Dvoufaktorová autentizace (2FA) dříve vypadala jako něco vyhrazeného pro špionážní filmy nebo politické thrillery-něco, co musí Ethan Hunt Mission Impossible použít k přístupu ke svému úkolu, než se samo zničí. Ale to už neplatí. Prakticky všichni používáme 2FA denně, ať už jde o biometrické 2FA na našich zařízeních (otisky prstů nebo rozpoznávání obličeje) nebo běžná jednorázová hesla získaná prostřednictvím SMS nebo aplikace pro ověřování.
Naše účty jsou příliš cenné na to, aby je hackeři ignorovali. I kompromitovaný e-mailový účet může být odrazovým můstkem k získání přístupu k finančním účtům a okradení o vaše těžce vydělané peníze při vytváření scénáře noční můry. Přestože filmy zobrazují hackera oděná v mikině s prsty zuřivě létajícími nad klávesnicí, realita je taková, že podle zprávy o vyšetřování narušení bezpečnosti společnosti Verizon 2022-2023 zahrnuje drtivá většina porušení zabezpečení (85%) lidský prvek. 2FA je nejlepší způsob boje proti tomuto druhu útoku.
- Nejlepší služby VPN 2022-2023
- Aplikace Norton Antivirus vám nyní umožňuje vydělávat kryptoměny - zde je to, co můžete těžit
- Nejlepší nabídky notebooků v červnu 2022-2023-2022
Ať už si myslíte, že je to pro vás skutečný problém nebo ne, mnoho společností přechází na 2FA jako požadované bezpečnostní opatření, přičemž Google je jedním z nejnovějších, který oznámil, že v blízké budoucnosti bude vyžadovat 2FA.
Nedávno jsme se zabývali tím, proč musíte přestat používat své telefonní číslo pro dvoufaktorové ověřování, pokud jste to zmeškali a nejste si jisti, proč je to tak špatný nápad, přečtěte si to a vraťte se, nyní vám ukážeme, jak udělat 2FA správným způsobem.
Co je dvoufaktorová autentizace?
2FA je nejznámější a nejpoužívanější formou vícefaktorové autentizace (MFA), která, jak název napovídá, závisí na ověření vaší identity na více faktorech. Klasickým příkladem je získávání peněz z bankomatu, pro přístup k účtu potřebujete kartu i PIN.
Tento příklad zahrnuje dvě ze tří kategorií pro MFA, „co máte“ (fyzický objekt) a „co víte“ (heslo nebo bezpečnostní otázka). Třetí možností je „co jsi“, což znamená biometrickou metodu, jako je snímač otisků prstů nebo rozpoznávání obličeje. Na rozdíl od dokonce neuvěřitelně složitého hesla to eliminuje možnost narušení vašeho účtu bez fyzického přístupu k vám.
Ve výše uvedeném oznámení společnosti Google o 2FA odkazoval na hesla jako na „největší hrozbu pro vaše online zabezpečení“. V současné době jsou hesla pro většinu lidí stále součástí procesu 2FA. Jde však o to, že jsou slabým místem v řetězci, které je třeba posílit alespoň o jeden další faktor. Pojďme se tedy podívat na nejlepší možnosti pro 2FA.
Dvoufaktorová autentizace založená na aplikaci
Jako téměř u všeho existují i aplikační řešení pro řešení 2FA, kterým se říká autentizační aplikace. Na trhu jsou desítky, ale několik, které bych doporučil, jsou Authy, Microsoft Authenticator, LastPass a 1Password. Google Authenticator je další oblíbenou možností, ale nelíbí se mi, že nevyžaduje heslo ani biometrické přihlášení, je to potenciální bezpečnostní mezera v procesu, který se je snaží odstranit.
Authy je specializovaná aplikace pro autentizaci a je výslovně používána pro přihlášení do 2FA. Microsoft Authenticator, LastPass a 1Password jsou správci hesel, které obsahují součást ověřovače. Pokud potřebujete správce hesel nebo již některý z nich používáte, šel bych touto cestou, protože proces 2FA je maximálně bezproblémový.
Jakmile si vyberete aplikaci ověřovače a nainstalujete ji, můžete začít nastavovat 2FA pro své účty. Toto bude nejnáročnější část procesu, protože zahrnuje návštěvu jakékoli služby nebo webu, který používáte a který nabízí podporu 2FA jeden po druhém. Mám podezření, že toto je krok, který většinu lidí odradí od používání 2FA, ale pro vaše online zabezpečení to nakonec stojí za to. A jakmile máte 2FA v provozu, není to problém, kvůli kterému to někteří dělají.
Během počátečního nastavení buď naskenujete QR kód, nebo v některých případech zadáte kód, a poté se tato služba uloží do vaší aplikace pro ověřování. Uvidíte své účty uvedené se sadou šesti číslic vedle nich a odpočítáváním časovače. Každých 30 sekund se pro každý vytvoří nový náhodný šestimístný kód. Jedná se o časová jednorázová hesla (TOTP), podobná heslům, která byste získali prostřednictvím SMS nebo e-mailu, ale nevyžadují připojení k internetu a kriticky je nikdo nemůže zachytit.
Nyní ve většině případů nebudete muset zadávat kód TOTP pokaždé, když se přihlásíte, pokud nechcete mít tuto úroveň zabezpečení. Obvykle je vyžadováno, abyste jej používali pouze při přihlašování na novém zařízení nebo po uplynutí nastaveného času, 30 dní je běžné, ale weby a služby se v tomto liší.
Hardwarová dvoufaktorová autentizace
Nyní, když u mobilních autentizátorů rozhodně existuje faktor pohodlí. Ve dvouleté případové studii s Googlem bylo hardwarové řešení čtyřikrát rychlejší, méně náchylné k vyžadování podpory a bezpečnější. Hardwarové řešení MFA/2FA vypadá hodně jako USB flash disk. Přicházejí v různých tvarech a velikostech a nabízejí podporu pro všechna vaše zařízení s USB typu A, USB typu C a Lightning. Některé moderní možnosti nabídnou také bezdrátovou podporu prostřednictvím NFC nebo Bluetooth.
S těmito bezpečnostními klíči je jednoduše zapojíte do svého zařízení nebo přejedete prstem po čipu NFC ve svém zařízení a slouží jako metoda 2FA. Toto je kategorie MFA „co máte“. Je snadné zjistit, jak to bude rychlejší, než otevřít aplikaci ověřovače, najít příslušný kód TOTP a poté jej zadat, než se resetuje.
Stejně jako aplikace autentizátoru existuje značný počet možností, pokud jde o hardware 2FA. Nejprominentnější (a ten, se kterým se Google setkal pro více než 50 000 zaměstnanců) je YubiKey. Samotný Google má svůj bezpečnostní klíč Titan a Thetis je dalším silným hráčem na trhu, ale všechny tyto možnosti jsou certifikovány FIDO U2F, což je otevřený standard vytvořený společnostmi Google a Yubico (společnost stojící za YubiKey) již v roce 2007 na podporu širokého přijetí bezpečných ověřování.
Základní proces nastavení je v zásadě identický s metodou mobilního autentizátoru, budete muset přejít na každou službu a postupovat podle pokynů k nastavení 2FA. Spíše než skenovat QR kód a získávat kódy TOTP, budete po výzvě buď připojeni nebo přejetím bezpečnostním klíčem a poté bude zaregistrován u této služby. Až budete v budoucnu vyzváni, budete muset znovu použít plugin nebo přejet prstem po bezpečnostním klíči a klepnout na něj. Pokud si nejste jisti, jaké služby a aplikace, které podporují bezpečnostní klíč, můžete použít tento praktický katalog od společnosti Yubico.
Nejčastější starostí s bezpečnostním klíčem je, co dělat, když ho ztratíte nebo se rozbije. Existuje několik možností. Společnost Google zaměstnává a společnost Yubico doporučuje udržovat dva bezpečnostní klíče, jeden bezpečně uložený a druhý, který máte stále u sebe. S výjimkou některých malých bezpečnostních klíčů, které mají být trvale připojeny k zařízením, která jsou na bezpečném místě, všechny bezpečnostní klíče mají otvor, který umožňuje jejich připojení k vašemu kroužku na klíče.
To znamená, že kdykoli se zaregistrujete pro 2FA na novou službu, budete potřebovat spustit oba bezpečnostní klíče při registraci na fyzický hardware a ne na účet, ale po počátečním nastavení by to nemělo být tak časté. problém. Nejsou nijak strašně drahé, například YubiKey 5 NFC stojí 45 USD a bezpečnostní klíč Thetis FIDO2 BLE je k dispozici za méně než 30 USD a neměli byste je muset roky vyměňovat, takže to není špatné řešení.
Alternativou je, že musíte zachovat záložní kódy, které poskytují všechny weby a služby, na kterých používáte 2FA. Ty lze buď vytisknout a uložit na bezpečném místě, nebo můžete šifrovat a ukládat textové soubory někam do bezpečí, a to buď do šifrované a šifrované složky, nebo na bezpečně uloženou jednotku flash.
Přehled
Bez ohledu na to, zda se rozhodnete pro řešení 2FA založené na aplikacích nebo hardwaru, není pochyb o tom, že počáteční nastavení je jednou z největších překážek vzhledem k obrovskému objemu webů, služeb a aplikací, které mnozí z nás používají. Zjistil jsem, že je jednodušší dělat 3–5 denně, než jsem si prošel všechny, než abych šel na jednu registraci na maraton.
Jakmile jste s tímto počátečním procesem hotovi, je to docela bezbolestný krok navíc, který vám nabízí mnohem více zabezpečení než samotné heslo nebo řešení 2FA založené na SMS nebo e-mailu. Můžete se trochu otřít o čas navíc strávený příležitostným zadáváním kódu nebo připojením bezpečnostního klíče, ale v porovnání s bolestí hlavy, když se budete muset vypořádat s tím, že vám někdo ukradne přihlašovací údaje a potenciálně obrátí váš život vzhůru nohama, to zbledne znovu získat kontrolu nad svými účty.
Společnosti jako PayPal, Google a další přecházejí na 2FA jako požadavek, budete potřebovat řešení 2FA. Neuspokojte se s řešením založeným na zprávách SMS nebo e-mailu, jsou jednoduše příliš snadno obcházena. Jak aplikace autentizátoru, tak hardwarové bezpečnostní klíče nabízejí skutečně silné zabezpečení 2FA a po tomto procesu počátečního nastavení se rychle stane bezproblémovou součástí vašich online bezpečnostních návyků.