Securitywatch: как да не се заключи с двуфакторна автентификация | макс

Инструментите за сигурност често създават известна доза тревожност. Какво се случва, ако загубя паролата си? Или ако антивирусът ми изтрие нещата ми? Появата на двуфакторно удостоверяване създаде нов обрат на познатото безпокойство: какво ще стане, ако не мога да използвам втория си фактор и да бъда заключен от акаунта си?

Джеръми от Кейптаун писа с няколко притеснения относно 2FA. Редактирах писмото му за краткост.

Уважаеми господине, Не съм твърде техничен и искам двуфакторно устройство за удостоверяване, което да не изпитва сложни усложнения при настройването или достъпа, както сте се сблъскали с Yubikey. Най-големият ми страх е да се изключа от моя Gmail.

По-добре ли е да купите два ключа, като един е резервен ключ?

На Ваше разположение, Джеръми

В случай че не сте чували за двуфакторно удостоверяване или 2FA, ето същността: 2FA е второ действие, което предприемате, след като въведете паролата си, за да потвърдите самоличността си. Идеята е, че нападателят може да има вашата парола, но няма да има вашия ключ за сигурност, приложение за удостоверяване или SMS код. Има цяла теория и практика за 2FA, че няма да вляза тук, но аз ви насърчавам да активирате 2FA, където можете.

Джеръми е в добра компания в загрижеността си за 2FA. Много технически здрави и съобразени със сигурността хора, които познавам, продължават да премахват двуфакторната защита, защото се страхуват да не се заключат и може би да загубят достъп до своите неща завинаги. Това е истинско и валидно притеснение.

Читател, това ми се случи

Всъщност преди това бях заключен от 2FA защитени акаунти. Повече от веднъж. Тогава една от първите компании, които предложиха двуфакторна автентификация, беше Blizzard. Играчите на World of Warcraft първи получиха достъп, тъй като трябваше да защитят трудно спечеленото си плячко. Може да си припомните хора, които се разхождат с ключодържатели WoW, които показваха променливи цифри на LCD. По-късно Blizzard усъвършенства опита в мобилно приложение и разгърна 2FA на всички потребители на Battle.net.

Като параноичен човек, който съм, активирах 2FA в моя акаунт в Blizzard, използвайки специалното приложение Blizzard Authenticator. Веднага забравих, че съм направил това, и през изминалите месеци изтрих приложението от телефона си и забравих паролата си. За щастие, Blizzard има отлично обслужване на клиенти. Няколко имейла с техния весел персонал ме върнаха онлайн след няколко дни. Все пак беше нервноуморително. Бях толкова свикнал, че мога да се справя с нулирането на собствената си парола, а идеята да се налага да общувам с действително жив човек като част от този процес се чувствах, добре, много странно.

Оттогава свикнах повече с опита и се научих да бъда по-интелигентен да запазя автентиката си в безопасност. Все още успях да се измъкна многократно от Battle.net, както и от Steam и други услуги.

В зависимост от това как една компания конфигурира офертата си за 2FA, може да се окаже, че трябва да се наведете назад, за да получите обратно контрола над вашия акаунт. Колкото и досадно да звучи, това всъщност означава, че услугата работи. Трябва да прескочите много обръчи, ако нямате автентиката. Ако ти беше лесно, тогава щеше да е лесно за лош човек.

Умножете факторите си

За щастие, има лесен начин да предотвратите блокирането от 2FA: използвайте множество опции 2FA. Те могат да действат като резервно копие в случай, че нямате достъп до друга опция 2FA. Например, използвам YubiKey 5 NFC с моите акаунти в Google, но също така активирах натискане на известие за потвърждение чрез натискане на моя телефон. Ако нямам своя Yubikey, използвам това вместо това.

Добавянето на повече многофакторни устройства увеличава риска, че акаунтът ви може да бъде компрометиран. Сега има два начина да влезете в акаунта си, вместо само един. Вярвам, че ползите от това, че не бъдете изключени от вашия акаунт, значително надвишават твърде малко вероятния сценарий, в който сте затънали и перфектникът ви взема портфейл, ключове и ключ за сигурност, а също така ви е изписал паролата си.

Пакетът за сигурност на Google Titan.

Най-доброто одобрение за използването на повече от едно 2FA устройство идва от Google, който предоставя два ключа в пакета си Titan Key. Те са създадени специално за работа със системата за разширена защита на Google, която изисква да запишете два отделни ключа за защита. Използвате един всеки ден, а другия отлагате за спешни случаи. И така, директно да отговорите на въпроса на Джеръми: Не е лошо да имате два ключа за вашия акаунт.

За съжаление, не всички сайтове ви позволяват да регистрирате повече от една многофакторна опция. В такъв случай препоръчвам да използвате опцията 2FA, която смятате, че е най-надеждна за вас.

Изграждане на вашия аутентификатор Арсенал

Ако решите да купите няколко хардуерни 2FA ключа, препоръчвам или нашия ключ за защита на редактора на Yubico или пакетът на Titan Key от Google. Ключът за сигурност на Yubico струва само 20 долара всеки, или 36 долара за двама. Пакетът на Google струва 50 долара и включва две устройства: един USB ключ и Bluetooth донгъл с батерия.

Ключът за сигурност от Yubico

Години наред най-разпространеният начин за използване на 2FA беше еднократните кодове, изпращани на вашия телефон чрез текстово съобщение. Вероятно все още трябва да използвате това с вашата банка, тъй като финансовите институции са склонни да възприемат новите технологии по-бавно. Интересно е, че Google все още изисква да активирате SMS кодове, ако искате да използвате други 2FA системи. За въпроса на Джеръми това означава, че когато отидете да регистрирате новия си ключ за сигурност с Google, вече ще трябва да активирате втора 2FA опция под формата на SMS кодове.

Друга опция е да използвате Google Удостоверител или подобно приложение като Удостоверителя LastPass. Тези мобилни приложения генерират шестцифрени пароли на всеки 30 секунди. Просто отворете приложението, копирайте кода и сте вътре. Те са особено удобни като резервна 2FA опция, защото приложението работи дори без клетъчна услуга или Wi-Fi.

Ако всички тези изглеждат притеснително, можете да използвате моя предпочитан метод: физически резервни кодове. Може да сте виждали това при създаване на акаунти или записване в 2FA. Това е мрежа от няколко номера, които можете да използвате вместо парола и 2FA символи. Те се генерират само веднъж и ако ги генерирате отново, старите се изхвърлят. В идеалния случай ще ги закрепите в криптиран файлов трезор или още по-добре на лист хартия, поставен на безопасно място.

Когато създаде своята програма за допълнителна защита, Google избра няколко хардуерни ключа, тъй като всички останали опции, изброени по-горе - включително резервни кодове - потенциално могат да бъдат заснети с добре направена фишинг страница. Подправянето на защитен ключ е много по - трудно.

• Двуфакторно удостоверяване: кой го има и как да го настрои Двуфакторно удостоверяване: кой го има и как да го настрои
• Защо не използвате двуфакторна автентификация? Защо не използвате двуфакторна автентификация?
• Google: Фишинг атаки, които могат да победят двуфакторни са в подем, Google: Фишинг атаки, които могат да победят двуфакторни, са в стадия

Имайте предвид, че не всички сайтове поддържат всеки вид автентификатор. LastPass например ви позволява да използвате ключове за защита, но само ключове, които поддържат еднократни пароли. Измислянето на кои автентификатори да се използва често е функция на опциите, които се поддържат.

Вашите първи стъпки за двуфакторно удостоверяване

Това каза, препоръчвам на всеки, който е нов в 2FA, да го изпробва първо със система, различна от клавишите за защита. Ако не сте свикнали с това второ нещо да влизате, по-вероятно е да се объркате с нещо толкова непознато като ключ за защита. Вместо това опитайте да използвате push известия, кодове, изпратени чрез текстово съобщение, Duo или Google Authenticator (или подобен генератор на кодове). Те използват устройствата, които вече имате, така че няма разходи за влизане. След като сте запознати с това как работи 2FA и започне да се чувства като втора природа, можете да помислите за разграбване на парите за ключ (и) за сигурност.

Функцията за защита е ценна само ако действително я използвате. Така че активирайте 2FA, но си позволете да си поиграете с него и да намерите метод, който работи за вас.