Men tofaktorautentisering er ikke en sølvkule som er i stand til å stoppe hackere i deres spor. Det er et nyttig mottiltak å ha blant forsvarene dine, men til syvende og sist er det ingen erstatning for en praktisk kunnskap om de største truslene vi står overfor på nettet.
Anbefalte videoer
Aktiver tofaktorautentisering uansett hvor muligheten tilbys – men ikke gjør feilen å stole på beskyttelsen hvis du ikke forstår hva den kan og ikke kan forsvare seg mot. Som 2016 viste, er det komplekst å holde data sikre, og oversikkerhet kan gjøre deg åpen for angrep.
I slekt
- Passord er vanskelige og folk er late, viser ny rapport
- Twitter trenger ikke lenger telefonnumre for tofaktorautentisering
- Google tilbyr sin egen "Titan" USB-sikkerhetsnøkkel for passordfri pålogging
Er du den du sier du er?
I kjernen handler tofaktorautentisering om å sjekke legitimasjon. Det er en måte å forsikre seg om at noen er den de utgir seg for å være, ved å verifisere to forskjellige typer bevis. Denne typen system har eksistert i årevis.
Hvis du ikke forstår det grunnleggende om datasikkerhet, bør du ikke få lov til å banke på Internett.
Chip-and-PIN kredittkortbetalinger er kanskje det mest allestedsnærværende eksemplet; de er avhengige av at brukeren har et fysisk kort i sin besittelse, og kunnskap om PIN-koden. Mens en tyv kan tenkes å stjele et kort og lære PIN-koden, det er ikke lett å administrere begge deler.
Det var en tid, for ikke så lenge siden, da økonomiske transaksjoner var den eneste grunnen til at folk måtte autentisere identiteten sin med jevne mellomrom. I dag har alle som bruker internett en rekke kontoer som de ikke vil at hvem som helst skal ha tilgang til, av en rekke årsaker.
Finansnæringen klarte å implementere tofaktorautentisering veldig enkelt, fordi den eneste maskinvaren som måtte distribueres var et bankkort. Det er nesten umulig å distribuere et lignende system for vanlige nettsteder, så to-faktor er aktivert på andre måter. Og disse metodene har sine egne feil.
Brukererfaring
"Jeg er virkelig lei av at alle de praktiske tingene i livet plutselig blir for tungvinte å bruke," heter det i en kommentar postet til en 2005 SlashDot artikkel om den forestående økningen av tofaktorautentisering i forhold til nettbank. "Jeg ville virkelig, virkelig hate å ha en vanskelig token å bære rundt på."
"Politikere har ingen anelse om hvilken innvirkning dette har på den virkelige verden," sa en annen og beklaget trusselen om at brukere blir tvunget til å kjøpe ekstra maskinvare. "Hvis du ikke forstår det grunnleggende om datasikkerhet, bør du ikke få lov til å banke på Internett," la en annen kommentator til.
I dag virker klager som disse positivt tåpelige, men i 2005 ble brukere mer vurdert over kostnadene og irritasjonen ved å bære en form for tofaktor-token. Brukerrespons kan vise seg enda mer negativ når noe mindre viktig enn bank er beskyttet. I 2012 ble det anlagt et gruppesøksmål mot spillutvikleren Blizzard Entertainment etter selskapet introduserte et eksternt autentiseringsutstyr designet for å forsvare brukernes Battle.net-kontoer, ifølge en rapport fra BBC.
LastPass
Arbeidet med å implementere denne typen tofaktorautentisering hadde vært på plass siden 1980-tallet, da Security Dynamics Technologies patentert en "metode og apparat for positivt å identifisere et individ." På 2000-tallet var infrastrukturen og produksjonsevnen på plass for organisasjoner som spenner fra finansinstitusjoner til videospillutgivere for å håndheve sine egne midler til tofaktor autentisering.
Dessverre bestemte brukerne seg for ikke å samarbeide. Enten den andre faktoren for autentisering var så enkel som en LCD-skjerm som leverte en unik kode, eller så kompleks som en fingeravtrykkskanner, å ha enda et stykke fysisk maskinvare – og potensielt en for hver annen tjeneste som krevde en unik pålogging – var lite tiltalende for masser.
Det er mulig å forestille seg en alternativ historie der to-faktor aldri fanget opp på grunn av dette problemet. Heldigvis for oss introduserte Apple iPhone, og Google introduserte Android. Smarttelefoner gir en enhet som er i stand til tofaktorautentisering i hendene på milliarder over hele verden, og løste bekvemmelighetsproblemet som brukere klaget over i 2005.
Smarttelefoner er praktiske, men har sine egne risikoer
Den allestedsnærværende naturen til smarttelefoner har gjort det mulig for nettsteder og tjenester å fjerne bryet fra tofaktorautentiseringsprosessen. "De som bruker mobiltelefonen din har en tendens til å være veldig enkle å bruke, veldig lav effekt," sa sikkerhetsekspert og Harvard-stipendiat Bruce Schneier, som snakket med Digital Trends tidligere denne måneden. "Fordi det er noe du allerede har. Det er ikke noe nytt du må ta med deg.»
Det er mulig å forestille seg en alternativ historie der tofaktorer aldri fanget inn.
I visse scenarier kan denne tilnærmingen gi klare fordeler. For eksempel, hvis du logger på en tjeneste fra en ny datamaskin, kan du bli bedt om å legge inn en kode sendt til en pålitelig enhet samt standardpassordet ditt. Dette er et godt eksempel på hvordan du bruker tofaktorautentisering; noen andre kunne ha stjålet passordet ditt og prøvd å logge på den tilknyttede kontoen fra systemet deres - men med mindre de allerede har stjålet telefonen din, vil de ikke kunne få tilgang.
Imidlertid er det trusler som denne typen beskyttelse rett og slett ikke kan håndtere. I 2005 skrev Schneier at "tofaktorautentisering er ikke vår frelser" i en blogg innlegg dykke ned i dens svakheter.
Han fortsatte med å beskrive hvordan et mann-i-midten-angrep kunne lokke brukeren til å tro at de er på et legitimt nettsted, og overbevise dem om å tilby begge former for autentisering til en falsk pålogging skjerm. Han bemerker også at en trojaner kan brukes til å piggyback av en legitim pålogging som ble utført ved hjelp av to former for autentisering. Det er også problemet med å sentralisere sikkerhet på en enkelt enhet; de fleste bruker en smarttelefonaktivert tofaktor for flere nettsteder. Hvis telefonen blir stjålet og kompromittert, er alle disse nettstedene i fare.
Kunnskap er makt
"Når du logger på kontoen din, er to-faktor bra," sa Schneier. "Universitetet mitt, Harvard, bruker det, selskapet mitt bruker det. Mange mennesker har tatt det i bruk, og det er veldig nyttig. Men det jeg skrev om da, problemet var at det ble sett på som et universalmiddel, det vil løse alt. Selvfølgelig vet vi at det ikke gjør det."
Økonomisk gevinst vil alltid motivere ondsinnede hackere til å dyrke nye teknikker for å få tilgang til andres kontoer. Så lenge det er en fordel å ha andres legitimasjon, kommer vi til å se hacking utvikle seg kontinuerlig.
"Det er mange forskjellige trusler, og mange forskjellige sikkerhetsmekanismer," forklarte Schneier. "Det er ikke bare én trussel, ikke bare én mekanisme, det er mange trusler og mange mekanismer."
Det beste forsvaret er en kontinuerlig strøm av nye og forbedrede mottiltak. Hvis vi fortsetter å endre og oppdatere metodene vi bruker for å holde kontoene våre sikre, gjør vi ting vanskeligere for alle som prøver å få tilgang uten tillatelse.
Dessverre har angriperne initiativet. Det tok år før tofaktorautentisering ble akseptert av massene. Etter hvert som nye former for beskyttelse blir tilgjengelige, må vi som brukere forplikte oss til å dra nytte av dem. Og det setter oss rett tilbake på Slashdot-forumene, rundt 2005. Vi blir alle igjen brukere som klager på bekvemmelighet, i stedet for å bekymre oss for sikkerhet.
Det er vanskelig å ignorere hvor vanlig storskala hacks har blitt, og det er ingen tegn på at denne formen for kriminalitet kommer til å dø ut. Det er ikke noe forsvar som er 100 prosent i stand til å blokkere noen form for angrep; kriminelle vil alltid finne en måte å utnytte selv den minste svakhet på. Selv om det ikke er lett, er den beste måten å holde seg trygg på nettet på å være klar over truslene, og klar over hva som kan gjøres for å beskytte mot disse truslene.
Nettsikkerhet er som å betale for forsikring eller gå til tannlegen. Det virker ikke så viktig, før det er det. Det er ikke nok å bare melde seg på beskyttelsesformene vi tilbys av ulike nettsteder og tjenester. Å vite hva slags angrep disse beskyttelsene forsvarer oss mot – og hva de ikke gjør – er den eneste måten å ta ansvar for din egen sikkerhet.
Redaktørenes anbefalinger
- Twitters SMS-tofaktorautentisering har problemer. Slik bytter du metoder
- Her er grunnen til at folk sier at tofaktorautentisering ikke er perfekt
- Hackere finner en måte å omgå Gmail to-faktor autentisering
