Сравнение на двуфакторни методи за удостоверяване: Кой е най-добрият за вас?

Човек въвежда код в притурката си за двуфакторно удостоверяване.

Двуфакторната автентификация прави невъзможно хакерите да проникнат във вашите акаунти чрез груба сила и дори ви защитават, ако хакерите получат вашата парола. Дори може да ви помогне да заключите акаунта си, ако вашите идентификационни данни са били фиширани в миналото.

Накратко, двуфакторното удостоверяване (2FA) е важно.

Но кой двуфакторен модел за удостоверяване да изберете? Почти всички услуги предлагат еднократни пароли чрез текстово съобщение, доставено на вашия телефон. Много от тях също предоставят еднократни пароли, генерирани на вашето мобилно устройство (чрез използване на Google Authenticator, Authy или дори Facebook).

Няколко услуги ще ви дадат възможност да свържете хардуерно устройство, а между опциите има компромиси. Този блог обяснява какви са тези избори, за какво трябва да внимавате и какво е най-доброто за вас.

Защо двуфакторната автентификация е по-добра?

Трудно е, ако не и невъзможно да забележите напукана или открадната парола. Открадната или напукана парола позволява на нападателя да получи достъп до вашия акаунт за определен период от време, незабелязано или да ви заключи напълно.

По същия начин, разчитането само на устройство за вход може да ви направи уязвими за хакване, ако то е било откраднато. Въпреки че по-бързо ще разберете, че сте били компрометирани.

Комбинирането на нещо, което знаете, и нещо, което сте взели заедно, обаче го прави далеч по-малко вредно, ако паролата ви се напука или устройството ви бъде откраднато. Ако загубите устройството си, крадецът или търсещият не може да получи достъп до вашите акаунти без парола. И ако паролата ви е напукана, никой няма достъп до вашия акаунт без устройството.

2FA най-добрите методи

Фактори, които трябва да се вземат предвид при избора на двуфакторна автентификация

Теорията за удостоверяване на идентичността обикновено определя три фактора:

  • Нещо, което знаеш
  • Нещо имаш
  • Нещо си

Най-често потребителите в интернет се идентифицират чрез нещо, което знаят. Това обикновено е парола, но може да бъде и въпрос за сигурност.

Рисковете с „нещо, което знаете“ са, че бихте могли да забравите или не сте единственият, който знае, напр. защото доброволно или неволно сте споделили знанията. Възможно е също така трети страни да получат тези знания чрез други средства, може би като погледнете в социалните медии, за да получите отговор на често задавани въпроси за сигурност „Кой е любимият ви домашен любимец?“ Или „В каква улица сте отраснали?“

Втори фактор е „нещо, което имате“, което може да бъде ключ за сигурност или сим карта. Често този втори фактор се прилага като нулиране на резервното копие, в случай че забравите паролата си.

Третият фактор е „нещо, което си.“ Това може да е пръстовият ти отпечатък или разпознаването на лице и глас и рядко се използва извън военните съоръжения.

Само когато два от тези фактори, или множество фактори, са изисквани по същото време за удостоверяване говорим ли за двуфакторна или многофакторна автентификация.

Общи методи за двуфакторно удостоверяване

1. Текстово съобщение

сигурността на личния живот на достъпа-1

Какво имаш: SIM карта
Най-често срещаната форма на двуфакторно удостоверяване е мобилният телефон. Почти всеки има мобилен телефон и го поддържа със себе си по всяко време, което прави това популярен и удобен избор за доставчици и потребители.

Какво се случва, когато го загубите: Ако сте на месечен план, можете да заключите старата си SIM карта и да получите нова от вашия доставчик. Съществува риск от загуба на достъп до акаунта ви по време на пътуване, ако текстовите съобщения не могат да преминат.

Рискове за сигурността: Някои доставчици правят ужасно тривиално някой друг да получи нова СИМ-карта от ваше име или по-лошото да клонира вашата СИМ-карта. Много доставчици също позволяват на атакуващия да пренасочи текстови съобщения към друг номер, като същевременно заобикаля вашата защита.

Националните държави могат да четат или пренасочват текстови съобщения, изпратени до вас, което прави възможно те да заобиколят вашата сигурност. Освен това съществува риск от атаки на човек в средата, ако въведете текстовото съобщение в грешна услуга.

Рискове за поверителност: Договорите задължително свързват името ви с всяка услуга, за която сте използвали телефона си, за да се регистрирате. Предплатените телефонни договори обаче няма да заменят изгубената SIM карта. Така или иначе, вашата компания за мобилни телефони може да проследи къде се намирате и от кого получавате кодове.

2. Приложения за удостоверяване

сигурността на личния живот на достъпа-2

Какво имаш: Вашият телефон с инсталирано приложение.
Когато използвате приложение за удостоверяване (например Google Authenticator или Authy), услугата, с която сте създали 2FA, ще комуникира с вас секретен код, обикновено под формата на QR код. Сканирайте този код с приложението за удостоверяване и оттогава приложението ще генерира произволни кодове, които се променят на всеки няколко секунди. Този код ще ви трябва всеки път, когато влизате в услуга.

Какво се случва, когато го загубите: Някои услуги ви правят удобно да архивирате този код, така че в случай, че случайно изтриете приложението за удостоверяване, загубите или счупите телефона си, можете просто да го настроите отново. Други услуги ви насърчават да запазите уникални резервни кодове, които можете да използвате в случай, че загубите достъп до приложението си за удостоверяване.

Разбира се, това повдига въпроса къде да се запазят резервните кодове. Често лист хартия е най-добрият вариант, но къде е безопасно място за съхранение?

Забележка: Докато телефонът ви има захранване, приложението ще генерира кодове за вас. Телефонът ви не се нуждае от интернет, докато генерира кодовете.

Рискове за сигурността: Ако някой е в състояние да скринира QR кода или чрез друго средство за прихващане на секретния ключ, той може да генерира същите кодове в приложението си за удостоверяване. Подобно на текстовите съобщения, съществува риск от атаки между хора, ако въведете своя парола в грешен уебсайт.

Рискове за поверителност: Ако приложението ви за удостоверяване изисква от вас да се регистрирате с имейл адреса си, това може да помогне на атакуващите акаунти да свържат заедно. Като цяло приложението за удостоверяване има малко рискове за поверителност.

3. Хардуерни ключове

сигурността на личния живот на достъпа-3

Какво имаш: Хардуерен ключ, съвместим със стандарта FIDO U2F.
Този ключ, който често прилича на малък USB флаш, съдържа малък чип, който сигурно съхранява частен ключ.

След като включите и регистрирате устройството с услуга, публичният ключ ще подписва съобщения по начин, по който услугата може да ги провери. За разлика от текстовите съобщения или приложенията за удостоверяване, няма риск от атаки между хора, тъй като физическият хардуерен ключ е необходим за удостоверяване на услугата.

За разлика от текстовите съобщения или приложенията за удостоверяване, хардуерните ключове не са безплатни. Но тъй като доминиращият стандарт FIDO U2F е отворен стандарт, има много конкуренция между различни производители. Продуктите могат да варират между 5 и 120 щатски долара с пакет хардуерен биткойн портфейл.

Какво се случва, когато го загубите: Ако можете да си го позволите, вторият хардуерен ключ е добра идея. В противен случай, подобно на приложенията за удостоверяване, можете да изтеглите резервни кодове, които ще ви позволят да получите достъп до вашия акаунт.

Рискове за сигурността: Хардуерните ключове превъзхождат сигурността дотолкова, че при правилно внедряване могат напълно да премахнат фишинг атаките. Засега повечето услуги, които предлагат регистрация на хардуерен ключ, също изискват приложение за удостоверяване или телефонен номер. Именно тези слаби връзки вероятно също ще се превърнат във ваши заплахи за сигурността.

Рискове за поверителност: Закупете устройството със средства в брой или биткойн със сигурност. Като цяло хардуерен ключ без риск за поверителност, тъй като ще създаде нова двойка ключове за всеки акаунт.

Хардуерните ключове са най-добри за 2FA, но не всеки ще ги приеме

Хардуерните ключове печелят от гледна точка на сигурността, те са частни и не се влияят от умиращ или извън телефон. Въпреки това, само няколко услуги (Google, Dropbox, Facebook, Github и няколко други) поддържат стандарта досега.

Освен ако не се доверите на вашия доставчик на телефони (и няколко доставчици са надеждни), приложение за удостоверяване е най-добрият вариант.