Jednak uwierzytelnianie dwuskładnikowe nie jest złotym środkiem, który może powstrzymać hakerów. Jest to przydatny środek zaradczy, który warto mieć w swojej obronie, ale ostatecznie nie zastąpi praktycznej wiedzy na temat największych zagrożeń, przed którymi stoimy w Internecie.
Polecane filmy
Aktywuj uwierzytelnianie dwuskładnikowe, gdy tylko pojawi się taka możliwość, ale nie popełniaj błędu i polegaj na jego ochronie, jeśli nie rozumiesz, przed czym może się ono bronić, a przed czym nie. Jak pokazał rok 2016, zapewnienie bezpieczeństwa danych jest złożone, a nadmierna pewność siebie może narazić Cię na ataki.
Powiązany
- Z nowego raportu wynika, że hasła są trudne, a ludzie leniwi
- Twitter nie potrzebuje już numerów telefonów do uwierzytelniania dwuskładnikowego
- Google oferuje własny klucz bezpieczeństwa USB „Titan” umożliwiający logowanie bez hasła
Czy jesteś tym za kogo się podajesz?
W istocie uwierzytelnianie dwuskładnikowe polega na sprawdzaniu poświadczeń. Jest to sposób na upewnienie się, że ktoś jest tym, za kogo się podaje, poprzez weryfikację dwóch różnych rodzajów dowodów. Tego rodzaju system istnieje od lat.
Jeśli nie rozumiesz podstaw bezpieczeństwa komputera, nie powinieneś mieć możliwości korzystania z bankowości internetowej.
Płatności kartą kredytową z chipem i kodem PIN są prawdopodobnie najbardziej wszechobecnym przykładem; polegają na tym, że użytkownik posiada fizyczną kartę i zna swój PIN. Chociaż złodziej może ukraść kartę I naucz się PIN-u, zarządzanie obydwoma nie jest łatwe.
Był czas, nie tak dawno temu, kiedy transakcje finansowe były jedynym powodem, dla którego ludzie musieli regularnie potwierdzać swoją tożsamość. Obecnie każdy, kto korzysta z Internetu, ma szereg kont, do których nie chciałby, aby ktokolwiek miał dostęp, z różnych powodów.
Branży finansowej udało się bardzo łatwo wdrożyć uwierzytelnianie dwuskładnikowe, ponieważ jedynym sprzętem, który wymagał dystrybucji, była karta bankowa. Dystrybucja podobnego systemu w codziennych witrynach internetowych jest prawie niemożliwa, dlatego dwuczynnikowe działanie można włączyć w inny sposób. Metody te mają swoje własne wady.
Doświadczenie użytkownika
„Mam naprawdę dość wszystkich wygodnych rzeczy w życiu, które nagle stają się zbyt kłopotliwe w użyciu” – czytamy w komentarzu opublikowanym w 2005 roku SlashDot artykuł o rychłym wzroście uwierzytelniania dwuskładnikowego w odniesieniu do bankowości internetowej. „Naprawdę, naprawdę nie chciałbym nosić ze sobą twardego żetonu”.
„Politycy nie mają pojęcia, jaki wpływ ma to na realny świat” – zgodził się drugi, ubolewając nad groźbą zmuszenia użytkowników do zakupu dodatkowego sprzętu. „Jeśli nie rozumiesz podstaw bezpieczeństwa komputera, nie powinieneś mieć możliwości korzystania z bankowości przez Internet” – dodał inny komentator.
Dziś tego typu skargi wydają się całkowicie głupie, ale w 2005 roku użytkownicy bardziej zwracali uwagę na koszty i irytację związaną z noszeniem jakiejś formy tokena dwuskładnikowego. Reakcja użytkowników może okazać się jeszcze bardziej negatywna, gdy chronione będzie coś mniej ważnego niż bankowość. W 2012 roku złożono pozew zbiorowy przeciwko twórcy gier Blizzard Entertainment po firmie wprowadziło urządzenie peryferyjne uwierzytelniające zaprojektowane do ochrony kont użytkowników Battle.net, jak wynika z raportu BBC.
LastPass
Wysiłki mające na celu wdrożenie tego rodzaju uwierzytelniania dwuskładnikowego podejmowano od lat 80. XX wieku, kiedy firma Security Dynamics Technologies opatentował „metodę i urządzenie do pozytywnej identyfikacji osoby”. Do 2000 roku infrastruktura i możliwości produkcyjne były już takie umożliwia organizacjom, od instytucji finansowych po wydawców gier wideo, egzekwowanie własnych środków dwuczynnikowych uwierzytelnianie.
Niestety użytkownicy nie zdecydowali się na współpracę. Niezależnie od tego, czy drugi czynnik uwierzytelniania był tak prosty, jak ekran LCD dostarczający unikalny kod, czy tak złożony, jak skaner linii papilarnych, pomysł posiadanie jeszcze jednego fizycznego sprzętu – i potencjalnie jednego dla każdej innej usługi wymagającej unikalnego logowania – było nieatrakcyjne dla szerokie rzesze.
Można sobie wyobrazić alternatywną historię, w której dwuczynnikowość nigdy nie została przyjęta z powodu tego problemu. Na szczęście dla nas Apple wprowadził iPhone'a, a Google wprowadził Android. Smartfony oddały w ręce miliardów ludzi na całym świecie urządzenie umożliwiające uwierzytelnianie dwuskładnikowe, rozwiązując problem wygody, na który narzekali użytkownicy w 2005 roku.
Smartfony są wygodne, ale wiążą się z pewnym ryzykiem
Wszechobecność smartfonów umożliwiła witrynom i usługom wyeliminowanie problemów związanych z procesem uwierzytelniania dwuskładnikowego. „Te, które korzystają z telefonu komórkowego, są zazwyczaj bardzo łatwe w użyciu i mają niewielki wpływ na bezpieczeństwo” – powiedział ekspert ds. bezpieczeństwa i stypendysta Harvardu, Bruce Schneier, w rozmowie z Digital Trends na początku tego miesiąca. „Ponieważ jest to coś, co już masz. To nie jest coś nowego, co trzeba ze sobą nosić.
Można sobie wyobrazić alternatywną historię, w której dwuczynnikowość nigdy się nie przyjęła.
W niektórych scenariuszach takie podejście może zapewnić określone korzyści. Na przykład, jeśli logujesz się do usługi z nowego komputera, możesz zostać poproszony o wprowadzenie kodu wysłanego do zaufanego urządzenia oraz standardowego hasła. To dobry przykład wykorzystania uwierzytelniania dwuskładnikowego; ktoś inny mógł ukraść Twoje hasło i spróbować zalogować się na powiązane konto ze swojego systemu – ale jeśli nie ukradł już Twojego telefonu, nie będzie mógł uzyskać dostępu.
Istnieją jednak zagrożenia, z którymi tego rodzaju ochrona po prostu nie jest w stanie sobie poradzić. W 2005 roku Schneier napisał, że „uwierzytelnianie dwuskładnikowe nie jest naszym wybawieniem” w: post na blogu zagłębiając się w jego słabości.
Następnie opisał, w jaki sposób atak typu man-in-the-middle może oszukać użytkownika, aby pomyślał, że jest na legalnej stronie internetowej i przekonaj ich, aby przy fałszywym logowaniu oferowali obie formy uwierzytelnienia ekran. Zauważa również, że trojan może zostać wykorzystany do legalnego logowania, które zostało przeprowadzone przy użyciu dwóch form uwierzytelniania. Istnieje również problem scentralizowania zabezpieczeń na jednym urządzeniu; większość ludzi korzysta z dwuskładnikowego urządzenia obsługującego smartfony w przypadku wielu witryn internetowych. Jeśli ten telefon zostanie skradziony i przejęty, wszystkie te witryny będą zagrożone.
Wiedza to potęga
„Kiedy logujesz się na swoje konto, dwuczynnikowość jest świetna” – powiedział Schneier. „Korzysta z tego mój uniwersytet, Harvard, i moja firma. Wiele osób to przyjęło i jest bardzo przydatne. Ale to o czym wtedy pisałem, problem polegał na tym, że traktowano to jako panaceum, które rozwiąże wszystko. Oczywiście wiemy, że tak nie jest.
Zyski finansowe zawsze będą motywować złośliwych hakerów do rozwijania nowych technik uzyskiwania dostępu do kont innych osób. Dopóki posiadanie cudzych danych uwierzytelniających przynosi korzyść, hakowanie będzie stale ewoluować.
„Istnieje wiele różnych zagrożeń i wiele różnych mechanizmów bezpieczeństwa” – wyjaśnił Schneier. „Nie ma jednego zagrożenia ani jednego mechanizmu, istnieje wiele zagrożeń i wiele mechanizmów”.
Najlepszą obroną jest ciągły dopływ nowych i ulepszonych środków zaradczych. Jeśli będziemy nadal zmieniać i aktualizować metody, których używamy do zapewnienia bezpieczeństwa naszych kont, utrudnimy każdemu, kto będzie próbował uzyskać dostęp bez pozwolenia.
Niestety, inicjatywę mają napastnicy. Minęło wiele lat, zanim uwierzytelnianie dwuskładnikowe zostało zaakceptowane przez masy. W miarę pojawiania się nowych form ochrony my, użytkownicy, musimy zobowiązać się do korzystania z nich. I to stawia nas z powrotem na forach Slashdot, około 2005 roku. Wszyscy po raz kolejny staliśmy się użytkownikami narzekającymi na wygodę, zamiast martwić się o bezpieczeństwo.
Trudno zignorować fakt, jak powszechne stały się hacki na dużą skalę i nic nie wskazuje na to, że ta forma przestępczości wymrze. Nie ma obrony, która byłaby w 100% zdolna do zablokowania dowolnego rodzaju ataku; przestępcy zawsze znajdą sposób na wykorzystanie nawet najmniejszej słabości. Chociaż nie jest to łatwe, najlepszym sposobem na zachowanie bezpieczeństwa w Internecie jest świadomość zagrożeń i świadomość tego, co można zrobić, aby się przed nimi zabezpieczyć.
Bezpieczeństwo w Internecie jest jak płacenie za ubezpieczenie lub wizyta u dentysty. Nie wydaje się to aż tak ważne, dopóki nie jest. Nie wystarczy po prostu wyrazić zgodę na formy ochrony oferowane przez różne witryny i usługi. Wiedza o tym, przed jakimi rodzajami ataków chronią nas te zabezpieczenia – a przed jakimi nie – to jedyny sposób, aby przejąć kontrolę nad własnym bezpieczeństwem.
Zalecenia redaktorów
- Występują problemy z dwuskładnikowym uwierzytelnianiem SMS na Twitterze. Oto jak zmienić metody
- Oto dlaczego ludzie twierdzą, że uwierzytelnianie dwuskładnikowe nie jest idealne
- Hakerzy znajdują sposób na ominięcie uwierzytelniania dwuskładnikowego Gmaila
