Mutta kaksivaiheinen todennus ei ole mikään hopealuoti, joka pystyisi pysäyttämään hakkereita heidän jäljissään. Se on hyödyllinen vastatoimenpide puolustuksesi joukossa, mutta viime kädessä se ei korvaa toimivaa tietoa suurimmista verkossa kohtaamistamme uhkista.
Suositellut videot
Aktivoi kaksivaiheinen todennus aina, kun mahdollisuus tarjotaan – mutta älä tee sitä virhettä, että luotat sen suojaukseen, jos et ymmärrä, mitä vastaan se voi ja mitä ei voi puolustaa. Kuten 2016 osoitti, tietojen turvassa pitäminen on monimutkaista, ja liiallinen itseluottamus voi jättää sinut avoimeksi hyökkäyksille.
Liittyvät
- Salasanat ovat kovia ja ihmiset laiskoja, kertoo uusi raportti
- Twitter ei enää tarvitse puhelinnumeroita kaksivaiheista todennusta varten
- Google tarjoaa oman "Titan" USB-suojausavaimen salasanattomaan kirjautumiseen
Oletko se, joka väität olevasi?
Kaksivaiheisen todennuksen ytimessä on kyse valtuustietojen tarkistamisesta. Se on tapa varmistaa, että joku on se, joka väittää olevansa, tarkistamalla kaksi erilaista todistetta. Tällainen järjestelmä on ollut olemassa jo vuosia.
Jos et ymmärrä tietoturvan perusteita, sinun ei pitäisi sallia pankkitoimintaa Internetissä.
Siru- ja PIN-luottokorttimaksut ovat ehkä yleisin esimerkki; he luottavat siihen, että käyttäjällä on fyysinen kortti hallussaan ja että hän tietää PIN-koodinsa. Vaikka varas voisi mahdollisesti varastaa kortin ja oppia PIN-koodi, molempien hallinta ei ole helppoa.
Oli aika, ei niin kauan sitten, jolloin rahatapahtumat olivat ainoa syy, miksi ihmisten piti todistaa henkilöllisyytensä säännöllisesti. Nykyään kaikilla Internetiä käyttävillä on useita tilejä, joihin he eivät haluaisi kenenkään pääsevän useista syistä.
Finanssiala onnistui toteuttamaan kaksivaiheisen tunnistamisen erittäin helposti, koska ainoa laitteisto, jota tarvittiin jakaa, oli pankkikortti. Vastaavan järjestelmän jakaminen jokapäiväisille verkkosivuille on lähes mahdotonta, joten kaksitekijäinen otetaan käyttöön muilla keinoin. Ja näissä menetelmissä on omat puutteensa.
Käyttäjäkokemus
"Olen todella kyllästynyt kaikkiin elämän käteviin asioihin, jotka yhtäkkiä muuttuvat liian vaivalloisiksi käyttää", lukee vuoden 2005 kommentissa. SlashDot artikkeli kaksivaiheisen todennuksen välittömästä noususta verkkopankkitoiminnassa. "En todellakaan, todella inhoaisi, jos minulla olisi kova pelimerkki mukanani."
"Poliitikoilla ei ole aavistustakaan, mikä vaikutus tällä on todelliseen maailmaan", myönsi toinen ja valitti uhkaa, että käyttäjät joutuvat ostamaan lisälaitteita. "Jos et ymmärrä tietoturvan perusteita, sinun ei pitäisi sallia pankkitoimintaa Internetissä", lisäsi toinen kommentoija.
Nykyään tällaiset valitukset näyttävät positiiviselta typerältä, mutta vuonna 2005 käyttäjät huomioivat enemmän jonkinlaisen kaksitekijäisen merkin mukanaan tuomisen kustannuksia ja harmia. Käyttäjien reaktiot voivat osoittautua vielä kielteisemmiksi, kun jotain vähemmän tärkeää kuin pankkitoiminta on suojattu. Vuonna 2012 nostettiin ryhmäkanne pelinkehittäjä Blizzard Entertainmentia vastaan sen jälkeen, kun yritys otti käyttöön autentikointioheislaitteen, joka on suunniteltu suojaamaan käyttäjien Battle.net-tilejä, raportin mukaan BBC.
LastPass
Tällaista kaksivaiheista todennusta on pyritty toteuttamaan 1980-luvulta lähtien, jolloin Security Dynamics Technologies patentoi "menetelmän ja laitteen yksilön positiiviseen tunnistamiseen". 2000-luvulla infrastruktuuri ja tuotantokyky olivat organisaatioille rahoituslaitoksista videopelien julkaisijoihin, jotta ne voivat käyttää omia keinojaan kaksitekijäiseen todennus.
Valitettavasti käyttäjät päättivät olla tekemättä yhteistyötä. Olipa toinen todennustekijä niin yksinkertainen kuin LCD-näyttö, joka antoi ainutlaatuisen koodin, tai niin monimutkainen kuin sormenjälkitunnistin, idea Vielä yksi fyysinen laitteisto - ja mahdollisesti yksi jokaiseen eri palveluun, joka vaati yksilöllisen kirjautumisen - ei houkutellut massat.
On mahdollista kuvitella vaihtoehtoinen historia, jossa kaksitekijä ei koskaan tarttunut tämän ongelman takia. Onneksi Apple esitteli iPhonen ja Google esitteli Android. Älypuhelimet antoivat kaksivaiheiseen todentamiseen kykenevän laitteen miljardeille maailmanlaajuisesti, mikä ratkaisi käyttömukavuusongelman, josta käyttäjät valittivat vuonna 2005.
Älypuhelimet ovat käteviä, mutta niissä on omat riskinsä
Älypuhelimien kaikkialla esiintyvä luonne on mahdollistanut sivustojen ja palveluiden poistamisen kaksivaiheisesta todennusprosessista. "Ne, jotka käyttävät kännykkääsi, ovat yleensä erittäin helppokäyttöisiä, erittäin vähän vaikuttavia", sanoi tietoturvaasiantuntija ja Harvardin stipendiaatti Bruce Schneier puhuessaan Digital Trendsille aiemmin tässä kuussa. "Koska se on jotain, joka sinulla on jo. Se ei ole jotain uutta, jota sinun täytyy kuljettaa mukanasi."
On mahdollista kuvitella vaihtoehtoinen historia, jossa kaksitekijä ei koskaan tarttunut.
Tietyissä skenaarioissa tämä lähestymistapa voi tarjota selkeitä etuja. Jos esimerkiksi kirjaudut palveluun uudesta tietokoneesta, sinua saatetaan pyytää syöttämään luotetulle laitteelle lähetetty koodi sekä tavallinen salasanasi. Tämä on hyvä esimerkki kaksivaiheisen todennuksen käyttämisestä; joku muu on voinut varastaa salasanasi ja yrittää kirjautua sisään liittyvälle tilille järjestelmästään – mutta ellei hän ole jo varastanut puhelintasi, hän ei pääse käyttämään sitä.
On kuitenkin olemassa uhkia, joita tällainen suoja ei yksinkertaisesti pysty käsittelemään. Vuonna 2005 Schneier kirjoitti, että "kaksivaiheinen todennus ei ole pelastajamme" blogipostaus syventyä sen heikkouksiin.
Hän jatkoi kuvailemalla, kuinka mies keskellä -hyökkäys voi saada käyttäjän ajattelemaan, että he ovat laillisella verkkosivustolla ja vakuuttaa heidät tarjoamaan molempia todennusmuotoja väärälle kirjautumiselle näyttö. Hän huomauttaa myös, että troijalaista voitiin käyttää laillisen sisäänkirjautumisen poistamiseen, joka suoritettiin käyttämällä kahta todennustapaa. Ongelmana on myös tietoturvan keskittäminen yhteen laitteeseen. useimmat ihmiset käyttävät älypuhelimella varustettua kaksitekijää useilla verkkosivustoilla. Jos puhelin varastetaan ja se vaarantuu, kaikki nämä sivustot ovat vaarassa.
Tieto on valtaa
"Kun kirjaudut tilillesi, kaksitekijä on hienoa", sanoi Schneier. ”Yliopistoni, Harvard, käyttää sitä, yritykseni käyttää sitä. Monet ihmiset ovat ottaneet sen käyttöön, ja se on erittäin hyödyllistä. Mutta mistä kirjoitin silloin, ongelmana oli, että sitä pidettiin ihmelääkkeenä, se ratkaisee kaiken. Tietenkin tiedämme, ettei se ole."
Taloudellinen hyöty motivoi aina pahantahtoisia hakkereita kehittämään uusia tekniikoita päästäkseen muiden ihmisten tileille. Niin kauan kuin jonkun muun valtuustietojen hallussapidosta on hyötyä, näemme hakkeroinnin kehittyvän jatkuvasti.
"On olemassa monia erilaisia uhkia ja monia erilaisia suojamekanismeja", Schneier selitti. "Ei ole vain yksi uhka, ei vain yksi mekanismi, on monia uhkia ja monia mekanismeja."
Paras puolustus on jatkuva uusien ja parannettujen vastatoimien virta. Jos jatkamme tiliemme turvaamiseen käyttämiemme menetelmien muuttamista ja päivittämistä, vaikeutamme kaikkien ilman lupaa pääsyä yrittävien asioita.
Valitettavasti aloite on hyökkääjillä. Kesti vuosia, ennen kuin massat hyväksyivät kaksivaiheisen todennuksen. Kun uusia suojamuotoja tulee saataville, meidän käyttäjien on sitouduttava hyödyntämään niitä. Ja se vie meidät takaisin Slashdotin foorumeille, noin 2005. Meistä kaikista tulee jälleen käyttäjiä, jotka valittavat mukavuudesta sen sijaan, että huolehtisivat turvallisuudesta.
On vaikea sivuuttaa, kuinka yleisiä laajamittaisista hakkeroista on tullut, eikä ole merkkejä siitä, että tämä rikollisuuden muoto katoaisi. Ei ole olemassa puolustusta, joka pystyisi 100-prosenttisesti estämään kaikenlaiset hyökkäykset; rikolliset löytävät aina tavan hyödyntää pienimpiäkin heikkouksia. Vaikka se ei ole helppoa, paras tapa pysyä turvassa verkossa on olla tietoinen uhista ja siitä, mitä voidaan tehdä näiden uhkien suojaamiseksi.
Verkkoturvallisuus on kuin vakuutuksen maksamista tai hammaslääkärissä käyntiä. Se ei tunnu niin tärkeältä, ennen kuin se on. Ei riitä, että hyväksyt eri sivustojen ja palveluiden tarjoamat suojamuodot. Ainoa tapa ottaa vastuu omasta turvallisuudestasi on tietää, miltä hyökkäyksiltä nämä suojat suojaavat meitä – ja miltä eivät.
Toimittajien suositukset
- Twitterin kaksivaiheisessa SMS-todennuksessa on ongelmia. Näin voit vaihtaa menetelmää
- Tästä syystä ihmiset sanovat, että kaksivaiheinen todennus ei ole täydellinen
- Hakkerit löytävät tavan ohittaa Gmailin kaksivaiheinen todennus
