Διαφήμιση

Αυτές τις μέρες, φαίνεται ότι κάθε ιστοσελίδα που επισκέπτεστε ποτέ προσπαθεί να σας ενθαρρύνει χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων (2FA).

Ένας από τους πιο συνηθισμένους τρόπους χρήσης του 2FA είναι να εισαγάγετε έναν μοναδικό κωδικό από την κινητή συσκευή σας. Συνήθως, λαμβάνετε τον κώδικα σε ένα μήνυμα κειμένου ή χρησιμοποιείτε μια εφαρμογή 2FA τρίτου μέρους για τη δημιουργία ενός.

Οι δύο μέθοδοι είναι και οι δημοφιλείς τρόποι χρήσης κωδίκων λόγω της ευκολίας τους. Ωστόσο, και οι δύο μέθοδοι είναι αδύναμες από την άποψη της ασφάλειας. Και επειδή ο κωδικός σας 2FA είναι εξίσου ασφαλής με την τεχνολογία που χρησιμοποιείται για την παράδοσή του, οι αδυναμίες είναι σημαντικές.

Λοιπόν, τι συμβαίνει χρησιμοποιώντας SMS και εφαρμογές τρίτων για πρόσβαση στους κωδικούς σας Τι είναι οι κωδικοί πρόσβασης χωρίς κωδικό πρόσβασης; Είναι στην πραγματικότητα ασφαλείς;Οι κωδικοί πρόσβασης χωρίς κωδικό έρχονται. Είναι ασφαλείς; Πώς γίνονται οι κωδικοί πρόσβασης χωρίς κωδικό πρόσβασης; Εδώ είναι τι πρέπει να ξέρετε. Διαβάστε περισσότερα

instagram viewer
? Και υπάρχει μια εξίσου βολική εναλλακτική λύση που είναι πιο ασφαλής; Εμείς θα εξηγήσουμε τα πάντα. Συνεχίστε να διαβάζετε για να μάθετε περισσότερα.

Πώς λειτουργεί ο έλεγχος ταυτότητας δύο παραγόντων

Ας πάρουμε μια στιγμή για να συζητήσουμε πώς λειτουργεί ο έλεγχος ταυτότητας δύο παραγόντων. Χωρίς την κατανόηση των μηχανικών πίσω από την τεχνολογία, το υπόλοιπο αυτού του άρθρου δεν θα έχει πολύ νόημα.

Σε γενικές γραμμές, 2FA προσθέτει ένα επιπλέον επίπεδο ασφαλείας στο λογαριασμό σας Πώς να ασφαλίσετε τους λογαριασμούς σας με 2FA: Gmail, Outlook και άλλαΜπορεί ο έλεγχος ταυτότητας δύο παραγόντων να βοηθήσει στη διασφάλιση της αλληλογραφίας σας και των κοινωνικών δικτύων; Εδώ είναι τι πρέπει να ξέρετε για να είστε ασφαλείς στο διαδίκτυο. Διαβάστε περισσότερα . Επίσης γνωστό ως έλεγχος ταυτότητας πολλαπλών παραγόντων, τα διαπιστευτήρια σύνδεσης αποτελούνται όχι μόνο από έναν κωδικό πρόσβασης, αλλά και από μια δεύτερη πληροφορία που έχει πρόσβαση μόνο ο νόμιμος κάτοχος του λογαριασμού.

Το 2FA έρχεται σε πολλές διαφορετικές μορφές Τα πλεονεκτήματα και τα μειονεκτήματα των τύπων και μεθόδων ταυτοποίησης δύο παραγόντωνΟι μέθοδοι επαλήθευσης δύο παραγόντων δεν δημιουργούνται ίσες. Ορισμένα είναι αποδεδειγμένα ασφαλέστερα και ασφαλέστερα. Δείτε τις πιο κοινές μεθόδους και ποιες ανταποκρίνονται καλύτερα στις ατομικές σας ανάγκες. Διαβάστε περισσότερα . Στο πιο βασικό επίπεδο, θα μπορούσε να είναι κάτι τόσο απλό όσο τα ζητήματα ασφάλειας (γιατί κανένας άλλος δεν θα μπορούσε πιθανώς γνωρίστε το πατρικό όνομα της μητέρας σας Γιατί απαντάτε σε ερωτήσεις ασφαλείας κωδικού πρόσβασης λανθασμέναΠώς απαντάτε σε ερωτήσεις ασφαλείας στο διαδίκτυο; Ειλικρινείς απαντήσεις; Δυστυχώς, η ειλικρίνεια σας θα μπορούσε να δημιουργήσει μια χνούδι στην online πανοπλία σας. Ας ρίξουμε μια ματιά στο πώς μπορούμε να απαντήσουμε με ασφάλεια στις ερωτήσεις ασφαλείας. Διαβάστε περισσότερα ή το αγαπημένο σας κατοικίδιο ζώο). Στο πιο πολύπλοκο τέλος, θα μπορούσε να είναι ένα βιομετρικό αναγνωριστικό, όπως σάρωση αμφιβληστροειδούς ή δακτυλικό αποτύπωμα.

Γιατί πρέπει να αποφύγετε την επαλήθευση SMS

Το SMS απολαμβάνει μια θέση ως τον πιο προσιτό τρόπο πρόσβασης και χρήσης κωδικών 2FA. Εάν ένας ιστότοπος προσφέρει ταυτόχρονη σύνδεση ταυτότητας, σχεδόν σίγουρα προσφέρει SMS ως μία από τις επιλογές.

Αλλά το SMS δεν είναι ένας ασφαλής τρόπος χρήσης του 2FA. Έχει δύο βασικά σημεία ευπάθειας.

Πρώτον, η τεχνολογία είναι επιρρεπείς σε επιθέσεις εναλλάκτη SIM. Δεν χρειαζόμαστε πολλά για έναν χάκερ να πραγματοποιήσει μια ανταλλαγή SIM. Εάν έχουν πρόσβαση σε μια άλλη προσωπική πληροφορία - όπως τον αριθμό κοινωνικής ασφάλισης - μπορούν να καλέσουν τον μεταφορέα σας και να μεταφέρουν τον αριθμό σας σε μια νέα κάρτα SIM.

Δεύτερον, οι χάκερ μπορούν παρακολουθήσετε μηνύματα SMS. Όλα επιστρέφουν στο σημερινό σύστημα δρομολόγησης τηλεφωνικού συστήματος σημάτων 7 (SS7). Η μεθοδολογία σχεδιάστηκε από το 1975, αλλά εξακολουθεί να χρησιμοποιείται σχεδόν παγκοσμίως για τη σύνδεση και την αποσύνδεση των κλήσεων. Επίσης, χειρίζεται τις μεταφράσεις αριθμών, τις προπληρωμένες χρεώσεις και κυρίως τα μηνύματα SMS.

Δεν είναι έκπληξη, αυτή η τεχνολογία από το 1975 είναι γεμάτη τρύπες ασφαλείας. Δείτε πώς ειδικός ασφαλείας Bruce Schneier περιέγραψε τα ελαττώματα:

"Εάν οι εισβολείς έχουν πρόσβαση σε μια πύλη SS7, μπορούν να προωθήσουν τις συνομιλίες σας σε μια συσκευή εγγραφής στο διαδίκτυο και να ανακαλέσουν την κλήση προς τον επιδιωκόμενο προορισμό [...] Σημαίνει ότι ένας καλά εξοπλισμένος εγκληματίας θα μπορούσε να αρπάξει τα μηνύματά σας επαλήθευσης και να τα χρησιμοποιήσει πριν τα δει κανείς τους."

Φυσικά, η ανακάλυψη ότι ένας εγκληματίας στον κυβερνοχώρο έχει hacked το Facebook σας Πώς να μάθετε αν ο λογαριασμός σας στο Facebook έχει πειραχτείΜε το Facebook να περιέχει τόσο πολλά δεδομένα, θα πρέπει να διατηρήσετε τον λογαριασμό σας ασφαλή. Δείτε πώς μπορείτε να μάθετε αν το Facebook σας έχει πειραχτεί. Διαβάστε περισσότερα δεν είναι ιδανικός. Αλλά η κατάσταση είναι πιο τρομακτική όταν εξετάζετε άλλες χρήσεις του 2FA. Ένας εγκληματίας στον κυβερνοχώρο θα μπορούσε να κλέψει τους κωδικούς που χρησιμοποιείτε στην ηλεκτρονική τραπεζική σας, ή ακόμη και να ξεκινήσει και να ολοκληρώσει τις μεταφορές χρημάτων Οι 6 καλύτερες εφαρμογές για την αποστολή χρημάτων σε φίλουςΤην επόμενη φορά που θα χρειαστεί να στείλετε χρήματα σε φίλους, ελέγξτε αυτές τις εξαιρετικές εφαρμογές για κινητά για να στείλετε χρήματα σε οποιονδήποτε μέσα σε λίγα λεπτά. Διαβάστε περισσότερα .

Επιπλέον, ο Schneier ισχυρίζεται επίσης ότι ο καθένας μπορεί να αγοράσει πρόσβαση στο δίκτυο SS7 για περίπου $ 1.000. Μόλις έχουν πρόσβαση, μπορούν να στείλουν ένα αίτημα δρομολόγησης. Για να ολοκληρώσετε το πρόβλημα, το δίκτυο ενδέχεται να μην επαληθεύσει την προέλευση της αίτησης.

Θυμηθείτε, η χρήση ελέγχου ταυτότητας δύο παραγόντων μέσω SMS είναι καλύτερη από το να απενεργοποιήσετε 2FA. Και είναι μάλλον απίθανο να γίνει θύμα. Ωστόσο, αν αρχίζετε να αισθάνεστε λίγο ανησυχούν, πρέπει να συνεχίσετε να διαβάζετε. Πολλοί άνθρωποι αποδέχονται ότι το SMS είναι ανασφαλές και μεταβείτε σε εφαρμογές τρίτων.

Αλλά αυτό μπορεί να μην είναι πολύ καλύτερο.

Γιατί πρέπει να αποφύγετε τις εφαρμογές 2FA

Ο άλλος κοινός τρόπος χρήσης των κωδικών 2FA είναι να εγκαταστήσετε μια ειδική εφαρμογή smartphone. Υπάρχουν πολλά να διαλέξετε. Ο Επαληθευτής Google είναι αναμφισβήτητα ο πιο αναγνωρίσιμος, αλλά δεν είναι απαραιτήτως ο καλύτερος. Υπάρχουν πολλές εναλλακτικές λύσεις εκεί έξω - ελέγξτε Authy, Authenticator Plus και Duo.

Αλλά πόσο ασφαλείς είναι οι εξειδικευμένες εφαρμογές 2FA; Η μεγαλύτερη αδυναμία τους είναι η δική τους εμπιστοσύνη σε ένα μυστικό κλειδί.

Ας κάνουμε ένα βήμα πίσω για ένα δευτερόλεπτο. Σε περίπτωση που δεν γνωρίζετε, όταν εγγραφείτε για πολλές εφαρμογές για πρώτη φορά, θα πρέπει να εισαγάγετε ένα μυστικό κλειδί. Το μυστικό μοιράζεται μεταξύ εσάς και του παρόχου της εφαρμογής.

Όταν αποκτάτε πρόσβαση σε έναν ιστότοπο, ο κώδικας που δημιουργεί η εφαρμογή βασίζεται σε συνδυασμό του κλειδιού σας και της τρέχουσας ώρας. Την ίδια στιγμή, ο διακομιστής δημιουργεί έναν κώδικα χρησιμοποιώντας τις ίδιες πληροφορίες. Οι δύο κωδικοί πρέπει να ταιριάζουν για να δοθεί πρόσβαση. Ακούγεται λογικό.

Γιατί λοιπόν τα κλειδιά είναι το αδύναμο σημείο; Λοιπόν, τι συμβαίνει εάν ένας κυβερνο-εγκληματίας κατορθώσει να αποκτήσει πρόσβαση στον κωδικό πρόσβασης μιας εταιρείας και να μυστικά βάση δεδομένων; Κάθε λογαριασμός θα ήταν ευάλωτος-ο ο επιτιθέμενος μπορεί να έρθει και να πάει Πώς να ελέγξετε εάν κάποιος άλλος έχει πρόσβαση στον λογαριασμό σας στο FacebookΕίναι δυσοίωνο και ανησυχητικό αν κάποιος έχει πρόσβαση στο λογαριασμό σας στο Facebook χωρίς τη γνώση σας. Δείτε πώς μπορείτε να ξέρετε εάν έχετε παραβιαστεί. Διαβάστε περισσότερα κατά βούληση.

Δεύτερον, το μυστικό είτε εμφανίζεται σε απλό κείμενο είτε ως κώδικας QR. δεν μπορεί να είναι χυθεί ή χρησιμοποιηθεί με αλάτι Τι όλα αυτά τα MD5 Hash Stuff σημαίνει πραγματικά [Technology Explained]Ακολουθεί πλήρης εξάντληση του MD5, hashing και μια μικρή επισκόπηση των υπολογιστών και της κρυπτογράφησης. Διαβάστε περισσότερα . Είναι πιθανώς επίσης σε απλό κείμενο στους διακομιστές της εταιρείας.

Το μυστικό κλειδί είναι το θεμελιώδες ελάττωμα του Time-Based One-Time Password (TOTP) που χρησιμοποιούν οι εξειδικευμένες εφαρμογές. Αυτός είναι ο λόγος για τον οποίο ένα φυσικό κλειδί U2F είναι πάντα μια ασφαλέστερη επιλογή.

Παραλείψεις στο σχεδιασμό και την ασφάλεια για εφαρμογές 2FA

Φυσικά, οι πιθανότητες μιας ηλεκτρονικής εγκληματικής πειρατείας των απαραίτητων βάσεων δεδομένων μιας εφαρμογής τρίτου μέρους είναι αρκετά μικρές. Αλλά η εφαρμογή σας θα μπορούσε επίσης να υποφέρει από βασικές αδυναμίες ασφαλείας στο σχεδιασμό της.

Δημοφιλής Διαχείριση κωδικών πρόσβασης LastPass 8 Εύκολοι τρόποι για να υπερφορτώσετε την ασφάλεια σας στο LastPassΊσως χρησιμοποιείτε το LastPass για να διαχειριστείτε τους πολλούς κωδικούς πρόσβασης στο διαδίκτυο, αλλά το χρησιμοποιείτε σωστά; Εδώ είναι οκτώ βήματα που μπορείτε να κάνετε για να κάνετε τον λογαριασμό σας LastPass ακόμα ασφαλέστερο. Διαβάστε περισσότερα έπεσε θύμα το Δεκέμβριο του 2017. ΕΝΑ προγραμματιστής στο Medium αποκάλυψε ότι τα 2FA μυστικά κλειδιά θα μπορούσαν να έχουν πρόσβαση χωρίς δακτυλικό αποτύπωμα, κωδικό πρόσβασης ή άλλα μέτρα ασφαλείας.

Η λύση δεν ήταν καν πολύ περίπλοκη. Με την πρόσβαση στη δραστηριότητα των ρυθμίσεων της εφαρμογής εφαρμογής του LastPass Authenticator (com.lastpass.authenticator.activities. ΡυθμίσειςΑναδρασιμότητα), θα μπορούσατε να εισάγετε το παράθυρο ρυθμίσεων για την εφαρμογή χωρίς ελέγχους. Από εκεί, μπορείτε να πιέσετε Πίσω μία φορά για να αποκτήσετε πρόσβαση σε όλους τους κωδικούς 2FA.

Το LastPass έχει διορθώσει τώρα το ελάττωμα, αλλά παραμένουν ερωτήματα. Σύμφωνα με τον προγραμματιστή, είχε προσπαθήσει να πει την LastPass για το θέμα για επτά μήνες, αλλά η εταιρεία δεν το έθεσε ποτέ. Πόσες άλλες εφαρμογές 2FA τρίτων είναι ανασφαλείς; Και πόσες ασαφείς αδυναμίες γνωρίζουν οι προγραμματιστές αλλά καθυστερούν την επιδιόρθωση; Υπάρχουν επίσης ανησυχίες όταν πρόκειται χάνοντας την πρόσβαση στη γεννήτρια κώδικα σας στο Facebook Πώς να συνδεθείτε στο Facebook αν χάσατε πρόσβαση στη γεννήτρια κώδικαΑπώλεια πρόσβασης στη γεννήτρια κώδικα του Facebook; Αυτό το άρθρο καλύπτει εναλλακτικές μεθόδους για τη σύνδεση στο λογαριασμό σας στο Facebook. Διαβάστε περισσότερα για παράδειγμα.

Τι πρέπει να κάνετε Αντ 'αυτού: Χρησιμοποιήστε τα πλήκτρα U2F

Αντί να βασίζεστε σε SMS και 2FA για τους κωδικούς σας, θα πρέπει να χρησιμοποιήσετε Παγκόσμια πλήκτρα δευτέρου παράγοντα Τι είναι τα κλειδιά U2F και πού υποστηρίζονται;Τα κλειδιά U2F είναι ένας από τους καλύτερους τρόπους για να διατηρείτε τους λογαριασμούς σας ασφαλή και ασφαλείς. Αλλά πού υποστηρίζονται τα κλειδιά U2F; Διαβάστε περισσότερα (U2F). Είναι ο πιο ασφαλής τρόπος δημιουργίας κωδικών και πρόσβασης στις υπηρεσίες σας.

Θεωρείται ευρέως ότι είναι έκδοση δεύτερης γενιάς 2FA, απλοποιεί και ενισχύει το ισχύον πρωτόκολλο. Επιπλέον, η χρήση πλήκτρων U2F είναι σχεδόν εξίσου βολική με το άνοιγμα μηνύματος SMS ή εφαρμογής τρίτου μέρους.

Τα πλήκτρα U2F χρησιμοποιούν είτε σύνδεση NFC είτε σύνδεση USB. Όταν συνδέετε τη συσκευή σας σε έναν λογαριασμό για πρώτη φορά, θα δημιουργήσει έναν τυχαίο αριθμό που ονομάζεται "Nonce". Το Nonce έχει χυθεί με το όνομα τομέα του ιστότοπου για να δημιουργήσει έναν μοναδικό κώδικα.

Πιστοποιημένο με Fido κλειδί U2F

Στη συνέχεια, μπορείτε να αναπτύξετε το κλειδί U2F συνδέοντάς το στη συσκευή σας και να περιμένετε από την υπηρεσία να την αναγνωρίσει.

Λοιπόν, ποιο είναι το μειονέκτημα; Λοιπόν, παρόλο που το U2F είναι ένα ανοικτό πρότυπο, εξακολουθεί να κοστίζει χρήματα για να αγοράσει ένα φυσικό κλειδί U2F. Και ίσως περισσότερο, ανησυχείτε για την κλοπή.

Ένα κλεμμένο κλειδί U2F δεν κάνει αυτόματα τον λογαριασμό σας ανασφαλές. ένας χάκερ θα πρέπει ακόμα να γνωρίζει τον κωδικό πρόσβασής σας. Αλλά σε έναν κοινό χώρο, ένας κλέφτης μπορεί να έχει ήδη δει να εισάγετε τον κωδικό σας από μακριά, πριν να κλέψετε τα υπάρχοντά σας.

Τα κλειδιά U2F μπορεί να είναι πολύτιμα

Οι τιμές ποικίλλουν σημαντικά μεταξύ των κατασκευαστών, αλλά μπορείτε να περιμένετε να πληρώσετε μεταξύ περίπου $ 15 και $ 50.

Στην ιδανική περίπτωση, θέλετε να αγοράσετε ένα μοντέλο που είναι "Πιστοποιημένο FIDO". Η Συμμαχία FIDO (Fast IDentity Online) είναι υπεύθυνη για την επίτευξη της διαλειτουργικότητας μεταξύ των τεχνολογιών ελέγχου ταυτότητας. Τα μέλη περιλαμβάνουν όλοι από την Google και τη Microsoft, στην Bank of America και τη MasterCard.

Αγοράζοντας μια συσκευή FIDO, μπορείτε να είστε βέβαιοι ότι το κλειδί U2F θα λειτουργήσει με όλες τις υπηρεσίες που χρησιμοποιείτε κάθε μέρα. Ελέγξτε το κλειδί DIGIPASS SecureClick U2F αν θέλετε να αγοράσετε ένα.

Το ανασφαλές 2FA είναι ακόμα καλύτερο από ό, τι 2FA

Συνοψίζοντας, τα πλήκτρα 2ου γενικού παράγοντα παρέχουν ένα ευχάριστο μέσο μεταξύ της ευκολίας χρήσης και της ασφάλειας. Το SMS είναι η λιγότερο ασφαλής προσέγγιση, αλλά είναι επίσης το πιο βολικό.

Και θυμηθείτε, κάθε 2FA είναι καλύτερη από ό, τι 2FA. Ναι, μπορεί να σας χρειαστούν επιπλέον 10 δευτερόλεπτα για να συνδεθείτε σε συγκεκριμένες εφαρμογές, αλλά είναι καλύτερο από το να θυσιάζετε την ασφάλειά σας.

Ο Dan είναι βρετανός απεσταλμένος που ζει στο Μεξικό. Είναι ο υπεύθυνος επεξεργασίας για την αδελφή του MUO, Blocks Decoded. Σε διάφορες χρονικές στιγμές, υπήρξε ο Social Editor, Creative Editor και Οικονομικός Συντάκτης για το MUO. Μπορείτε να τον βρείτε περιαγωγής στο πάτωμα show στο CES στο Λας Βέγκας κάθε χρόνο (PR άνθρωποι, φτάστε έξω!), Και κάνει πολλά χώρο πίσω από τα σκηνικά...