηρέτηση πελατών ή να βρουν άλλους τρόπους για να ζητήσουν νέο κωδικό πρόσβασης. Αυτό συχνά παρακάμπτει οποιονδήποτε εμπλεκόμενο έλεγχο ταυτότητας δύο παραγόντων και, όταν λειτουργεί, επιτρέπει στους κλέφτες άμεση πρόσβαση στον λογαριασμό.
- Οι πιο αδύναμες μορφές ελέγχου ταυτότητας δύο παραγόντων προσφέρουν ελάχιστη προστασία έναντι των εθνικών κρατών. Οι κυβερνήσεις διαθέτουν εργαλεία που μπορούν εύκολα να αντιμετωπίσουν τον έλεγχο ταυτότητας δύο παραγόντων, συμπεριλαμβανομένης της παρακολούθησης μηνυμάτων SMS, του εξαναγκασμού παρόχων ασύρματης επικοινωνίας ή της υποκλοπής κωδικών ελέγχου ταυτότητας με άλλους τρόπους. Αυτά δεν είναι καλά νέα για όσους θέλουν τρόπους να διατηρήσουν τα δεδομένα τους ιδιωτικά από πιο ολοκληρωτικά καθεστώτα.
- Πολλά συστήματα κλοπής δεδομένων παρακάμπτουν εξ ολοκλήρου τον έλεγχο ταυτότητας δύο παραγόντων εστιάζοντας στην κοροϊδία των ανθρώπων. Απλά κοιτάξτε όλες οι απόπειρες phishing που προσποιούνται ότι είναι από τράπεζες, κρατικές υπηρεσίες, παρόχους διαδικτύου κ.λπ., ζητώντας σημαντικές πληροφορίες λογαριασμού. Αυτά τα μηνύματα ηλεκτρονικού ψαρέματος μπορεί να φαίνονται πολύ αληθινά και μπορεί να περιλαμβάνουν κάτι σαν, «Χρειαζόμαστε το δικό σας κωδικός ελέγχου ταυτότητας στο τέλος μας, ώστε να μπορούμε επίσης να επιβεβαιώσουμε ότι είστε ο κάτοχος του λογαριασμού, ή άλλα κόλπα για να λάβετε κωδικούς.
Πρέπει να συνεχίσω να χρησιμοποιώ τον έλεγχο ταυτότητας δύο παραγόντων;
Απολύτως. Στην πραγματικότητα, θα πρέπει να περάσετε από τις υπηρεσίες και τις συσκευές σας και να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων όπου είναι διαθέσιμος. Προσφέρει σημαντικά καλύτερη ασφάλεια έναντι προβλημάτων όπως η κλοπή ταυτότητας από ένα απλό όνομα χρήστη και κωδικό πρόσβασης.
Ακόμη και ο έλεγχος ταυτότητας δύο παραγόντων που βασίζεται σε SMS είναι πολύ καλύτερος από κανέναν. Πράγματι, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας κάποτε συνέστησε να μην χρησιμοποιείτε SMS σε έλεγχο ταυτότητας δύο παραγόντων, αλλά στη συνέχεια το επανέφερε τον επόμενο χρόνο γιατί, παρά τα ελαττώματα, άξιζε ακόμα να το έχεις.
Όταν είναι δυνατόν, επιλέξτε μια μέθοδο ελέγχου ταυτότητας που δεν είναι συνδεδεμένη με μηνύματα κειμένου και θα έχετε καλύτερη μορφή ασφάλειας. Επίσης, διατηρήστε τους κωδικούς σας ισχυρούς και χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης για να τα δημιουργήσετε για συνδέσεις αν μπορείτε.
Πώς μπορεί να βελτιωθεί ο έλεγχος ταυτότητας δύο παραγόντων;
Η απομάκρυνση από τον έλεγχο ταυτότητας που βασίζεται σε SMS είναι το μεγάλο τρέχον έργο. Είναι πιθανό ο έλεγχος ταυτότητας δύο παραγόντων να μεταβεί σε μια χούφτα εφαρμογές τρίτων όπως το Duo, που αφαιρούν πολλές από τις αδυναμίες που σχετίζονται με τη διαδικασία. Και περισσότερα πεδία υψηλού κινδύνου θα μετακινηθούν στο MFA ή στον έλεγχο ταυτότητας πολλαπλών παραγόντων, που προσθέτει μια τρίτη απαίτηση, όπως ένα δακτυλικό αποτύπωμα ή πρόσθετες ερωτήσεις ασφαλείας.
Αλλά ο καλύτερος τρόπος για να αφαιρέσετε προβλήματα με τον έλεγχο ταυτότητας δύο παραγόντων είναι να εισαγάγετε μια φυσική πτυχή που βασίζεται σε υλικό. Οι εταιρείες και οι κρατικοί φορείς έχουν ήδη αρχίσει να το απαιτούν για ορισμένα επίπεδα πρόσβασης. Στο εγγύς μέλλον, υπάρχει μεγάλη πιθανότητα να έχουμε όλοι προσαρμοσμένες κάρτες ελέγχου ταυτότητας στα πορτοφόλια μας, έτοιμες να σύρουμε τις συσκευές μας κατά τη σύνδεση στις υπηρεσίες. Μπορεί να ακούγεται περίεργο τώρα, αλλά με το απότομη αύξηση των επιθέσεων στον κυβερνοχώρο, θα μπορούσε να καταλήξει να είναι η πιο κομψή λύση.
Συστάσεις των συντακτών
- Γιατί το Nvidia RTX 4060 Ti απλά δεν είναι αρκετό για το 2023
- Οι τάξεις των χάκερ εκρήγνυνται - ορίστε πώς μπορείτε να προστατεύσετε τον εαυτό σας
- Γιατί η κατάσταση ανώνυμης περιήγησης του Google Chrome δεν είναι αυτό που ισχυρίζεται ότι είναι
- Να γιατί οι άνθρωποι λένε ότι το Nvidia RTX 4090 δεν αξίζει να περιμένεις
- Να γιατί οι άνθρωποι λένε να αγοράσουν το M1 MacBook Air αντί για το M2
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
