Αλλά ο έλεγχος ταυτότητας δύο παραγόντων δεν είναι κάποια ασημένια σφαίρα ικανή να σταματήσει τους χάκερ στο ίχνος τους. Είναι ένα χρήσιμο αντίμετρο να το έχετε ανάμεσα στις άμυνές σας, αλλά τελικά, δεν υποκαθιστά τη γνώση των μεγαλύτερων απειλών που αντιμετωπίζουμε στο διαδίκτυο.
Προτεινόμενα βίντεο
Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων όπου προσφέρεται η ευκαιρία — αλλά μην κάνετε το λάθος να βασιστείτε στην προστασία του εάν δεν καταλαβαίνετε από τι μπορεί και τι δεν μπορεί να υπερασπιστεί. Όπως απέδειξε το 2016, η διατήρηση της ασφάλειας των δεδομένων είναι περίπλοκη και η υπερβολική εμπιστοσύνη μπορεί να σας αφήσει ανοιχτούς σε επιθέσεις.
Σχετίζεται με
- Οι κωδικοί πρόσβασης είναι σκληροί και οι άνθρωποι είναι τεμπέληδες, δείχνει νέα έκθεση
- Το Twitter δεν χρειάζεται πλέον αριθμούς τηλεφώνου για έλεγχο ταυτότητας δύο παραγόντων
- Η Google προσφέρει το δικό της κλειδί ασφαλείας «Titan» USB για συνδέσεις χωρίς κωδικό πρόσβασης
Είσαι αυτός που λες;
Στον πυρήνα του, ο έλεγχος ταυτότητας δύο παραγόντων έχει να κάνει με τον έλεγχο των διαπιστευτηρίων. Είναι ένας τρόπος να βεβαιωθείτε ότι κάποιος είναι αυτός που ισχυρίζονται ότι είναι, επαληθεύοντας δύο διαφορετικούς τύπους αποδεικτικών στοιχείων. Αυτό το είδος συστήματος υπάρχει εδώ και χρόνια.
Εάν δεν καταλαβαίνετε τα βασικά στοιχεία της ασφάλειας των υπολογιστών, δεν θα πρέπει να σας επιτρέπεται να κάνετε τραπεζικές συναλλαγές στο Διαδίκτυο.
Οι πληρωμές με πιστωτικές κάρτες με chip και PIN είναι ίσως το πιο διαδεδομένο παράδειγμα. βασίζονται στο ότι ο χρήστης έχει μια φυσική κάρτα στην κατοχή του και ότι γνωρίζει το PIN του. Ενώ ένας κλέφτης θα μπορούσε να κλέψει μια κάρτα και μάθετε το PIN, δεν είναι εύκολο να διαχειριστείτε και τα δύο.
Υπήρξε μια εποχή, όχι πολύ καιρό πριν, που οι οικονομικές συναλλαγές ήταν ο μόνος λόγος που οι άνθρωποι έπρεπε να πιστοποιούν την ταυτότητά τους σε τακτική βάση. Σήμερα, οποιοσδήποτε χρησιμοποιεί το Διαδίκτυο έχει μια σειρά από λογαριασμούς στους οποίους δεν θα ήθελε να έχει πρόσβαση μόνο οποιοσδήποτε, για διάφορους λόγους.
Ο χρηματοοικονομικός κλάδος κατάφερε να εφαρμόσει τον έλεγχο ταυτότητας δύο παραγόντων πολύ εύκολα, επειδή το μόνο υλικό που έπρεπε να διανεμηθεί ήταν μια τραπεζική κάρτα. Η διανομή ενός παρόμοιου συστήματος για καθημερινούς ιστότοπους είναι σχεδόν αδύνατη, επομένως η λειτουργία δύο παραγόντων είναι ενεργοποιημένη με άλλα μέσα. Και αυτές οι μέθοδοι έχουν τα δικά τους ελαττώματα.
Εμπειρία χρήστη
«Είμαι πραγματικά βαρεμένος με όλα τα βολικά πράγματα στη ζωή που ξαφνικά γίνονται πολύ δυσκίνητα για να τα χρησιμοποιήσω», λέει ένα σχόλιο που δημοσιεύτηκε σε ένα 2005 SlashDot άρθρο σχετικά με την επικείμενη άνοδο του ελέγχου ταυτότητας δύο παραγόντων σε σχέση με την ηλεκτρονική τραπεζική. «Πραγματικά, πολύ θα μισούσα να έχω ένα δύσκολο χαρτί να κουβαλάω».
«Οι πολιτικοί δεν έχουν ιδέα τι αντίκτυπο έχει αυτό στον πραγματικό κόσμο», συμφώνησε δεύτερος, θρηνώντας την απειλή των χρηστών να αναγκαστούν να αγοράσουν επιπλέον υλικό. «Εάν δεν καταλαβαίνετε τα βασικά της ασφάλειας των υπολογιστών, δεν θα πρέπει να σας επιτραπεί να κάνετε τραπεζικές συναλλαγές στο Διαδίκτυο», πρόσθεσε ένας άλλος σχολιαστής.
Σήμερα, καταγγελίες όπως αυτές φαίνονται θετικά ανόητες, αλλά το 2005 οι χρήστες έλαβαν υπόψη τους περισσότερο το κόστος και την ενόχληση της μεταφοράς κάποιας μορφής διακριτικού δύο παραγόντων. Η απάντηση των χρηστών μπορεί να αποδειχθεί ακόμη πιο αρνητική όταν προστατεύεται κάτι λιγότερο σημαντικό από το τραπεζικό. Το 2012, μια ομαδική αγωγή κατατέθηκε εναντίον του προγραμματιστή παιχνιδιών Blizzard Entertainment μετά την εταιρεία εισήγαγε ένα περιφερειακό εργαλείο ελέγχου ταυτότητας σχεδιασμένο για την υπεράσπιση των λογαριασμών Battle.net των χρηστών, σύμφωνα με μια αναφορά από το BBC.
LastPass
Οι προσπάθειες για την εφαρμογή αυτού του είδους ελέγχου ταυτότητας δύο παραγόντων είχαν γίνει από τη δεκαετία του 1980, όταν η Security Dynamics Technologies κατοχύρωσε με δίπλωμα ευρεσιτεχνίας μια «μέθοδο και συσκευή για τη θετική ταυτοποίηση ενός ατόμου». Μέχρι τη δεκαετία του 2000, η υποδομή και η ικανότητα κατασκευής ήταν σε ισχύ για οργανισμούς που κυμαίνονται από χρηματοπιστωτικά ιδρύματα έως εκδότες βιντεοπαιχνιδιών για να επιβάλουν τα δικά τους μέσα δύο παραγόντων αυθεντικοποίηση.
Δυστυχώς, οι χρήστες αποφάσισαν να μην συνεργαστούν. Είτε ο δεύτερος παράγοντας ελέγχου ταυτότητας ήταν τόσο απλός όσο μια οθόνη LCD που παρείχε έναν μοναδικό κωδικό, είτε τόσο περίπλοκος όσο ένας σαρωτής δακτυλικών αποτυπωμάτων, η ιδέα του η κατοχή ακόμη ενός φυσικού υλικού - και ενδεχομένως ένα για κάθε διαφορετική υπηρεσία που απαιτούσε μια μοναδική σύνδεση - δεν ήταν ελκυστικό για τους μάζες.
Είναι δυνατό να φανταστεί κανείς μια εναλλακτική ιστορία όπου οι δύο παράγοντες δεν έπιασαν ποτέ λόγω αυτού του προβλήματος. Ευτυχώς για εμάς, η Apple παρουσίασε το iPhone και η Google παρουσίασε Android. Τα smartphone έθεσαν μια συσκευή ικανή για έλεγχο ταυτότητας δύο παραγόντων στα χέρια δισεκατομμυρίων παγκοσμίως, επιλύοντας το ζήτημα ευκολίας για το οποίο οι χρήστες παραπονέθηκαν το 2005.
Τα smartphone είναι βολικά, αλλά έχουν τους δικούς τους κινδύνους
Η πανταχού παρούσα φύση των smartphone έχει επιτρέψει σε ιστότοπους και υπηρεσίες να απομακρύνουν την ταλαιπωρία από τη διαδικασία ελέγχου ταυτότητας δύο παραγόντων. «Αυτά που χρησιμοποιούν το κινητό σας τείνουν να είναι πολύ εύχρηστα, με πολύ χαμηλό αντίκτυπο», είπε ο ειδικός ασφαλείας και συνεργάτης του Χάρβαρντ, Bruce Schneier, μιλώντας στο Digital Trends νωρίτερα αυτό το μήνα. «Επειδή είναι κάτι που το έχεις ήδη. Δεν είναι κάτι καινούργιο που πρέπει να κουβαλάς μαζί σου».
Είναι δυνατό να φανταστεί κανείς μια εναλλακτική ιστορία όπου οι δύο παράγοντες δεν έπιασαν ποτέ.
Σε ορισμένα σενάρια, αυτή η προσέγγιση μπορεί να προσφέρει σίγουρα οφέλη. Για παράδειγμα, εάν συνδέεστε σε μια υπηρεσία από νέο υπολογιστή, μπορεί να σας ζητηθεί να εισαγάγετε έναν κωδικό που αποστέλλεται σε μια αξιόπιστη συσκευή καθώς και τον τυπικό κωδικό πρόσβασής σας. Αυτό είναι ένα καλό παράδειγμα του τρόπου χρήσης του ελέγχου ταυτότητας δύο παραγόντων. κάποιος άλλος θα μπορούσε να έχει κλέψει τον κωδικό πρόσβασής σας και να προσπαθήσει να συνδεθεί στον συσχετισμένο λογαριασμό από το σύστημά του — αλλά εκτός κι αν έχει ήδη κλέψει το τηλέφωνό σας, δεν θα μπορεί να αποκτήσει πρόσβαση.
Ωστόσο, υπάρχουν απειλές που αυτό το είδος προστασίας απλά δεν μπορεί να χειριστεί. Το 2005, ο Schneier έγραψε ότι «ο έλεγχος ταυτότητας δύο παραγόντων δεν είναι ο σωτήρας μας» σε ένα ανάρτηση εμβαθύνοντας στις αδυναμίες του.
Συνέχισε περιγράφοντας πώς μια επίθεση άνδρα στη μέση θα μπορούσε να ξεγελάσει τον χρήστη ώστε να πιστέψει ότι είναι σε έναν νόμιμο ιστότοπο και πείστε τους να προσφέρουν και τις δύο μορφές ελέγχου ταυτότητας σε μια ψεύτικη σύνδεση οθόνη. Σημειώνει επίσης ότι ένας Trojan θα μπορούσε να χρησιμοποιηθεί για την επαναφορά μιας νόμιμης σύνδεσης που πραγματοποιήθηκε χρησιμοποιώντας δύο μορφές ελέγχου ταυτότητας. Υπάρχει επίσης το πρόβλημα της συγκέντρωσης της ασφάλειας σε μία μόνο συσκευή. Οι περισσότεροι άνθρωποι χρησιμοποιούν δύο παραγόντων με δυνατότητα smartphone για πολλούς ιστότοπους. Εάν αυτό το τηλέφωνο κλαπεί και παραβιαστεί, όλοι αυτοί οι ιστότοποι κινδυνεύουν.
Η γνώση είναι δύναμη
"Όταν συνδέεστε στον λογαριασμό σας, οι δύο παράγοντες είναι υπέροχοι", είπε ο Schneier. «Το πανεπιστήμιό μου, το Χάρβαρντ, το χρησιμοποιεί, η εταιρεία μου το χρησιμοποιεί. Πολλοί το έχουν υιοθετήσει και είναι πολύ χρήσιμο. Αλλά αυτό για το οποίο έγραφα τότε, το πρόβλημα ήταν ότι το θεωρούσαν πανάκεια, θα λύσει τα πάντα. Φυσικά, ξέρουμε ότι δεν ισχύει».
Το οικονομικό κέρδος θα παρακινεί πάντα τους κακόβουλους χάκερ να καλλιεργήσουν νέες τεχνικές για την πρόσβαση σε λογαριασμούς άλλων ανθρώπων. Εφόσον υπάρχει όφελος από την κατοχή των διαπιστευτηρίων κάποιου άλλου, θα βλέπουμε το hacking να εξελίσσεται συνεχώς.
«Υπάρχουν πολλές διαφορετικές απειλές και πολλοί διαφορετικοί μηχανισμοί ασφάλειας», εξήγησε ο Schneier. «Δεν υπάρχει μόνο μία απειλή, όχι μόνο ένας μηχανισμός, υπάρχουν πολλές απειλές και πολλοί μηχανισμοί».
Η καλύτερη άμυνα είναι μια συνεχής ροή νέων και βελτιωμένων αντιμέτρων. Εάν συνεχίσουμε να αλλάζουμε και να ενημερώνουμε τις μεθόδους που χρησιμοποιούμε για να διατηρούμε τους λογαριασμούς μας ασφαλείς, θα κάνουμε τα πράγματα πιο δύσκολα για όποιον προσπαθεί να αποκτήσει πρόσβαση χωρίς άδεια.
Δυστυχώς, οι επιτιθέμενοι έχουν την πρωτοβουλία. Χρειάστηκαν χρόνια για να γίνει αποδεκτός από τις μάζες ο έλεγχος ταυτότητας δύο παραγόντων. Καθώς γίνονται διαθέσιμες νέες μορφές προστασίας, εμείς ως χρήστες πρέπει να δεσμευτούμε να τις εκμεταλλευτούμε. Και αυτό μας επαναφέρει στα φόρουμ του Slashdot, περίπου το 2005. Όλοι γινόμαστε και πάλι χρήστες που παραπονιούνται για ευκολία, αντί να ανησυχούμε για την ασφάλεια.
Είναι δύσκολο να αγνοήσουμε πόσο συνηθισμένα έχουν γίνει τα hacks μεγάλης κλίμακας και δεν υπάρχει κανένα σημάδι ότι αυτή η μορφή εγκληματικότητας πρόκειται να εξαφανιστεί. Δεν υπάρχει άμυνα που να είναι 100 τοις εκατό ικανή να μπλοκάρει οποιοδήποτε είδος επίθεσης. Οι εγκληματίες θα βρίσκουν πάντα έναν τρόπο να εκμεταλλεύονται ακόμη και την παραμικρή αδυναμία. Αν και δεν είναι εύκολο, ο καλύτερος τρόπος για να παραμείνετε ασφαλείς στο διαδίκτυο είναι να γνωρίζετε τις απειλές και να γνωρίζετε τι μπορεί να γίνει για να προστατευτείτε από αυτές τις απειλές.
Η διαδικτυακή ασφάλεια είναι σαν να πληρώνεις για ασφάλιση ή να πηγαίνεις στον οδοντίατρο. Δεν φαίνεται τόσο σημαντικό, μέχρι να είναι. Δεν αρκεί απλώς να συμμετέχουμε στις μορφές προστασίας που προσφέρουμε από διάφορους ιστότοπους και υπηρεσίες. Το να γνωρίζετε από τι είδους επιθέσεις μας υπερασπίζονται αυτές οι προστασίες — και από τι όχι — είναι ο μόνος τρόπος να αναλάβετε τη δική σας ασφάλεια.
Συστάσεις των συντακτών
- Ο έλεγχος ταυτότητας δύο παραγόντων SMS του Twitter έχει προβλήματα. Δείτε πώς μπορείτε να αλλάξετε μεθόδους
- Να γιατί οι άνθρωποι λένε ότι ο έλεγχος ταυτότητας δύο παραγόντων δεν είναι τέλειος
- Οι χάκερ βρίσκουν έναν τρόπο να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων του Gmail
