השוואה של שיטות אימות דו-גורמיות: מה הכי מתאים לך?
אימות דו-גורמי לא מאפשר להאקרים לפרוץ לחשבונות שלך בכוח אמיץ ואף מגן עליך אם ההאקרים משיגים את הסיסמה שלך. זה יכול אפילו לעזור לנעול את חשבונך אם אישורי האישור שלך הוגנו בעבר.
בקיצור, אימות דו-גורמי (2FA) חשוב.
אך באיזה מודל אימות דו-גורמי עליכם לבחור? כמעט כל השירותים מציעים סיסמאות חד פעמיות באמצעות הודעת טקסט המועברת לטלפון שלך. רבים מספקים גם סיסמאות חד פעמיות שנוצרו במכשיר הנייד שלך (באמצעות המאמת של גוגל, Authy, או אפילו פייסבוק).
כמה שירותים יעניקו לך את האפשרות לחבר התקן חומרה, ויש אופציות בין האפשרויות. בלוג זה מסביר מהן הבחירות הללו, על מה צריך להקפיד ומה הכי טוב בשבילך.
מדוע אימות דו-גורמי עדיף?
קשה, אם לא בלתי אפשרי, להבחין בסיסמה סדוקה או גנובה. סיסמה שנגנבה או סדוקה מאפשרת לתוקף לגשת לחשבונך במשך כל פרק זמן, מבלי לשים לב או לנעול אותך לחלוטין.
באופן דומה, הסתמכות על מכשיר אך ורק כדי להתחבר עלולה לגרום לך להיות חשוף לפריצה, אם זה נגנב. אם כי הייתם מבינים מהר יותר שהתפשרתם.
עם זאת, שילוב של דברים שאתה יודע ומשהו שיש ביחד גורם לך להיות פחות מזיק אם הסיסמה שלך נסדקת או שהמכשיר שלך נגנב. אם אתה מאבד את המכשיר שלך, הגנב או האיתור אינם יכולים לקבל גישה לחשבונות שלך ללא סיסמה. ואם הסיסמה שלך סדוקה, אף אחד לא יכול לגשת לחשבונך ללא המכשיר.
גורמים שיש לקחת בחשבון בעת בחירת אימות דו-גורמי
תיאוריית אימות הזהות מגדירה בדרך כלל שלושה גורמים:
- משהו שאתה יודע
- משהו שיש לך
- משהו שאתה
לרוב, משתמשים באינטרנט מזוהים באמצעות משהו שהם מכירים. זו בדרך כלל סיסמא, אך יכולה להיות גם שאלה אבטחתית.
הסיכונים עם “משהו שאתה יודע” הם שאתה יכול לשכוח, או שאתה לא היחיד שיודע, למשל מכיוון ששיתפת את הידע מרצון או שלא מרצון. יתכן שגם צד ג ‘יוכל להשיג ידע זה באמצעים אחרים, אולי על ידי הסתכלות במדיה החברתית כדי לקבל את התשובה לשאלות ביטחוניות נפוצות “מה חיית המחמד האהובה עליך?” או “באיזה רחוב גדלת?”
גורם שני הוא “משהו שיש לך”, שיכול להיות מפתח אבטחה או כרטיס סים. לעתים קרובות גורם שני זה מיושם כאיפוס גיבוי במקרה ששכחת את הסיסמה.
הגורם השלישי הוא “משהו שאתה”. זה יכול להיות טביעת האצבע שלך או זיהוי הפנים והקול ולעיתים רחוקות נעשה בהם שימוש מחוץ למתקנים צבאיים..
רק כאשר שני גורמים אלה, או גורמים מרובים, נדרשים באותו הזמן לאימות אנו מדברים על אימות דו-גורמי או רב-גורמי.
שיטות נפוצות לאימות דו-גורמי
1. הודעת טקסט
מה יש לך: כרטיס SIM
הצורה הנפוצה ביותר של אימות דו-גורמי היא הטלפון הנייד. כמעט לכל אחד יש טלפון סלולרי ושומר עליו כל הזמן, מה שהופך את זה לבחירה פופולרית ונוחה עבור ספקים ומשתמשים.
מה קורה כשאתה מאבד את זה: אם אתה מתכנן תכנית חודשית אתה יכול לנעול את ה- SIM הישן שלך ולקבל אחד חדש מהספק שלך. קיים סיכון לאבד גישה לחשבונך בעת נסיעה אם הודעות טקסט אינן יכולות לעבור.
סיכוני אבטחה: ספקים מסוימים מקפידים שמישהו אחר יהיה טריוויאלי במיוחד להשיג כרטיס SIM חדש בשמך, או גרוע מזה, לשכפל את כרטיס ה- SIM שלך. ספקים רבים גם מאפשרים לתוקף להסיט הודעות טקסט למספר אחר, בעיקרו עוקף את ההגנה שלך.
מדינות הלאום יכולות לקרוא או להעביר הודעות טקסט שנשלחות אליך, מה שמאפשר להן לעקוף את ביטחונך. בנוסף, קיים הסיכון להתקפות של אדם באמצע, אם אתה מזין את הודעת הטקסט לשירות הלא נכון.
סיכוני פרטיות: חוזים מקשרים בהכרח את שמך לכל שירות שעבורו השתמשת בטלפון שלך כדי להירשם. עם זאת, חוזי טלפון בתשלום מראש לא יחליפו כרטיס SIM אבוד. כך או כך, חברת הטלפונים הניידים שלך עשויה לעקוב אחר היכן אתה ומי אתה מקבל קודים.
2. אפליקציות מאמת
מה יש לך: הטלפון שלך עם אפליקציה מותקנת.
כשאתה משתמש באפליקציית אימות (למשל Google Authenticator או Authy) השירות שאתה מגדיר איתו 2FA יעביר איתך קוד סודי, בדרך כלל בצורה של קוד QR. סרוק קוד זה באמצעות אפליקציית האמת, ומכאן ואילך האפליקציה שלך תפיק קודים אקראיים המשתנים כל כמה שניות. תזדקק לקוד זה בכל פעם שתיכנס לשירות.
מה קורה כשאתה מאבד את זה: שירותים מסוימים הופכים אתכם לנוחים לגיבוי קוד זה, כך שבמקרה שתמחקו בטעות את אפליקציית האימות, תאבדו או ישברו את הטלפון, תוכלו פשוט להגדיר אותו שוב. שירותים אחרים מעודדים אותך לשמור קודי גיבוי ייחודיים שבהם תוכל להשתמש במקרה שאתה מאבד גישה לאפליקציית המאמת שלך.
כמובן, זה מעלה את השאלה היכן לשמור את קודי הגיבוי. לעתים קרובות פיסת נייר היא האפשרות הטובה ביותר, אך היכן מקום בטוח לאחסן אותה?
הערה: כל עוד לטלפון שלך יש כוח, האפליקציה תייצר עבורך קודים. הטלפון שלך אינו צריך אינטרנט בזמן שהוא מייצר את הקודים.
סיכוני אבטחה: אם מישהו מסוגל לשרוק את קוד ה- QR, או באמצעים אחרים ליירט את המפתח הסודי, הם יכולים לייצר את אותם קודים באפליקציית המאמת שלהם. בדומה להודעות טקסט, יש את הסיכון להתקפות של אנשים באמצע אם תזין את קוד הסיסמה שלך לאתר הלא נכון.
סיכוני פרטיות: אם אפליקציית האימות שלך דורשת ממך להירשם עם כתובת הדוא”ל שלך, זה יכול לעזור לתוקף לקשר חשבונות יחד. באופן כללי, לאפליקציית אימות יש מעט סיכוני פרטיות.
3. מפתחות חומרה
מה יש לך: מפתח חומרה התואם לתקן FIDO U2F.
מפתח זה, שלעתים קרובות נראה כמו מקל USB קטן, מכיל שבב קטן המאחסן בבטחה מפתח פרטי.
ברגע שתתחבר ותירשם את המכשיר לשירות, המפתח הציבורי יחתום על הודעות באופן שהשירות יוכל לאמת אותן. בשונה מהודעות טקסט או אפליקציות אימות, אין שום סיכון להתקפות איש באמצע מכיוון שמפתח החומרה הפיזי נדרש לאימות השירות.
בניגוד להודעות טקסט או אפליקציות אימות, מפתחות החומרה אינם חינמיים. אך מכיוון שתקן FIDO U2F הדומיננטי הוא תקן פתוח, יש הרבה תחרות בין יצרנים שונים. מוצרים יכולים לנוע בין $ 5 ל -120 $ עם ארנק ביטקוין לחומרה.
מה קורה כשאתה מאבד את זה: אם אתה יכול להרשות זאת לעצמך, מפתח חומרה שני הוא רעיון טוב. אחרת, בדומה לאפליקציות המאמת, אתה יכול להוריד קודי גיבוי שיאפשרו לך גישה חזרה לחשבונך.
סיכוני אבטחה: מפתחות החומרה מצטיינים באבטחה עד כדי כך שאם מיושמים כראוי יכולים לבטל לחלוטין התקפות דיוג. לעת עתה, לרוב השירותים המציעים רישום למפתחות חומרה נדרשים גם אפליקציית אימות או מספר טלפון שנמצא בתיק. הקישורים החלשים האלה הם שכנראה יהפכו לאיומי האבטחה שלך.
סיכוני פרטיות: רכשו את המכשיר במזומן או ביטקוין בוודאות. באופן כללי, מפתח חומרה אינו סיכון פרטיות שכן הוא יצור צמד מפתחות חדש לכל חשבון.
מפתחות חומרה הם הטובים ביותר עבור 2FA, אך לא כולם יקבלו אותם
מפתחות חומרה מנצחים מנקודת מבט ביטחונית, הם פרטיים ולא מושפעים מטלפון גוסס או מחוץ לטווח. עם זאת, רק מעט שירותים (Google, Dropbox, Facebook, Github ועוד כמה אחרים) תומכים בתקן עד כה.
אלא אם כן אתה סומך על ספק הטלפון שלך (ומעט ספקים אמינים), אפליקציית אימות היא האפשרות הטובה ביותר.