Men tvåfaktorsautentisering är inte någon silverkula som kan stoppa hackare i deras spår. Det är en användbar motåtgärd att ha bland dina försvar, men i slutändan är det ingen ersättning för en praktisk kunskap om de största hoten vi står inför online.
Rekommenderade videor
Aktivera tvåfaktorsautentisering varhelst möjligheten erbjuds - men gör inte misstaget att förlita dig på dess skydd om du inte förstår vad den kan och inte kan försvara sig mot. Som 2016 visade, är det komplext att hålla data säker, och övertro kan göra dig öppen för attacker.
Relaterad
- Lösenord är svåra och folk är lata, visar ny rapport
- Twitter behöver inte längre telefonnummer för tvåfaktorsautentisering
- Google erbjuder sin egen "Titan" USB-säkerhetsnyckel för lösenordsfria inloggningar
Är du den du säger att du är?
I kärnan handlar tvåfaktorsautentisering om att kontrollera autentiseringsuppgifter. Det är ett sätt att se till att någon är den de utger sig för att vara, genom att verifiera två olika typer av bevis. Den här typen av system har funnits i flera år.
Om du inte förstår grunderna i datorsäkerhet bör du inte tillåtas att handla på internet.
Chip-and-PIN kreditkortsbetalningar är kanske det mest förekommande exemplet; de förlitar sig på att användaren har ett fysiskt kort i sin ägo och kunskap om sin PIN-kod. Medan en tjuv skulle kunna stjäla ett kort och lär dig PIN-koden, det är inte lätt att hantera båda.
Det fanns en tid, för inte så länge sedan, då finansiella transaktioner var den enda anledningen till att människor skulle behöva autentisera sin identitet regelbundet. Idag har alla som använder internet en mängd konton som de inte vill att vem som helst ska ha tillgång till, av olika anledningar.
Finansbranschen lyckades implementera tvåfaktorsautentisering väldigt enkelt, eftersom den enda hårdvaran som behövde distribueras var ett bankkort. Att distribuera ett liknande system för vardagliga webbplatser är nästan omöjligt, så tvåfaktorer aktiveras på andra sätt. Och dessa metoder har sina egna brister.
Användarupplevelse
"Jag är verkligen trött på att alla praktiska saker i livet plötsligt blir för besvärliga att använda", står det i en kommentar till en 2005 SlashDot artikel om den nära förestående ökningen av tvåfaktorsautentisering i relation till nätbanker. "Jag skulle verkligen, verkligen hata att ha en svår token att bära med sig."
"Politiker har ingen aning om vilken inverkan detta har på den verkliga världen," instämde en andra och beklagade hotet om att användare tvingas köpa extra hårdvara. "Om du inte förstår grunderna för datorsäkerhet, bör du inte tillåtas att handla på Internet," tillade en annan kommentator.
Idag verkar klagomål som dessa positivt dumt, men 2005 var användarna mer övervägda över kostnaden och irritationen för att bära någon form av tvåfaktorstoken. Användarnas svar kan visa sig vara ännu mer negativt när något mindre viktigt än bank är skyddat. 2012 lämnades en grupptalan in mot spelutvecklaren Blizzard Entertainment efter företaget introducerade en kringutrustning för autentisering utformad för att försvara användarnas Battle.net-konton, enligt en rapport från BBC.
LastPass
Ansträngningar för att implementera denna typ av tvåfaktorsautentisering hade pågått sedan 1980-talet, när Security Dynamics Technologies patenterade en "metod och apparat för att positivt identifiera en individ." På 2000-talet var infrastrukturen och tillverkningsförmågan på plats för organisationer som sträcker sig från finansiella institutioner till videospelsutgivare för att genomdriva sina egna tvåfaktorsåtgärder autentisering.
Tyvärr valde användarna att inte samarbeta. Oavsett om den andra faktorn för autentisering var så enkel som en LCD-skärm som levererade en unik kod, eller så komplex som en fingeravtrycksläsare, att ha ytterligare en fysisk hårdvara – och potentiellt en för varje annan tjänst som krävde en unik inloggning – var oattraktivt för massor.
Det är möjligt att föreställa sig en alternativ historia där tvåfaktorer aldrig fångade på grund av detta problem. Lyckligtvis för oss introducerade Apple iPhone och Google introducerade Android. Smartphones ger en enhet som kan tvåfaktorsautentisering i händerna på miljarder världen över, vilket löser bekvämlighetsproblemet som användare klagade över 2005.
Smartphones är bekväma, men har sina egna risker
Den allestädes närvarande karaktären hos smartphones har gjort det möjligt för webbplatser och tjänster att ta bort krånglet från tvåfaktorsautentiseringsprocessen. "De som använder din mobiltelefon tenderar att vara väldigt lätta att använda, mycket låg effekt", sa säkerhetsexperten och Harvard-kollegan Bruce Schneier, som talade med Digital Trends tidigare denna månad. "För att det är något du redan har. Det är inget nytt som du måste bära med dig."
Det är möjligt att föreställa sig en alternativ historia där tvåfaktorer aldrig slog igenom.
I vissa scenarier kan detta tillvägagångssätt erbjuda klara fördelar. Om du till exempel loggar in på en tjänst från en ny dator kan du bli ombedd att ange en kod som skickas till en betrodd enhet samt ditt vanliga lösenord. Det här är ett bra exempel på hur man använder tvåfaktorsautentisering; någon annan kunde ha stulit ditt lösenord och försökt logga in på det associerade kontot från deras system - men om de inte redan har stulit din telefon kommer de inte att kunna få åtkomst.
Det finns dock hot som den här typen av skydd helt enkelt inte kan hantera. 2005 skrev Schneier att "tvåfaktorsautentisering är inte vår räddare" i en blogginlägg gräver i dess svagheter.
Han fortsatte med att beskriva hur en man-i-mitten-attack kunde få användaren att tro att de på en legitim webbplats och övertyga dem att erbjuda båda formerna av autentisering till en falsk inloggning skärm. Han noterar också att en trojan kan användas för att piggyback av en legitim inloggning som utfördes med två former av autentisering. Det finns också problemet med att centralisera säkerheten på en enda enhet; de flesta använder en smartphone-aktiverad tvåfaktor för flera webbplatser. Om den telefonen blir stulen och äventyrad är alla dessa webbplatser i fara.
Kunskap är makt
"När du loggar in på ditt konto är tvåfaktorer bra", sa Schneier. "Mitt universitet, Harvard, använder det, mitt företag använder det. Många människor har anammat det, och det är väldigt användbart. Men det jag skrev om då, problemet var att det sågs som ett universalmedel, det kommer att lösa allt. Naturligtvis vet vi att det inte gör det."
Ekonomisk vinst kommer alltid att motivera illvilliga hackare att odla nya tekniker för att komma åt andras konton. Så länge det finns en fördel med att ha någon annans referenser kommer vi att se hacking utvecklas kontinuerligt.
"Det finns många olika hot och många olika säkerhetsmekanismer," förklarade Schneier. "Det finns inte bara ett hot, inte bara en mekanism, det finns många hot och många mekanismer."
Det bästa försvaret är en kontinuerlig ström av nya och förbättrade motåtgärder. Om vi fortsätter att ändra och uppdatera metoderna vi använder för att hålla våra konton säkra, gör vi det svårare för alla som försöker få åtkomst utan tillstånd.
Tyvärr har angriparna initiativet. Det tog år för tvåfaktorsautentisering att bli accepterad av massorna. När nya former av skydd blir tillgängliga måste vi som användare åta oss att dra nytta av dem. Och det sätter oss direkt tillbaka på Slashdot-forumen, cirka 2005. Vi blir alla återigen användare som klagar på bekvämlighet, istället för att oroa oss för säkerheten.
Det är svårt att ignorera hur vanliga storskaliga hack har blivit, och det finns inga tecken på att denna form av kriminalitet kommer att dö ut. Det finns inget försvar som är 100 procent kapabelt att blockera någon form av attack; kriminella kommer alltid att hitta ett sätt att utnyttja även den minsta svaghet. Även om det inte är lätt, är det bästa sättet att hålla sig säker online att vara medveten om hoten och medveten om vad som kan göras för att skydda mot dessa hot.
Säkerhet på nätet är som att betala för försäkring eller gå till tandläkaren. Det verkar inte så viktigt, förrän det är det. Det räcker inte med att bara välja de former av skydd som vi erbjuds av olika webbplatser och tjänster. Att veta vilken typ av attacker dessa skydd skyddar oss från – och vad de inte gör – är det enda sättet att ta hand om din egen säkerhet.
Redaktörens rekommendationer
- Twitters tvåfaktorsautentisering för SMS har problem. Så här byter du metod
- Det är därför folk säger att tvåfaktorsautentisering inte är perfekt
- Hackare hittar ett sätt att kringgå Gmails tvåfaktorsautentisering
