Porovnanie dvojfaktorových metód overovania: Čo je pre vás najlepšie?

Muž napíše kód do svojho dvojfaktorového overovacieho modulu gadget.

Dvojfaktorová autentifikácia znemožňuje hackerom preniknúť do vašich účtov hrubou silou a dokonca vás chráni, ak hackeri získajú vaše heslo. Môže to dokonca pomôcť uzamknúť váš účet, ak boli vaše poverenia neoprávnene získané v minulosti.

Stručne povedané, dvojfaktorová autentifikácia (2FA) je dôležitá.

Ale ktorý dvojfaktorový autentifikačný model by ste si mali zvoliť? Takmer všetky služby ponúkajú jednorazové heslá prostredníctvom textovej správy doručenej do vášho telefónu. Mnohé tiež poskytujú jednorazové heslá vygenerované v mobilnom zariadení (pomocou aplikácie Google Authenticator, Authy alebo Facebook).

Niekoľko služieb vám dá možnosť pripojiť hardvérové ​​zariadenie a medzi možnosťami sú kompromisy. Tento blog vysvetľuje, čo sú tieto možnosti, o čo musíte byť opatrní a čo je pre vás najlepšie.

Prečo je dvojfaktorová autentizácia lepšia?

Je ťažké, ak nie nemožné si všimnúť prasknuté alebo odcudzené heslo. Odcudzené alebo prasknuté heslo umožňuje útočníkovi prístup na váš účet na ľubovoľnú dobu, bez povšimnutia alebo vás úplne zamkne..

Podobne spoliehanie sa iba na zariadenie, ktoré sa prihlásite, vás môže v prípade odcudzenia zraniť pred hackermi. Aj keď by ste si rýchlejšie uvedomili, že ste boli ohrozený.

Kombinácia niečoho, čo viete, a niečoho, čo máte spolu, však robí oveľa menej škodlivé, ak je vaše heslo prasknuté alebo ak je zariadenie ukradnuté. Ak zariadenie stratíte, zlodej alebo vyhľadávač nemôžu získať prístup k svojim účtom bez hesla. Ak je vaše heslo prasknuté, nikto nemá prístup k vášmu účtu bez zariadenia.

Najlepšie metódy 2FA

Faktory, ktoré je potrebné zohľadniť pri výbere dvojfaktorovej autentifikácie

Teória autentifikácie identity zvyčajne definuje tri faktory:

  • Niečo, čo viete
  • Niečo, čo máš
  • Niečo ste

Najčastejšie sú používatelia internetu identifikovaní prostredníctvom niečoho, čo vedia. Zvyčajne ide o heslo, ale môže to byť aj bezpečnostná otázka.

Riziká spojené s „niečím, čo viete“ sú, že by ste mohli zabudnúť, alebo nie ste jediný, kto vie, napr. pretože ste dobrovoľne alebo nedobrovoľne zdieľali vedomosti. Môže byť tiež možné, aby tretia strana získala tieto vedomosti inými spôsobmi, napríklad hľadaním na sociálnych médiách, aby získala odpoveď na bežné bezpečnostné otázky „Aký je váš obľúbený domáci miláčik?“ Alebo „Na ktorej ulici ste vyrastali?“

Druhým faktorom je „niečo, čo máte“, čo môže byť bezpečnostný kľúč alebo sim karta. Tento druhý faktor sa často použije ako záložný reset v prípade, že zabudnete svoje heslo.

Tretím faktorom je „niečo, čo ste“. Môže to byť rozpoznanie odtlačkov prstov alebo tváre a hlasu a zriedka sa používa mimo vojenských zariadení..

Iba ak dva z týchto faktorov alebo viac faktorov, sú povinné zároveň pre autentizáciu hovoríme o dvojfaktorovom alebo viacfaktorovom overovaní.

Bežné metódy dvojfaktorovej autentifikácie

1. Textová správa

security-privacy-access-1

Čo máš: SIM karta
Najbežnejšou formou dvojfaktorovej autentifikácie je mobilný telefón. Takmer každý má mobilný telefón a stále ho drží pri sebe, čo z neho robí obľúbenú a pohodlnú voľbu pre poskytovateľov a používateľov.

Čo sa stane, keď ho stratíte: Ak plánujete mesačný program, môžete uzamknúť svoju starú SIM kartu a získať novú od svojho poskytovateľa. Ak sa textovými správami nedostanú, môže pri cestovaní dôjsť k strate prístupu.

Bezpečnostné riziká: Niektorí poskytovatelia spôsobujú, že je pre niekoho iného strašne zbytočné získať novú kartu SIM vo vašom mene alebo, čo je horšie, klonovanie vašej karty SIM. Mnoho poskytovateľov tiež umožňuje útočníkovi presmerovať textové správy na iné číslo, čím v podstate obchádza vašu ochranu.

Štáty národa môžu čítať alebo odkláňať textové správy, ktoré vám boli zaslané, čo im umožňuje obísť vašu bezpečnosť. Ak do textovej správy zadáte nesprávnu službu, existuje riziko útokov typu človek-v-prostred.

Riziká ochrany osobných údajov: Zmluvy nevyhnutne spájajú vaše meno so všetkými službami, pre ktoré ste sa v telefóne prihlasovali. Predplatené telefónne zmluvy však nenahradia stratenú SIM kartu. V každom prípade môže vaša mobilná telefónna spoločnosť sledovať, odkiaľ ste a od koho dostanete kódy.

2. Aplikácia Authenticator

security-privacy-access-2

Čo máš: Váš telefón s nainštalovanou aplikáciou.
Ak používate aplikáciu na autentifikáciu (napr. Google Authenticator alebo Authy), služba, s ktorou ste nastavili službu 2FA, bude s vami komunikovať tajný kód, zvyčajne vo forme QR kódu. Naskenujte tento kód pomocou aplikácie na autentifikáciu a potom vygeneruje vo vašej aplikácii náhodné kódy, ktoré sa menia každých niekoľko sekúnd. Tento kód budete potrebovať pri každom prihlásení do služby.

Čo sa stane, keď ho stratíte: Niektoré služby vám uľahčujú zálohovanie tohto kódu, takže v prípade, že omylom vymažete aplikáciu autentifikátora, stratíte alebo poškodíte telefón, môžete ho znova nastaviť. Ostatné služby vám odporúčajú uložiť jedinečné záložné kódy, ktoré môžete použiť v prípade, že stratíte prístup k aplikácii autentifikátora.

To samozrejme vyvoláva otázku, kam sa majú záložné kódy uložiť. Kus papiera je často najlepšou voľbou, ale kde je bezpečné miesto na jeho uloženie?

Poznámka: Pokiaľ je váš telefón napájaný, aplikácia pre vás vygeneruje kódy. Váš telefón nemusí mať internet, kým generuje kódy.

Bezpečnostné riziká: Ak je niekto schopný skrývať QR kód alebo iným spôsobom zachytiť tajný kľúč, mohol by vygenerovať rovnaké kódy v aplikácii autentifikátora. Ak zadáte prístupový kód na nesprávnu webovú stránku, rovnako ako v prípade textových správ existuje riziko útokov typu človek-v-strede.

Riziká ochrany osobných údajov: Ak vaša aplikácia na autentifikáciu vyžaduje, aby ste sa zaregistrovali pomocou svojej e-mailovej adresy, môže to útočníkovi pomôcť prepojiť účty. Vo všeobecnosti má aplikácia na overenie totožnosti len malé riziko.

3. Hardvérové ​​kľúče

security-privacy-access-3

Čo máš: Hardvérový kľúč kompatibilný so štandardom FIDO U2F.
Tento kľúč, ktorý často vyzerá ako malý USB kľúč, obsahuje malý čip, ktorý bezpečne uchováva súkromný kľúč.

Po pripojení a registrácii zariadenia v službe verejný kľúč podpíše správy takým spôsobom, aby ich služba mohla overiť. Na rozdiel od textových správ alebo aplikácií na overenie totožnosti nehrozí riziko útokov typu človek v strede, pretože na autentifikáciu služby je potrebný fyzický hardvérový kľúč..

Na rozdiel od textových správ alebo aplikácií na overovanie nie sú hardvérové ​​kľúče bezplatné. Ale keďže dominantným štandardom FIDO U2F je otvorený štandard, medzi rôznymi výrobcami existuje veľká konkurencia. Produkty sa môžu pohybovať v rozmedzí od 5 USD do 120 USD s dodávanou hardvérovou bitcoínovou peňaženkou.

Čo sa stane, keď ho stratíte: Ak si to môžete dovoliť, dobrý hardvérový kľúč je dobrý. V opačnom prípade si môžete podobne ako pri aplikáciách autentifikátora stiahnuť záložné kódy, ktoré vám umožnia prístup späť do vášho účtu.

Bezpečnostné riziká: Hardvérové ​​kľúče vynikajú tak bezpečne, že ak budú správne implementované, môžu úplne eliminovať phishingové útoky. Väčšina služieb, ktoré ponúkajú registráciu hardvérového kľúča, v súčasnosti vyžaduje tiež súbor aplikácie overovača alebo telefónne číslo. Tieto slabé odkazy sa pravdepodobne stanú aj vašimi bezpečnostnými hrozbami.

Riziká ochrany osobných údajov: Nakupujte zariadenie s hotovosťou alebo bitcoínmi určite. Všeobecne platí, že hardvérový kľúč nie je nebezpečný z hľadiska ochrany osobných údajov, pretože vytvorí nový pár kľúčov pre každý účet.

Hardvérové ​​kľúče sú pre 2FA najlepšie, ale nie všetci ich akceptujú

Hardvérové ​​kľúče vyhrávajú z bezpečnostného hľadiska, sú súkromné ​​a nie sú ovplyvnené smrťou alebo mimo dosahu telefónu. Tento štandard však zatiaľ podporuje iba niekoľko služieb (Google, Dropbox, Facebook, Github a niekoľko ďalších).

Ak neveríte poskytovateľovi telefónu (a málo poskytovateľov je dôveryhodných), najlepšou možnosťou je aplikácia na overenie totožnosti.

Porovnanie dvojfaktorových metód overovania: Čo je pre vás najlepšie?
admin Author
Sorry! The Author has not filled his profile.