การเปรียบเทียบวิธีการตรวจสอบสิทธิ์แบบสองปัจจัย: วิธีไหนดีที่สุดสำหรับคุณ
การรับรองความถูกต้องด้วยสองปัจจัยทำให้แฮกเกอร์สามารถเจาะเข้าสู่บัญชีของคุณด้วยการใช้กำลังอย่างไร้เดียงสาและยังช่วยปกป้องคุณหากแฮกเกอร์ได้รับรหัสผ่านของคุณ มันสามารถช่วยล็อคบัญชีของคุณได้หากข้อมูลรับรองของคุณถูกฟิชชิงในอดีต.
ในระยะสั้นการตรวจสอบสองปัจจัย (2FA) เป็นสิ่งสำคัญ.
แต่คุณควรเลือกรูปแบบการตรวจสอบสิทธิ์แบบสองปัจจัย บริการเกือบทั้งหมดให้รหัสผ่านครั้งเดียวผ่านทางข้อความที่ส่งไปยังโทรศัพท์ของคุณ หลายคนยังมีรหัสผ่านครั้งเดียวที่สร้างขึ้นบนอุปกรณ์มือถือของคุณ (โดยใช้ Google Authenticator, Authy หรือ Facebook).
บริการบางอย่างจะให้ตัวเลือกแก่คุณในการเชื่อมต่ออุปกรณ์ฮาร์ดแวร์และมีการแลกเปลี่ยนระหว่างตัวเลือกต่าง ๆ บล็อกนี้จะอธิบายว่าตัวเลือกเหล่านี้คืออะไรสิ่งที่คุณต้องระวังและสิ่งที่ดีที่สุดสำหรับคุณ.
ทำไมการตรวจสอบสิทธิ์แบบสองปัจจัยจึงเหนือกว่า?
มันยากหากไม่สามารถสังเกตเห็นรหัสผ่านที่แตกหรือถูกขโมยได้ รหัสผ่านที่ถูกขโมยหรือแตกจะอนุญาตให้ผู้โจมตีเข้าถึงบัญชีของคุณตามระยะเวลาไม่ต้องสังเกตหรือล็อคคุณโดยสมบูรณ์.
ในทำนองเดียวกันการใช้อุปกรณ์เพียงอย่างเดียวในการเข้าสู่ระบบสามารถทำให้คุณเสี่ยงต่อการแฮ็คหากถูกขโมย แม้ว่าคุณจะรู้ได้เร็วขึ้นว่าคุณกำลังถูกโจมตี.
การรวมบางสิ่งบางอย่างที่คุณรู้และสิ่งที่คุณมีร่วมกันทำให้เป็นอันตรายน้อยกว่าถ้ารหัสผ่านของคุณแตกหรืออุปกรณ์ของคุณถูกขโมย หากคุณทำอุปกรณ์หายขโมยหรือตัวค้นหาไม่สามารถเข้าถึงบัญชีของคุณได้โดยไม่ต้องใช้รหัสผ่าน และหากรหัสผ่านของคุณแตกจะไม่มีใครสามารถเข้าถึงบัญชีของคุณได้หากไม่มีอุปกรณ์.
ปัจจัยที่ต้องพิจารณาเมื่อเลือกการรับรองความถูกต้องด้วยสองปัจจัย
ทฤษฎีการพิสูจน์ตัวตนของตัวตนมักจะกำหนดปัจจัยสามประการ:
- บางสิ่งที่คุณรู้
- สิ่งที่คุณมี
- สิ่งที่คุณเป็น
โดยทั่วไปผู้ใช้บนอินเทอร์เน็ตจะถูกระบุผ่านสิ่งที่พวกเขารู้ โดยปกติจะเป็นรหัสผ่าน แต่อาจเป็นคำถามความปลอดภัย.
ความเสี่ยงด้วย “สิ่งที่คุณรู้” คือคุณสามารถลืมหรือไม่ใช่คนเดียวที่รู้เช่น เพราะคุณแบ่งปันความรู้โดยสมัครใจหรือโดยไม่สมัครใจ อาจเป็นไปได้ที่บุคคลที่สามจะได้รับความรู้นี้ผ่านวิธีการอื่น ๆ โดยการดูที่โซเชียลมีเดียเพื่อรับคำตอบสำหรับคำถามความปลอดภัยทั่วไป“ สัตว์เลี้ยงที่คุณโปรดปรานคืออะไร” หรือ“ คุณเติบโตในถนนสายใด”
ปัจจัยที่สองคือ“ สิ่งที่คุณมี” ซึ่งอาจเป็นรหัสความปลอดภัยหรือซิมการ์ด บ่อยครั้งที่ปัจจัยที่สองนี้ถูกนำไปใช้เป็นการรีเซ็ตข้อมูลสำรองในกรณีที่คุณลืมรหัสผ่าน.
ปัจจัยที่สามคือ“ สิ่งที่คุณเป็น” นี่อาจเป็นลายนิ้วมือหรือการจดจำใบหน้าและเสียงและไม่ค่อยมีใครใช้นอกสถานที่ทางการทหาร.
เมื่อสองปัจจัยเหล่านี้หรือ หลายปัจจัย, ถูกต้อง ในเวลาเดียวกัน สำหรับการตรวจสอบเราจะพูดถึงการตรวจสอบสองปัจจัยหรือหลายปัจจัย.
วิธีการทั่วไปของการตรวจสอบสิทธิ์แบบสองปัจจัย
1. ข้อความตัวอักษร
คุณมีอะไร: ซิมการ์ด
รูปแบบที่พบบ่อยที่สุดของการรับรองความถูกต้องด้วยสองปัจจัยคือโทรศัพท์มือถือ เกือบทุกคนมีโทรศัพท์มือถือและพกติดตัวตลอดเวลาทำให้เป็นตัวเลือกยอดนิยมและสะดวกสบายสำหรับผู้ให้บริการและผู้ใช้.
จะเกิดอะไรขึ้นเมื่อคุณทำหาย: หากคุณใช้แผนรายเดือนคุณสามารถล็อคซิมเก่าของคุณและขอรับซิมใหม่จากผู้ให้บริการของคุณ มีความเสี่ยงในการสูญเสียการเข้าถึงบัญชีของคุณเมื่อเดินทางหากไม่สามารถส่งข้อความได้.
ความเสี่ยงด้านความปลอดภัย: ผู้ให้บริการบางรายทำให้ผู้อื่นรับรู้ซิมการ์ดใหม่ในนามของคุณหรือที่แย่กว่านั้นคือเลียนแบบซิมการ์ดของคุณ ผู้ให้บริการหลายรายยังทำให้ผู้โจมตีสามารถส่งข้อความไปยังหมายเลขอื่นได้โดยไม่ผ่านการป้องกันของคุณ.
รัฐในประเทศสามารถอ่านหรือเบี่ยงเบนข้อความที่ส่งถึงคุณทำให้พวกเขาสามารถหลีกเลี่ยงความปลอดภัยของคุณได้ นอกจากนี้ยังมีความเสี่ยงจากการถูกโจมตีจากคนกลางหากคุณป้อนข้อความลงในบริการที่ไม่ถูกต้อง.
ความเสี่ยงด้านความเป็นส่วนตัว: สัญญาจำเป็นต้องเชื่อมโยงชื่อของคุณกับบริการทุกอย่างที่คุณใช้โทรศัพท์เพื่อสมัคร อย่างไรก็ตามสัญญาโทรศัพท์แบบเติมเงินจะไม่แทนที่ซิมการ์ดที่หายไป ไม่ว่าจะด้วยวิธีใด บริษัท โทรศัพท์มือถือของคุณอาจติดตามว่าคุณอยู่ที่ไหนและรับรหัสจากที่ไหน.
2. แอพ Authenticator
คุณมีอะไร: โทรศัพท์ของคุณพร้อมแอพที่ติดตั้ง.
เมื่อคุณใช้แอปที่รับรองความถูกต้อง (เช่น Google Authenticator หรือ Authy) บริการที่คุณติดตั้ง 2FA ด้วยจะสื่อสารรหัสลับกับคุณโดยปกติจะอยู่ในรูปแบบของรหัส QR สแกนรหัสนี้ด้วยแอป authenticator และจากนั้นในแอปของคุณจะสร้างรหัสสุ่มที่เปลี่ยนทุกสองสามวินาที คุณจะต้องใช้รหัสนี้ทุกครั้งที่ลงชื่อเข้าใช้บริการ.
จะเกิดอะไรขึ้นเมื่อคุณทำหาย: บริการบางอย่างทำให้คุณสะดวกในการสำรองข้อมูลรหัสนี้ดังนั้นในกรณีที่คุณลบแอพตัวรับรองความถูกต้องสูญหายหรือเสียโทรศัพท์คุณสามารถตั้งค่าได้อีกครั้ง บริการอื่น ๆ สนับสนุนให้คุณบันทึกรหัสสำรองที่ไม่ซ้ำซึ่งคุณสามารถใช้ในกรณีที่คุณไม่สามารถเข้าถึงแอพตัวตรวจสอบสิทธิ์ของคุณ.
แน่นอนนี้ทำให้เกิดคำถามว่าจะบันทึกรหัสสำรองไว้ที่ไหน บ่อยครั้งที่กระดาษเป็นตัวเลือกที่ดีที่สุด แต่เป็นที่ที่ปลอดภัยสำหรับเก็บ?
หมายเหตุ: ตราบใดที่โทรศัพท์ของคุณมีพลังแอพจะสร้างรหัสให้คุณ โทรศัพท์ของคุณไม่จำเป็นต้องมีอินเทอร์เน็ตในขณะที่กำลังสร้างรหัส.
ความเสี่ยงด้านความปลอดภัย: หากใครบางคนสามารถคัดกรองรหัส QR หรือผ่านวิธีการอื่นในการดักคีย์ลับพวกเขาสามารถสร้างรหัสเดียวกันในแอปที่รับรองความถูกต้อง เช่นเดียวกับข้อความตัวอักษรมีความเสี่ยงที่การโจมตีแบบคนกลางตรงกลางหากคุณป้อนรหัสผ่านในเว็บไซต์ที่ไม่ถูกต้อง.
ความเสี่ยงด้านความเป็นส่วนตัว: หากแอพตัวตรวจสอบสิทธิ์ของคุณต้องการให้คุณลงชื่อสมัครใช้ด้วยที่อยู่อีเมลของคุณสิ่งนี้จะช่วยให้บัญชีผู้โจมตีเชื่อมโยงเข้าด้วยกัน โดยทั่วไปแอปตัวตรวจสอบสิทธิ์มีความเสี่ยงด้านความเป็นส่วนตัวเล็กน้อย.
3. กุญแจฮาร์ดแวร์
คุณมีอะไร: คีย์ฮาร์ดแวร์เข้ากันได้กับมาตรฐาน FIDO U2F.
คีย์นี้ซึ่งมักจะดูเหมือนแท่ง USB ขนาดเล็กประกอบด้วยชิปขนาดเล็กที่เก็บคีย์ส่วนตัวอย่างปลอดภัย.
เมื่อคุณเสียบและลงทะเบียนอุปกรณ์กับบริการกุญแจสาธารณะจะลงนามข้อความในลักษณะที่บริการสามารถตรวจสอบได้ ต่างจากข้อความตัวอักษรหรือแอพตัวตรวจสอบสิทธิ์ไม่มีความเสี่ยงของการโจมตีแบบคนกลางเพราะจำเป็นต้องใช้คีย์ฮาร์ดแวร์ทางกายภาพในการตรวจสอบสิทธิ์บริการ.
ซึ่งแตกต่างจากข้อความตัวอักษรหรือแอพตัวตรวจสอบสิทธิ์คีย์ฮาร์ดแวร์ไม่ฟรี แต่เนื่องจากมาตรฐาน FIDO U2F ที่โดดเด่นเป็นมาตรฐานแบบเปิดจึงมีการแข่งขันกันอย่างมากในหมู่ผู้ผลิตต่างๆ ผลิตภัณฑ์สามารถอยู่ในช่วงระหว่าง US $ 5 ถึง US $ 120 พร้อมกระเป๋าเงินบิทคอยน์ฮาร์ดแวร์ที่ให้มา.
จะเกิดอะไรขึ้นเมื่อคุณทำหาย: หากคุณสามารถซื้อได้คีย์ฮาร์ดแวร์ตัวที่สองเป็นความคิดที่ดี ไม่เช่นนั้นเหมือนกับแอพ authenticator คุณสามารถดาวน์โหลดรหัสสำรองที่จะอนุญาตให้คุณกลับเข้าสู่บัญชีของคุณ.
ความเสี่ยงด้านความปลอดภัย: คีย์ฮาร์ดแวร์มีความปลอดภัยสูงมากหากการติดตั้งอย่างถูกต้องสามารถกำจัดการโจมตีแบบฟิชชิงได้อย่างสมบูรณ์ สำหรับตอนนี้บริการส่วนใหญ่ที่ให้การลงทะเบียนคีย์ฮาร์ดแวร์ต้องใช้แอพตัวตรวจสอบความถูกต้องหรือหมายเลขโทรศัพท์ในไฟล์ นี่เป็นลิงก์อ่อนแอที่อาจเป็นภัยคุกคามความปลอดภัยของคุณ.
ความเสี่ยงด้านความเป็นส่วนตัว: ซื้ออุปกรณ์ด้วยเงินสดหรือ Bitcoin แน่นอน โดยทั่วไปคีย์ฮาร์ดแวร์จะไม่มีความเป็นส่วนตัวเนื่องจากจะสร้างคู่คีย์ใหม่สำหรับทุกบัญชี.
กุญแจฮาร์ดแวร์ดีที่สุดสำหรับ 2FA แต่ไม่ใช่ทุกคนที่จะยอมรับ
คีย์ฮาร์ดแวร์ชนะจากมุมมองด้านความปลอดภัยพวกเขาเป็นส่วนตัวและไม่ได้รับผลกระทบจากโทรศัพท์ที่กำลังจะตายหรืออยู่นอกระยะ อย่างไรก็ตามมีเพียงไม่กี่บริการ (Google, Dropbox, Facebook, Github และบริการอื่น ๆ เล็กน้อย) รองรับมาตรฐานจนถึงขณะนี้.
ถ้าคุณไม่ไว้ใจผู้ให้บริการโทรศัพท์ของคุณ (และผู้ให้บริการที่น่าเชื่อถือน้อย), แอพ authenticator เป็นตัวเลือกที่ดีที่สุด.