Tačiau dviejų veiksnių autentifikavimas nėra kažkokia sidabrinė kulka, galinti sustabdyti įsilaužėlius. Tai naudinga atsakomoji priemonė, kurią turite turėti tarp jūsų gynybos priemonių, tačiau galiausiai ji nepakeičia darbo žinių apie didžiausias grėsmes, su kuriomis susiduriame internete.
Rekomenduojami vaizdo įrašai
Suaktyvinkite dviejų veiksnių autentifikavimą visur, kur tik siūloma galimybė, tačiau nepadarykite klaidos pasikliauti jo apsauga, jei nesuprantate, nuo ko jis gali ir nuo ko negali apsiginti. Kaip įrodė 2016 m., duomenų saugumas yra sudėtingas, o per didelis pasitikėjimas savimi gali sukelti ataką.
Susijęs
- Nauja ataskaita rodo, kad slaptažodžiai yra kieti, o žmonės tingūs
- „Twitter“ nebereikia telefono numerių dviejų veiksnių autentifikavimui
- „Google“ siūlo savo „Titano“ USB saugos raktą, skirtą prisijungti be slaptažodžio
Ar tu esi toks, koks esi?
Iš esmės dviejų veiksnių autentifikavimas yra kredencialų tikrinimas. Tai būdas įsitikinti, kad kažkas yra tuo, kuo jis teigia esąs, patikrinus dviejų skirtingų tipų įrodymus. Tokia sistema gyvuoja daugelį metų.
Jei nesuprantate kompiuterių saugos pagrindų, jums nereikėtų leisti bankuoti internetu.
Mokėjimai lustu ir PIN kodais kredito kortele yra turbūt labiausiai paplitęs pavyzdys; jie pasikliauja tuo, kad vartotojas turi fizinę kortelę ir žino savo PIN kodą. Nors vagis gali pavogti kortelę ir išmokti PIN kodą, nėra lengva juos valdyti.
Buvo laikas, ne taip seniai, kai finansinės operacijos buvo vienintelė priežastis, kodėl žmonės turėjo reguliariai patvirtinti savo tapatybę. Šiandien kiekvienas, kuris naudojasi internetu, turi daugybę paskyrų, prie kurių nenorėtų, kad bet kas turėtų prieigą dėl įvairių priežasčių.
Dviejų veiksnių autentifikavimą finansų sektoriui pavyko įdiegti labai lengvai, nes vienintelė techninė įranga, kurią reikėjo platinti, buvo banko kortelė. Panašios sistemos platinimas kasdienėms svetainėms yra beveik neįmanomas, todėl dviejų faktorių sistema įjungiama kitomis priemonėmis. Ir tie metodai turi savų trūkumų.
Vartotojo patirtis
„Aš tikrai pavargau nuo visų patogių dalykų gyvenime, kurie staiga tampa pernelyg sudėtingi naudoti“, – rašoma komentare, paskelbtame 2005 m. SlashDot Straipsnis apie neišvengiamą dviejų veiksnių autentifikavimo augimą, susijusį su internetine bankininkyste. „Man tikrai labai nepatiktų turėti sunkų žetoną, kurį nešiotis su savimi“.
„Politikai neįsivaizduoja, kokią įtaką tai daro realiame pasaulyje“, – pritarė antrasis, apgailestavęs dėl grėsmės, kad vartotojai bus priversti įsigyti papildomos techninės įrangos. „Jei nesuprantate kompiuterių saugos pagrindų, jums neturėtų būti leista bankuoti internete“, – pridūrė kitas komentatorius.
Šiandien tokie skundai atrodo labai kvaili, tačiau 2005 m. naudotojai labiau galvojo apie išlaidas ir nepatogumus, susijusius su tam tikros formos dviejų veiksnių žetono nešiojimu. Vartotojų atsakymas gali pasirodyti dar neigiamas, kai yra apsaugotas kažkas mažiau svarbaus nei bankininkystė. 2012 m. žaidimų kūrėjui „Blizzard Entertainment“ buvo iškeltas grupės ieškinys po to, kai bendrovė pristatė autentifikavimo periferinį įrenginį, skirtą apsaugoti vartotojų Battle.net paskyras, remiantis ataskaita BBC.
LastPass
Pastangos įdiegti tokio tipo dviejų veiksnių autentifikavimą buvo dedamos nuo devintojo dešimtmečio, kai „Security Dynamics Technologies“ užpatentavo „teigiamai asmens tapatybės nustatymo metodą ir aparatą“. Iki 2000-ųjų infrastruktūra ir gamybos pajėgumai buvo skirtos organizacijoms, pradedant finansinėmis institucijomis ir baigiant vaizdo žaidimų leidėjais, kad galėtų įgyvendinti savo dviejų veiksnių priemones. autentifikavimas.
Deja, vartotojai nusprendė nebendradarbiauti. Nesvarbu, ar antrasis autentifikavimo veiksnys buvo toks paprastas kaip skystųjų kristalų ekranas, kuriame pateikiamas unikalus kodas, ar toks sudėtingas kaip pirštų atspaudų skaitytuvas, idėja turėti dar vieną fizinę aparatinę įrangą – galbūt po vieną kiekvienai kitai paslaugai, kuriai reikėjo unikalaus prisijungimo – buvo nepatrauklus masės.
Galima įsivaizduoti alternatyvią istoriją, kurioje dėl šios problemos niekada nepasitaikė dviejų veiksnių. Mūsų laimei, Apple pristatė iPhone, o Google – Android. Išmanieji telefonai atidavė įrenginį, galintį atlikti dviejų veiksnių autentifikavimą, milijardams visame pasaulyje, taip išspręsdami patogumo problemą, dėl kurios vartotojai skundėsi 2005 m.
Išmanieji telefonai yra patogūs, tačiau turi savo pavojų
Visur išmanieji telefonai leido svetainėms ir paslaugoms pašalinti dviejų veiksnių autentifikavimo proceso rūpesčius. „Tie, kurie naudoja jūsų mobilųjį telefoną, paprastai yra labai paprasti naudoti, o poveikis yra labai mažas“, - sakė saugumo ekspertas ir Harvardo kolega Bruce'as Schneieris, anksčiau šį mėnesį kalbėdamas su „Digital Trends“. „Nes tai kažkas, ką jau turite. Tai nėra kažkas naujo, kurį turite nešiotis su savimi.
Galima įsivaizduoti alternatyvią istoriją, kurioje dviejų faktorių niekada nepasitaikė.
Tam tikrais atvejais šis metodas gali duoti neabejotinos naudos. Pavyzdžiui, jei prisijungiate prie paslaugos iš naujo kompiuterio, jūsų gali būti paprašyta įvesti kodą, išsiųstą į patikimą įrenginį, ir įprastą slaptažodį. Tai geras pavyzdys, kaip naudoti dviejų veiksnių autentifikavimą; kažkas kitas galėjo pavogti jūsų slaptažodį ir bandyti prisijungti prie susijusios paskyros iš savo sistemos, bet nebent jis jau pavogė jūsų telefoną, jis negalės pasiekti.
Tačiau yra grėsmių, kurių tokia apsauga tiesiog negali atlaikyti. 2005 m. Schneier rašė, kad „dviejų veiksnių autentifikavimas nėra mūsų gelbėtojas“. tinklaraščio straipsnis gilinantis į jos silpnybes.
Toliau jis aprašė, kaip žmogaus viduryje ataka gali priversti vartotoją manyti, kad jie teisėtoje svetainėje ir įtikinkite juos pasiūlyti abi autentifikavimo formas prie netikro prisijungimo ekranas. Jis taip pat pažymi, kad Trojos arklys gali būti naudojamas norint susigrąžinti teisėtą prisijungimą, kuris buvo atliktas naudojant dvi autentifikavimo formas. Taip pat yra saugos centralizavimo viename įrenginyje problema; dauguma žmonių naudoja išmanųjį telefoną su dviem faktoriais kelioms svetainėms. Jei tas telefonas bus pavogtas ir pažeistas, visoms toms svetainėms kyla pavojus.
Žinios yra galia
„Kai prisijungiate prie savo paskyros, puiku yra dviejų veiksnių“, - sakė Schneier. „Mano universitetas, Harvardas, jį naudoja, mano įmonė naudojasi. Daugelis žmonių jį priėmė ir tai labai naudinga. Bet apie ką aš tada rašiau, problema buvo ta, kad į tai buvo žiūrima kaip į panacėją, ji viską išspręs. Žinoma, mes žinome, kad taip nėra.
Finansinė nauda visada paskatins piktybinius įsilaužėlius plėtoti naujus būdus pasiekti kitų žmonių paskyras. Kol bus naudinga turėti kažkieno kredencialus, įsilaužimas nuolat vystysis.
„Yra daug įvairių grėsmių ir daugybė skirtingų saugumo mechanizmų“, – paaiškino Schneieris. „Yra ne viena grėsmė, ne vienas mechanizmas, yra daug grėsmių ir daugybė mechanizmų.
Geriausia gynyba yra nuolatinis naujų ir patobulintų atsakomųjų priemonių srautas. Jei ir toliau keisime ir atnaujinsime metodus, kuriuos naudojame siekdami užtikrinti savo paskyrų saugumą, visiems, bandantiems gauti prieigą be leidimo, bus sunkiau.
Deja, iniciatyvą turi puolėjai. Prireikė metų, kol dviejų veiksnių autentifikavimas tapo priimtas masės. Kai atsiranda naujų apsaugos formų, mes, vartotojai, turime įsipareigoti jomis pasinaudoti. Ir tai grąžina mus į Slashdot forumus, maždaug 2005 m. Mes visi vėl tampame vartotojais, kurie skundžiasi patogumu, o ne nerimauja dėl saugumo.
Sunku nepaisyti, kaip įprastas didelio masto įsilaužimas tapo įprastas, ir nėra jokių požymių, kad ši nusikalstamumo forma išnyks. Nėra gynybos, kuri 100 procentų galėtų blokuoti bet kokią ataką; nusikaltėliai visada ras būdą, kaip išnaudoti net mažiausią silpnybę. Nors tai nėra lengva, geriausias būdas apsisaugoti internete yra žinoti apie grėsmes ir žinoti, ką galima padaryti norint apsisaugoti nuo tų grėsmių.
Saugumas internete yra tarsi mokėjimas už draudimą ar apsilankymas pas odontologą. Tai neatrodo taip svarbu, kol taip nėra. Nepakanka tik pasirinkti apsaugos formas, kurias siūlo įvairios svetainės ir paslaugos. Vienintelis būdas pasirūpinti savo saugumu yra žinojimas, nuo kokių atakų šios apsaugos priemonės mus gina, o nuo ko ne.
Redaktorių rekomendacijos
- „Twitter“ SMS dviejų veiksnių autentifikavimas turi problemų. Štai kaip pakeisti metodus
- Štai kodėl žmonės sako, kad dviejų veiksnių autentifikavimas nėra tobulas
- Piratai randa būdą, kaip apeiti „Gmail“ dviejų veiksnių autentifikavimą
