Hva er nøyaktig, er tofaktorautentisering?
How-To Geek Reader Jordan skriver inn med et rett frem spørsmål:
I’m hearing more and more about two-factor authentication. I vaguely remember Google making a big deal about it last year, my bank recently offered a free key-ring thing for valued customers, and my roommate even has some sort of app on his phone to keep his Diablo III account from getting hacked. I get that it’s some sort of security tool but what exactly is it and should I be using it?
For å forstå hva tofaktorautentisering er, la oss først se på hvilken enfaktorautentisering som er, og sammenligne den med både virkelige og virtuelle sikkerhetsmodeller.
Når du kommer hjem fra jobb, trekk ut tastene dine, og låse opp bakdøren din, og engasjere deg i enkel enfaktorautentisering. Døren og låsenheten bryr seg ikke om personen som holder de nøkkelen er deg, din nabo eller en kriminell som løftet nøklene dine. Det eneste låsen bryr seg om er at nøkkelen passer (du trenger ikke to nøkler, en nøkkel og et fingeravtrykk eller en hvilken som helst annen kombinasjon av sjekker). Den fysiske nøkkelen er den eneste bekreftelsen på at personen som bruker det er tillatt, åpner døren.
Det samme nivået av enfaktorautentisering skjer når du logger inn på et nettsted eller en tjeneste som bare krever innlogging og passord. Du plugger den informasjonen inn og den eksisterer som den eneste sjekken at du faktisk er deg.
Forutsatt at noen aldri stjeler nøklene eller sprekker / stjeler passordet ditt, er du i god form. Mens nøklene dine blir stjålet er en ganske lav risiko, er virtuell sikkerhet mer kompleks (og i motsetning til brudd på nettverkssikkerhet. Din leilighetskompleksforvalter, for eksempel, vil aldri ved et uhell kopiere alle nøklene og legge dem med ditt navn og adresse på et gatehjørne ).
Sikkerhetsbrudd, sofistikerte angrep og andre uheldig, men altfor virkelige aspekter ved å jobbe og spille i virtuell plass krever forbedret sikkerhetspraksis, inkludert flere og mangfoldige komplekse passord og, når det er tilgjengelig, tofaktorsautentisering.
Hva er tofaktorautentisering, og hvordan ser det ut til sluttbrukeren? Ved minst tofaktorautentisering krever to av tre regulator godkjente autentiseringsvariabler som:
- Noe du vet (som PIN-koden på ditt bankkort eller e-postpassord).
- Noe du har (det fysiske bankkortet eller et autentiserings-token).
- Noe du er (biometri som fingeravtrykk eller iris mønster).
Hvis du noen gang har brukt et debetkort, har du brukt en enkel form for tofaktorautentisering: det er ikke nok å kjenne PIN-koden eller å ha kortet fysisk, du må ha begge for å få tilgang til bankkontoen din via minibanken.
Tofaktorautentisering kan ta imot en rekke former og fortsatt tilfredsstille 2-of-3-kravet. Det kan være en fysisk token, som de som brukes mye i bank, hvor en over-the-air-kode genereres for deg. For å logge inn trenger du brukernavn, passord og den unike koden (som utløp hvert 30. sekund eller så). Andre selskaper hopper over tilpasset maskinvare-rute og leverer mobilapps (eller SMS-leverte koder) som gir samme funksjonalitet. Selv om det ikke er særlig vanlig, kan du også bruke tofaktorautentisering basert på biometri (for eksempel sikkerhet en kryptert fil via passord og fingeravtrykk).
Hvorfor skal jeg bruke den og hvor kan jeg finne den?
Når tofaktorautentisering er tilgjengelig for et system og at systemet blir kompromittert, vil det føre til betydelig lidelse, bør du aktivere det. Å ha e-postkompromiss åpner deg for at andre tjenester blir kompromittert som e-postservere som en slags hovednøkkel for tilgang til tilbakestilling av passord og andre henvendelser. Hvis banken din tilbyr en mobil godkjenning eller et annet verktøy, kan du dra nytte av det. Selv for ting som romkameratene dine Diablo III bruker kontoaktører hundrevis av timer med å bygge sine tegn og ofte bruker ekte penger til å kjøpe spillvarer, og å miste alt det arbeidet og utstyret er et forferdelig forslag, slap en autentiserer på kontoen din!
Ikke alle tjenester tilbyr to-faktor autentisering, dessverre. Den beste måten å finne ut, er å grave gjennom FAQ / supportfiler og / eller kontakte supportpersonalet for den aktuelle tjenesten. Når det er sagt, er mange selskaper vokal om deres vedtak av multifaktorautentiseringsordninger.
Google har tofaktorautentisering både for SMS og med en praktisk mobilapp, les vår veiledning for å installere og konfigurere mobilappen her.
LastPass tilbyr flere former for multifaktorautentisering, inkludert bruk av Google Authenticator. Vi har en veiledning for å konfigurere den her.
Facebook har et tofaktorsystem kalt "innloggingsgodkjenninger" som bruker SMS for å bekrefte identiteten din.
SpiderOak, en Dropbox som lagringstjeneste, tilbyr tofaktorautentisering.
Blizzard, selskapet bak spill som World of War Craft og Diablo, har en gratis autentiserer.
Selv om det ser ut til å være basert på å lese FAQ-filen til det aktuelle firmaet, har de ikke tofaktorautentisering, skyt dem en e-post og spør. Jo flere som spør om to-faktor, jo større sjanse vil selskapet implementere det.
Selv om tofaktorautentisering ikke er ugjennomtrengelig for å angripe (et sofistikert menneske-i-midt-angrep eller noen som stjeler ditt sekundære autentiseringstegn og slår deg med et rør kan sprekke det), er det radikalt sikrere enn å stole på et vanlig passord og bare å ha et tofaktorsystem aktivert gjør deg et mye mindre overbevisende mål.
Vet om en tjeneste, stor eller liten, som tilbyr tofaktorautentisering? Lyd av i kommentarene for å varsle medleserne dine.