Perbandingan kaedah pengesahan dua faktor: Mana yang terbaik untuk anda?
Pengesahan dua faktor menjadikannya tidak mustahil untuk penggodam memecah masuk ke akaun anda dengan kekerasan dan bahkan melindungi anda jika penggodam mendapatkan kata laluan anda. Ia juga boleh membantu mengunci akaun anda jika kelayakan anda telah dipalsukan pada masa lalu.
Ringkasnya, pengesahan dua faktor (2FA) adalah penting.
Tetapi model pengesahan dua faktor yang perlu anda pilih? Hampir semua perkhidmatan menawarkan kata laluan satu kali melalui mesej teks yang dihantar ke telefon anda. Ramai juga menyediakan kata laluan satu kali yang dihasilkan pada peranti mudah alih anda (dengan menggunakan Google Authenticator, Authy, atau bahkan Facebook).
Beberapa perkhidmatan akan memberi anda pilihan untuk menyambungkan peranti perkakasan, dan terdapat pertukaran antara pilihan. Blog ini menerangkan apa pilihan ini, apa yang perlu anda berhati-hati, dan apa yang terbaik untuk anda.
Kenapa pengesahan dua faktor lebih unggul?
Sukar, jika tidak mustahil untuk melihat kata laluan retak atau dicuri. Kata laluan yang dicuri atau retak membolehkan penyerang untuk mengakses akaun anda untuk apa-apa jumlah masa, tanpa disedari, atau mengunci anda sepenuhnya.
Begitu juga, bergantung semata-mata pada peranti untuk log masuk boleh membuat anda terdedah kepada penggodaman, jika dicuri. Walaupun anda akan lebih cepat menyedari bahawa anda telah dikompromi.
Menggabungkan sesuatu yang anda tahu dan sesuatu yang anda bersama-sama, bagaimanapun, menjadikannya jauh lebih berbahaya jika kata laluan anda retak atau peranti anda dicuri. Sekiranya anda kehilangan peranti anda, pencuri atau pencari tidak dapat mengakses akaun anda tanpa kata laluan. Dan jika kata laluan anda retak, tiada siapa yang boleh mengakses akaun anda tanpa peranti itu.
Faktor yang perlu dipertimbangkan apabila memilih pengesahan dua faktor
Teori pengesahan identiti biasanya mentakrif tiga faktor:
- Sesuatu yang anda tahu
- Sesuatu yang anda ada
- Sesuatu yang anda ada
Paling umum, pengguna di internet dikenalpasti melalui sesuatu yang mereka tahu. Ini biasanya kata laluan, tetapi juga boleh menjadi soalan keselamatan.
Risiko dengan “sesuatu yang anda tahu” adalah bahawa anda boleh melupakan, atau bukan satu-satunya yang tahu, mis. kerana anda secara sukarela atau secara sukarela berkongsi pengetahuan. Mungkin juga pihak ketiga dapat memperoleh pengetahuan ini melalui cara lain, mungkin dengan melihat media sosial untuk mendapatkan jawapan kepada soalan keselamatan bersama “Apa haiwan kesayangan kegemaran anda?” Atau “Jalan mana yang anda membesar?”
Faktor kedua adalah “sesuatu yang anda miliki,” yang boleh menjadi kunci keselamatan atau kad sim. Sering kali faktor kedua ini digunakan sebagai tetapan sandaran sekiranya anda terlupa kata laluan anda.
Faktor ketiga adalah “sesuatu yang anda”. Ini mungkin merupakan cap jari atau pengenalan muka dan suara anda dan jarang digunakan di luar kemudahan ketenteraan.
Hanya apabila dua faktor ini, atau pelbagai faktor, diperlukan pada masa yang sama untuk pengesahan kita bercakap mengenai pengesahan dua faktor atau multi-faktor.
Kaedah umum pengesahan dua faktor
1. Mesej teks
Apa awak ada: Kad SIM
Bentuk pengenalan dua faktor paling umum ialah telefon bimbit. Hampir semua orang mempunyai telefon bimbit dan menyimpannya bersama mereka setiap saat, menjadikannya pilihan yang popular dan mudah untuk pembekal dan pengguna.
Apa yang berlaku apabila anda kehilangannya: Jika anda berada dalam pelan bulanan anda boleh mengunci SIM lama anda dan dapatkan yang baru dari pembekal anda. Terdapat risiko kehilangan akses ke akaun anda semasa melakukan perjalanan jika mesej teks tidak dapat dilalui.
Risiko keselamatan: Sesetengah pembekal menjadikannya sangat remeh untuk orang lain untuk mendapatkan kad SIM baru bagi pihak anda, atau lebih teruk, klonkan kad SIM anda. Banyak penyedia juga membolehkan penyerang untuk mengalihkan mesej teks ke nombor lain, pada asasnya melangkaui perlindungan anda.
Negara-negara negara boleh membaca atau mengalihkan mesej teks yang dihantar kepada anda, sehingga memungkinkan mereka untuk memintas keamanan Anda. Di samping itu, ada risiko serangan menengah, jika anda memasukkan mesej teks ke dalam perkhidmatan yang salah.
Risiko privasi: Kontrak semestinya menghubungkan nama anda ke setiap perkhidmatan yang digunakan oleh telefon anda untuk mendaftar. Walau bagaimanapun, kontrak telefon prabayar tidak akan menggantikan kad SIM yang hilang. Sama ada cara, syarikat telefon mudah alih anda mungkin menjejaki tempat anda dan siapa yang anda terima dari kod.
2. Apl pengesah
Apa awak ada: Telefon anda dengan apl dipasang.
Apabila anda menggunakan aplikasi pengeset (contohnya Pengesah Google atau Pengarang) perkhidmatan yang anda sediakan 2FA dengan akan berkomunikasi kod rahsia dengan anda, biasanya dalam bentuk kod QR. Imbas kod ini dengan apl pengesah dan kemudian pada apl anda akan menghasilkan kod rawak yang berubah setiap beberapa saat. Anda perlu kod ini setiap kali anda log masuk ke perkhidmatan.
Apa yang berlaku apabila anda kehilangannya: Sesetengah perkhidmatan memudahkan anda untuk membuat sandaran kod ini, jadi sekiranya anda tidak memadam aplikasi pengesah secara tidak sengaja, kehilangan atau memecahkan telefon anda, anda boleh menetapkannya lagi. Perkhidmatan lain mendorong anda untuk menyimpan kod sandaran yang unik yang boleh anda gunakan sekiranya anda kehilangan akses ke aplikasi pengeset anda.
Sudah tentu, ini menimbulkan persoalan tentang mana untuk menyimpan kod sandaran. Selalunya sekeping kertas adalah pilihan terbaik, tetapi di mana adalah tempat yang selamat untuk menyimpannya?
Nota: Selagi telefon anda mempunyai kuasa, aplikasinya akan menghasilkan kod untuk anda. Telefon anda tidak perlu mempunyai internet semasa ia menghasilkan kod.
Risiko keselamatan: Sekiranya ada yang dapat screengrab kod QR, atau melalui cara lain untuk memintas kunci rahsia, mereka boleh menghasilkan kod yang sama dalam aplikasi pengesah mereka. Seperti mesej teks, terdapat risiko serangan menengah jika anda memasukkan kod laluan anda ke laman web yang salah.
Risiko privasi: Jika aplikasi pengesah anda menghendaki anda mendaftar dengan alamat e-mel anda, ini boleh membantu akaun pautan penyerang bersama-sama. Secara umum, aplikasi pengesah mempunyai sedikit risiko privasi.
3. Kekunci perkakasan
Apa awak ada: Kunci perkakasan yang serasi dengan standard FIDO U2F.
Kunci ini, yang sering kelihatan seperti tong USB yang kecil, mengandungi cip kecil yang menyimpan kunci persendirian dengan selamat.
Sebaik sahaja anda memasuki dan mendaftarkan peranti itu dengan perkhidmatan, kunci awam akan menandatangani mesej dengan cara perkhidmatan itu dapat mengesahkannya. Tidak seperti mesej teks atau aplikasi pengesah, tidak ada risiko serangan orang-dalam-tengah kerana kunci perkakasan fizikal diperlukan untuk mengesahkan perkhidmatan.
Tidak seperti mesej teks atau apl pengesah, kunci perkakasan tidak percuma. Tetapi sebagai standard FIDO U2F yang dominan adalah standard terbuka, terdapat banyak persaingan antara pelbagai pengeluar. Produk boleh berkisar antara US $ 5 dan US $ 120 dengan dompet Bitcoin perkakasan yang dibundel.
Apa yang berlaku apabila anda kehilangannya: Sekiranya anda mampu, kunci perkakasan kedua adalah idea yang baik. Jika tidak, sama seperti apl pengesah, anda boleh memuat turun kod sandaran yang membolehkan anda mengakses kembali ke akaun anda.
Risiko keselamatan: Kekunci perkakasan cemerlang pada keselamatan sehingga jika dilaksanakan dengan betul dapat menghapuskan serangan phishing sepenuhnya. Buat masa ini, kebanyakan perkhidmatan yang menawarkan pendaftaran kunci perkakasan juga memerlukan aplikasi pengesah atau nombor telefon pada fail. Ini pautan lemah yang kemungkinan akan menjadi ancaman keselamatan anda.
Risiko privasi: Beli peranti dengan tunai atau Bitcoin dengan pasti. Secara umum, kunci perkakasan tidak mempunyai risiko privasi kerana ia akan membuat pasangan kunci baru untuk setiap akaun.
Kunci perkakasan adalah yang terbaik untuk 2FA, tetapi tidak semua orang akan menerima mereka
Kekunci perkakasan menang dari perspektif keselamatan, mereka adalah peribadi dan tidak terjejas oleh mati atau keluar dari telefon jarak jauh. Walau bagaimanapun, hanya beberapa perkhidmatan (Google, Dropbox, Facebook, Github dan beberapa yang lain) menyokong standard setakat ini.
Kecuali anda mempercayai pembekal telefon anda (dan beberapa penyedia yang boleh dipercayai), aplikasi pengesah adalah pilihan terbaik.
17.04.2023 @ 17:51
dak dapat diterima di negara yang berbeza atau jika telefon anda rosak. Selain itu, mesej teks juga boleh dicuri oleh penggodam yang mahir, jadi ia bukan pilihan yang paling selamat.
2. Apl pengesah
Apa yang anda ada: Telefon bimbit atau tablet
Apl pengesah seperti Google Authenticator atau Authy membolehkan anda menghasilkan kod pengesahan satu kali yang diperlukan untuk log masuk ke akaun anda. Ini lebih selamat daripada mesej teks kerana kod hanya tersedia pada peranti anda dan tidak dihantar melalui rangkaian. Walau bagaimanapun, jika anda kehilangan peranti anda, anda akan kehilangan akses ke akaun anda kecuali anda mempunyai kod sandaran yang disimpan di tempat yang selamat.
3. Kekunci perkakasan
Apa yang anda ada: Kekunci perkakasan seperti YubiKey
Kekunci perkakasan adalah pilihan pengesahan dua faktor yang paling selamat kerana ia memerlukan fizikal kehadiran peranti untuk log masuk ke akaun anda. Walau bagaimanapun, ia juga pilihan yang paling mahal dan mungkin tidak praktikal untuk penggunaan harian.
Kunci perkakasan adalah yang terbaik untuk 2FA, tetapi tidak semua orang akan menerima mereka. Oleh itu, penting untuk memilih kaedah pengesahan dua faktor yang sesuai dengan keperluan anda dan memastikan anda mempunyai kod sandaran yang selamat jika anda kehilangan peranti anda. Keselamatan akaun anda adalah tanggungjawab anda sendiri, jadi pastikan anda mengambil langkah-langkah yang diperlukan untuk melindungi diri anda daripada penggodam.