მაგრამ ორფაქტორიანი ავთენტიფიკაცია არ არის ვერცხლის ტყვია, რომელსაც შეუძლია შეაჩეროს ჰაკერები მათ კვალზე. ეს სასარგებლო საპასუხო ღონისძიებაა თქვენს თავდაცვას შორის, მაგრამ, საბოლოო ჯამში, ეს არ არის შემცვლელი ყველაზე დიდი საფრთხეების შესახებ ცოდნის შემცვლელისთვის, რომელსაც ჩვენ ვაწყდებით ონლაინ რეჟიმში.
რეკომენდებული ვიდეოები
გაააქტიურეთ ორფაქტორიანი ავთენტიფიკაცია ყველგან, სადაც შესაძლებლობა გაქვთ - მაგრამ არ დაუშვათ შეცდომა, დაეყრდნოთ მის დაცვას, თუ არ გესმით, რისგან შეუძლია და ვერ დაიცვა. როგორც 2016 წელს დადასტურდა, მონაცემთა დაცვა რთულია და ზედმეტმა თავდაჯერებულობამ შეიძლება დაგტოვოთ თავდასხმისთვის.
დაკავშირებული
- ახალი ანგარიში აჩვენებს, რომ პაროლები რთულია და ხალხი ზარმაცი
- Twitter-ს აღარ სჭირდება ტელეფონის ნომრები ორფაქტორიანი ავთენტიფიკაციისთვის
- Google გთავაზობთ საკუთარ 'Titan' USB უსაფრთხოების გასაღებს პაროლის გარეშე შესვლისთვის
შენ ის ხარ ვინც შენ ამბობ?
თავის არსში, ორფაქტორიანი ავთენტიფიკაცია ეხება რწმუნებათა სიგელების შემოწმებას. ეს არის გზა დარწმუნდეთ, რომ ვინმე არის ის, ვინც ამტკიცებს, რომ არის, ორი განსხვავებული ტიპის მტკიცებულების გადამოწმებით. ასეთი სისტემა უკვე წლებია არსებობს.
თუ არ გესმით კომპიუტერის უსაფრთხოების საფუძვლები, არ უნდა მოგცეთ უფლება ინტერნეტში ბანკის გაკეთებას.
Chip-and-PIN საკრედიტო ბარათით გადახდები ალბათ ყველაზე გავრცელებული მაგალითია; ისინი ეყრდნობიან მომხმარებელს, რომელსაც ფლობს ფიზიკური ბარათი და აქვს მათი PIN-ის ცოდნა. მაშინ როცა ქურდს შეეძლო ბარათის მოპარვა და ისწავლეთ PIN, ორივეს მართვა ადვილი არ არის.
იყო დრო, არც ისე დიდი ხნის წინ, როდესაც ფინანსური ტრანზაქციები იყო ერთადერთი მიზეზი, რის გამოც ადამიანებს უხდებოდათ რეგულარულად დაემოწმებინათ საკუთარი ვინაობა. დღეს, ყველას, ვინც იყენებს ინტერნეტს, აქვს ანგარიშების მასივი, რომლებზეც მათ არ სურთ, რომ ვინმეს ჰქონდეს წვდომა, სხვადასხვა მიზეზის გამო.
ფინანსურმა ინდუსტრიამ ძალიან მარტივად მოახერხა ორფაქტორიანი ავთენტიფიკაციის დანერგვა, რადგან ერთადერთი აპარატურა, რომელიც საჭიროებდა განაწილებას, იყო საბანკო ბარათი. მსგავსი სისტემის გავრცელება ყოველდღიური ვებსაიტებისთვის თითქმის შეუძლებელია, ამიტომ ორი ფაქტორი ჩართულია სხვა საშუალებებით. და ამ მეთოდებს აქვს საკუთარი ხარვეზები.
Მომხმარებლის გამოცდილება
„ძალიან მეზარება ცხოვრებაში ყველა მოსახერხებელი რამ, რომელიც უცებ ძალიან უხერხული ხდება გამოსაყენებლად“, - ნათქვამია 2005 წელს გამოქვეყნებულ კომენტარში. SlashDot სტატია ონლაინ ბანკინგის ორფაქტორიანი ავთენტიფიკაციის გარდაუვალი ზრდის შესახებ. ”მე ნამდვილად, ძალიან მძულს, რომ მქონდეს ძნელი ჟეტონი”.
„პოლიტიკოსებს წარმოდგენაც არ აქვთ, რა გავლენას მოახდენს ეს რეალურ სამყაროზე“, - შეთანხმდნენ მეორე და წუხდნენ იმის საფრთხეზე, რომ მომხმარებლები იძულებულნი გახდნენ შეიძინონ დამატებითი აპარატურა. „თუ არ გესმით კომპიუტერის უსაფრთხოების საფუძვლები, არ უნდა მოგცეთ უფლება ინტერნეტში ბანკის გაკეთებას“, დასძინა კიდევ ერთმა კომენტატორმა.
დღეს, მსგავსი პრეტენზიები, როგორც ჩანს, პოზიტიურად სულელურად გამოიყურება, მაგრამ 2005 წელს მომხმარებლებმა უფრო მეტად განიხილეს ორი ფაქტორიანი ნიშნის ტარების ღირებულება და გაღიზიანება. მომხმარებლის პასუხი შეიძლება კიდევ უფრო უარყოფითი აღმოჩნდეს, როდესაც დაცულია რაღაც ნაკლებად მნიშვნელოვანი, ვიდრე ბანკი. 2012 წელს, კლასობრივი სარჩელი შეიტანეს თამაშის დეველოპერ Blizzard Entertainment-ის წინააღმდეგ კომპანიის შემდეგ წარმოადგინა აუთენტიფიკატორის პერიფერიული მოწყობილობა, რომელიც შექმნილია მომხმარებლების Battle.net ანგარიშების დასაცავად, ანგარიშის მიხედვით BBC.
LastPass
ამ ტიპის ორფაქტორიანი ავთენტიფიკაციის განხორციელების მცდელობები 1980-იანი წლებიდან დაიწყო, როდესაც Security Dynamics Technologies დააპატენტა "მეთოდი და აპარატურა ინდივიდის პოზიტიური იდენტიფიკაციისთვის". 2000-იანი წლებისთვის ინფრასტრუქტურა და წარმოების უნარი იყო ორგანიზაციებისთვის, დაწყებული ფინანსური ინსტიტუტებიდან დაწყებული ვიდეო თამაშების გამომცემლობით დამთავრებული, რათა გამოიყენონ საკუთარი ორფაქტორიანი საშუალებები ავთენტიფიკაცია.
სამწუხაროდ, მომხმარებლებმა გადაწყვიტეს არ ითანამშრომლონ. იყო თუ არა ავტორიზაციის მეორე ფაქტორი ისეთივე მარტივი, როგორც LCD ეკრანი, რომელიც აწვდიდა უნიკალურ კოდს, თუ ისეთი რთული, როგორც თითის ანაბეჭდის სკანერი, იდეა ფიზიკური ტექნიკის კიდევ ერთი ნაწილის არსებობა - და პოტენციურად ერთი ყველა სხვადასხვა სერვისისთვის, რომელიც საჭიროებდა უნიკალურ შესვლას - არ იყო მიმზიდველი მასები.
შესაძლებელია წარმოვიდგინოთ ალტერნატიული ისტორია, სადაც ამ პრობლემის გამო ორფაქტორმა ვერასოდეს დაიჭირა. ჩვენთვის საბედნიეროდ, Apple-მა წარმოადგინა iPhone, ხოლო Google-მა წარმოადგინა Android. სმარტფონებმა მოწყობილობა, რომელსაც შეუძლია ორფაქტორიანი ავთენტიფიკაცია, გადასცეს მილიარდების ხელში მთელ მსოფლიოში, გადაჭრა მოხერხებულობის საკითხი, რომლის შესახებაც მომხმარებლები ჩიოდნენ 2005 წელს.
სმარტფონები მოსახერხებელია, მაგრამ აქვთ საკუთარი რისკები
სმარტფონების ყოვლისმომცველმა ბუნებამ საიტებსა და სერვისებს საშუალება მისცა ამოიღონ სირთულეები ორფაქტორიანი ავთენტიფიკაციის პროცესისგან. "ისინი, რომლებიც იყენებენ თქვენს მობილურ ტელეფონს, როგორც წესი, ძალიან მარტივი გამოსაყენებელია, ძალიან დაბალი ზემოქმედების ქვეშ", - თქვა უსაფრთხოების ექსპერტმა და ჰარვარდის თანამშრომელმა ბრიუს შნაიერმა, ციფრულ ტრენდებთან საუბრისას ამ თვის დასაწყისში. ”იმიტომ, რომ ეს არის ის, რაც თქვენ უკვე გაქვთ. ეს არ არის რაღაც ახალი, რაც შენთან ერთად უნდა ატარო."
შესაძლებელია წარმოვიდგინოთ ალტერნატიული ისტორია, სადაც ორ ფაქტორს ვერასოდეს იპყრობს.
გარკვეულ სცენარებში, ამ მიდგომას შეუძლია გარკვეული სარგებელი შესთავაზოს. მაგალითად, თუ თქვენ შედიხართ სერვისში ახალი კომპიუტერიდან, შეიძლება მოგეთხოვოთ სანდო მოწყობილობაზე გაგზავნილი კოდის შეყვანა და თქვენი სტანდარტული პაროლი. ეს არის კარგი მაგალითი იმისა, თუ როგორ გამოვიყენოთ ორფაქტორიანი ავთენტიფიკაცია; სხვას შეეძლო მოეპარა თქვენი პაროლი და ცდილობდა მის სისტემიდან ასოცირებულ ანგარიშში შესვლას – მაგრამ თუ მათ უკვე არ მოიპარეს თქვენი ტელეფონი, ისინი ვერ შეძლებენ წვდომას.
თუმცა, არსებობს საფრთხეები, რომლებსაც ასეთი დაცვა უბრალოდ ვერ უმკლავდება. 2005 წელს შნაიერმა დაწერა, რომ „ორფაქტორიანი ავთენტიფიკაცია არ არის ჩვენი მხსნელი“ ბლოგის პოსტი ჩაღრმავება მის სისუსტეებში.
მან გააგრძელა აღწერა, თუ როგორ შეუძლია შუაში მყოფმა თავდასხმამ მომხმარებლის მოტყუება და ფიქრი, რომ ისინი არიან ლეგიტიმურ ვებსაიტზე და დაარწმუნეთ ისინი, რომ შესთავაზონ ავთენტიფიკაციის ორივე ფორმა ყალბი შესვლისთვის ეკრანი. ის ასევე აღნიშნავს, რომ ტროას შეიძლება გამოყენებულ იქნას ლეგიტიმური შესვლის დასაბრუნებლად, რომელიც განხორციელდა ავტორიზაციის ორი ფორმის გამოყენებით. ასევე არსებობს უსაფრთხოების ცენტრალიზაციის პრობლემა ერთ მოწყობილობაზე; ადამიანების უმეტესობა იყენებს სმარტფონის ჩართულ ორფაქტორს მრავალი ვებსაიტისთვის. თუ ეს ტელეფონი მოიპარეს და გატეხეს, ყველა ეს საიტი რისკის ქვეშ იქნება.
Ცოდნა არის ძალა
”როდესაც შედიხართ თქვენს ანგარიშში, ორი ფაქტორი შესანიშნავია”, - თქვა შნაიერმა. ”ჩემი უნივერსიტეტი, ჰარვარდი, იყენებს მას, ჩემი კომპანია იყენებს მას. უამრავმა ადამიანმა მიიღო ის და ეს ძალიან სასარგებლოა. მაგრამ რაზეც მაშინ ვწერდი, პრობლემა ის იყო, რომ მას პანაცეად უყურებდნენ, ეს ყველაფერს მოაგვარებს. რა თქმა უნდა, ჩვენ ვიცით, რომ ეს ასე არ არის. ”
ფინანსური მოგება ყოველთვის მოტივაციას უქმნის მავნე ჰაკერებს, გამოიმუშაონ სხვა ადამიანების ანგარიშებზე წვდომის ახალი ტექნიკა. სანამ სხვისი რწმუნებათა სიგელების ფლობა სარგებელს მოაქვს, ჩვენ ვნახავთ, რომ ჰაკერობა მუდმივად განვითარდება.
”არსებობს მრავალი განსხვავებული საფრთხე და მრავალი განსხვავებული უსაფრთხოების მექანიზმი”, - განმარტა შნაიერმა. ”არ არსებობს მხოლოდ ერთი საფრთხე, არა მხოლოდ ერთი მექანიზმი, არის მრავალი საფრთხე და მრავალი მექანიზმი.”
საუკეთესო თავდაცვა არის ახალი და გაუმჯობესებული კონტრზომების უწყვეტი ნაკადი. თუ ჩვენ გავაგრძელებთ მეთოდების შეცვლას და განახლებას, რომელსაც ვიყენებთ ჩვენი ანგარიშების უსაფრთხოების შესანარჩუნებლად, საქმეს გავართულებთ ყველასთვის, ვინც ნებართვის გარეშე ცდილობს წვდომას.
სამწუხაროდ, თავდამსხმელებს აქვთ ინიციატივა. მასების მიერ მიღებული ორფაქტორიანი ავთენტიფიკაციისთვის წლები დასჭირდა. როდესაც დაცვის ახალი ფორმები ხელმისაწვდომი გახდება, ჩვენ, როგორც მომხმარებლებმა, უნდა ვიღებდეთ ვალდებულებას, ვისარგებლოთ მათგან. და ეს გვაბრუნებს Slashdot-ის ფორუმებზე, დაახლოებით 2005 წელს. ჩვენ ყველა კვლავ ვხდებით მომხმარებლები, რომლებიც უჩივიან კომფორტს, ნაცვლად იმისა, რომ ვიფიქროთ უსაფრთხოებაზე.
ძნელია იგნორირება, თუ რამდენად ჩვეულებრივი გახდა ფართომასშტაბიანი ჰაკები და არ არსებობს ნიშანი იმისა, რომ კრიმინალის ეს ფორმა მოკვდება. არ არსებობს დაცვა, რომელსაც შეუძლია 100 პროცენტით დაბლოკოს ნებისმიერი სახის შეტევა; კრიმინალები ყოველთვის იპოვიან გზას, გამოიყენონ თუნდაც მცირე სისუსტე. მიუხედავად იმისა, რომ ეს ადვილი არ არის, ინტერნეტში დარჩენის საუკეთესო გზა არის საფრთხეების გაცნობიერება და იმის ცოდნა, თუ რა შეიძლება გაკეთდეს ამ საფრთხეებისგან თავის დასაცავად.
ონლაინ უსაფრთხოება ჰგავს დაზღვევის გადახდას ან სტომატოლოგთან მისვლას. ეს არც ისე მნიშვნელოვანია, სანამ არ არის. საკმარისი არ არის უბრალოდ უარი თქვან დაცვის ფორმებზე, რომლებსაც სხვადასხვა საიტები და სერვისები გვთავაზობენ. იმის ცოდნა, თუ რა სახის თავდასხმებისგან გვიცავს ეს დაცვა - და რისგან არა - არის ერთადერთი გზა, რომ აიღოთ პასუხისმგებლობა საკუთარ უსაფრთხოებაზე.
რედაქტორების რეკომენდაციები
- Twitter-ის SMS ორფაქტორიან ავთენტიფიკაციას პრობლემები აქვს. აი, როგორ შეცვალოთ მეთოდები
- აი, რატომ ამბობენ ადამიანები, რომ ორფაქტორიანი ავთენტიფიკაცია არ არის სრულყოფილი
- ჰაკერები პოულობენ Gmail-ის ორფაქტორიანი ავთენტიფიკაციის გვერდის ავლით გზას
