If-Koubou

Различните форми на удостоверяване с две фактори: SMS, Apps за автоматизация и др

Различните форми на удостоверяване с две фактори: SMS, Apps за автоматизация и др (Как да)

Много онлайн услуги предлагат двуфакторно удостоверяване, което повишава сигурността, като изисква повече от вашата парола за влизане. Има много различни видове допълнителни методи за удостоверяване, които можете да използвате.

Различните услуги предлагат различни двуфакторни методи за удостоверяване, а в някои случаи дори можете да избирате от няколко различни опции. Ето как работят и как се различават.

Проверка на SMS

Много услуги ви позволяват да се регистрирате, за да получавате SMS съобщение, когато влезете в профила си. Това SMS съобщение ще съдържа кратък код за еднократна употреба, който ще трябва да въведете. С тази система вашият мобилен телефон се използва като втори метод за удостоверяване. Някой не може просто да влезе в профила ви, ако има парола - те се нуждаят от вашата парола и достъп до вашия телефон или SMS съобщения.

Това е удобно, тъй като не е нужно да правите нищо специално и повечето хора имат мобилни телефони. Някои услуги дори ще набират телефонен номер и ще разполагат с автоматична система, която ще излъчва код, който ще ви позволи да използвате телефонен номер на стационарен телефон, който не може да получава текстови съобщения.

Има обаче големи проблеми при проверката на SMS. Атакуващите могат да използват SIM атаки за суап, за да получат достъп до вашите защитени кодове или да ги прихванат благодарение на недостатъци в клетъчната мрежа. Препоръчваме да не използвате SMS съобщения, ако е възможно. Въпреки това, SMS съобщенията все още са много по-сигурни, отколкото да не използвате никаква двуфакторна идентификация на всички!

Кодове, генерирани от приложения (като Google Authenticator и Authy)

Можете също така да имате кодовете си, генерирани от приложение на вашия телефон. Най-популярното приложение, което прави това, е Google Authenticator, което Google предлага за Android и iPhone. Предпочитаме обаче Authy, което прави всичко, което прави Google Authenticator - и още. Въпреки името, тези приложения използват отворен стандарт. Например, е възможно да добавите в приложението Google Удостоверител профили на Microsoft и много други видове профили.

Инсталирайте приложението, сканирайте кода, когато създавате нов акаунт, и това приложение ще генерира нови кодове приблизително на всеки 30 секунди. Ще трябва да въведете текущия код, показван в приложението на телефона, както и паролата си, когато влезете в акаунт.

Това изобщо не изисква клетъчен сигнал, а "семката", която позволява на приложението да генерира тези ограничени във времето кодове, се съхранява само на вашето устройство. Това означава, че това е много по-сигурно, тъй като дори някой, който получава достъп до вашия телефонен номер или прихваща текстовите ви съобщения, няма да знае кодовете ви.

Някои услуги - например Blizzard's Battle.net Authenticator - също имат свои собствени приложения за генериране на кодове.

Ключове за физическо удостоверяване

Физическите ключове за удостоверяване са друга опция, която започва да става по-популярна. Големите компании от технологичния и финансовия сектор създават стандарт, известен като U2F, и вече е възможно да използвате физическо означение U2F, за да защитите профилите си в Google, Dropbox и GitHub. Това е само малък USB клавиш, който поставяте на ключовата ви верига. Когато искате да влезете в профила си от нов компютър, ще трябва да поставите USB ключа и да натиснете бутон върху него. Това е, без да въвеждате кодове. В бъдеще тези устройства трябва да работят с NFC и Bluetooth за комуникация с мобилни устройства без USB портове.

Това решение работи по-добре от проверката на SMS и кодовете за еднократна употреба, тъй като не може да бъде задържана и преместена. Това също е по-лесно и по-удобно за използване. Например фишинг сайт може да ви покаже фалшива страница за вход в Google и да улови кода за еднократна употреба, когато се опитате да влезете в профила си. След това те могат да използват този код, за да влязат в Google. Но с физически ключ за удостоверяване, който работи в съгласие с браузъра ви, браузърът може да гарантира, че той комуникира с истинския уеб сайт, а кодът не може да бъде заловен от нападател.

Очаквайте да видите много повече от тях в бъдеще.

Удостоверяване на приложенията

Някои мобилни приложения могат да осигурят двуфакторно удостоверяване, използвайки самото приложение. Например, Google вече предлага двуфакторно удостоверяване без код, стига приложението на Google да е инсталирано на телефона ви. Всеки път, когато се опитвате да влезете в Google от друг компютър или устройство, просто трябва да докоснете бутон на телефона си, без да е необходим код. Google проверява дали имате достъп до телефона си, преди да опитате да влезете.

Проверката в две стъпки на Apple работи подобно, въпреки че не използва приложение - използва самата операционна система iOS. Всеки път, когато се опитвате да влезете от ново устройство, можете да получите код за еднократно ползване, изпратен на регистрирано устройство, като вашия iPhone или iPad. Мобилното приложение на Twitter има подобна функция, наречена проверка за вход. И Google и Microsoft добавиха тази функция към приложенията Google и Microsoft Удостоверител за смартфони.

Системи, базирани на имейл

Другите услуги разчитат на вашия имейл акаунт, за да ви удостоверят. Ако активирате например Steam Guard, Steam ще ви подкани да въведете код за еднократна употреба, изпратен до имейла ви, всеки път, когато влезете от нов компютър. Това най-малкото гарантира, че нападателят ще се нуждае както от паролата за Steam акаунт, така и от достъпа до вашия имейл акаунт, за да получи достъп до този акаунт.

Това не е толкова сигурно, колкото другите методи за потвърждаване в две стъпки, тъй като може да е лесно за някой да получи достъп до имейла ви, особено ако не използвате потвърждаването в две стъпки! Избягвайте потвърждаването по имейл, ако можете да използвате нещо по-силно. (За щастие Steam предлага удостоверяване на базата на приложението в мобилното си приложение.)

Последният курорт: кодове за възстановяване

Кодовете за възстановяване осигуряват защитна мрежа в случай, че загубите двуфакторния метод за удостоверяване. Когато установите двуфакторно удостоверяване, обикновено получавате кодове за възстановяване, които трябва да запишете и съхранявате на сигурно място.Ще имате нужда от тях, ако някога загубите метода си на потвърждаване в две стъпки.

Уверете се, че имате някъде копие от кодовете си за възстановяване, ако използвате удостоверяване в две стъпки.

Няма да намерите толкова много опции за всеки от вашите профили. Много услуги обаче предлагат няколко метода за потвърждаване в две стъпки, от които можете да избирате.

Съществува и възможност за използване на няколко двуфакторни метода за удостоверяване. Ако например създадете приложение за генериране на код и физически ключ за сигурност, можете да получите достъп до профила си чрез приложението, ако някога сте загубили физическия ключ.