Ce este autentificarea cu doi factori (2FA) și aveți nevoie?

Autentificarea cu doi factori (2FA) se referă la un proces de conectare care necesită mai mult decât o parolă. Dacă parola este compromisă cumva, 2FA poate împiedica un atacator să se autentifice în contul tău, necesitând o a doua formă de verificare.

Verificarea în doi pași (2SV) și autentificarea cu mai mulți factori (MFA) sunt termeni folosiți adesea în mod interschimbabil cu autentificarea în doi factori, deși există unele diferențe în care vom ajunge ulterior. Puteți întâlni 2FA când vă conectați la un dispozitiv sau cont, cum ar fi:

• Un număr PIN unic trimis prin SMS, e-mail sau o aplicație de autentificare precum Google Authenticator sau Authy
• Un dispozitiv de autentificare hardware, cum ar fi o cheie USB, care trebuie introdus înainte de logare
• O scanare biometrică, cum ar fi o scanare de amprentă sau retină, pe lângă o parolă

2FA poate fi configurat pentru multe conturi online și vă recomandăm cu tărie să faceți acest lucru. În mod obișnuit, aceasta presupune introducerea unui număr PIN la logarea de pe un dispozitiv sau locație nouă sau după expirarea sesiunii anterioare. Poate părea o povară, dar 2FA face un drum lung în protejarea conturilor împotriva hackerilor.

Cum funcționează în practică autentificarea cu doi factori?

Dacă 2FA este activat pentru contul dvs., este foarte probabil să îl întâlniți atunci când vă conectați de pe un dispozitiv nou sau dintr-o altă locație decât înainte. Vă veți introduce numele de utilizator și parola ca de obicei, și atunci vi se va solicita să vă dovediți identitatea introducând un al doilea formular de verificare pe care numai dvs. îl puteți furniza.

Nu toate metodele de verificare a unui utilizator sunt egale. Din cel mai sigur până la cel mai puțin sigur:

• A dispozitiv de autentificare hardware cum ar fi o cheie de securitate YubiKey sau Titan. Acestea sunt dispozitive USB pe care trebuie să le conectați la dispozitiv pentru a vă autentifica.
• Un aplicația de autentificare cum ar fi Google Authenticator sau Authy. Aceste aplicații generează numere PIN temporare pe telefonul smartphone.
• A scanare biometrică cum ar fi o scanare a feței, a amprentelor sau a retinei. Securitatea scanărilor biometrice variază mult în funcție de metoda folosită, de calitatea software-ului de autentificare și de hardware-ul folosit pentru introducere.
• A Număr PIN trimis prin SMS la telefon. SMS-urile nu sunt criptate și sunt vulnerabile la atacurile de swap-uri SIM, deci este considerat mai puțin sigur.
• A Număr PIN trimis prin e-mail. Această opțiune este cea mai puțin sigură, deoarece conturile de e-mail pot fi adesea accesate de oriunde, spre deosebire de celelalte metode care necesită să aveți un dispozitiv specific. În plus, e-mailul nu este criptat.

Chiar dacă contul dvs. acceptă 2FA, este posibil să nu fie activat implicit. Acest lucru se datorează faptului că există un proces de înscriere necesar pentru a configura 2FA pentru fiecare site. Fără acest proces de înscriere, utilizatorii ar fi pur și simplu blocați din cont. Veți dori să vă delectați în setările de securitate sau de conectare ale contului dvs. și sperați să găsiți setări 2FA.

Mesaj SMS (text) autentificare cu doi factori

Avantajele utilizării metodei SMS sunt că este aproape universal și este legat de cartela SIM, nu de telefonul tău. Aproape toate telefoanele mobile acceptă mesaje text, chiar și telefoane „mut” care nu au aplicații instalate pe ele. Dacă schimbați telefoanele sau dacă telefonul este deteriorat sau pierdut, puteți pur și simplu să introduceți cartela SIM într-un alt telefon și sunteți bine să mergeți.

Principalul dezavantaj este că, pentru ca mesajele SMS să poată trece, trebuie să vă aflați în raza de acțiune celulară. De asemenea, călătorii globali pot avea probleme cu metoda SMS dacă își schimbă cardurile SIM în diferite țări, deoarece fiecare cartelă SIM ar avea un număr de telefon diferit.

Un dezavantaj mai avansat pentru SMS 2FA este că nu este foarte greu pentru băieți răi să se infiltreze în sistemul SMS și să intercepteze codurile, sau să utilizeze inginerie socială pentru a apela furnizorul de telefonie mobilă și a avea numărul tău alocat pe cartela SIM. Acest tip de neplăceri este de obicei rezervat persoanelor care sunt vizate în mod deliberat de un atacator, mai degrabă decât o alergare normală a atacului de la moară. Nu există prea multe măsuri de precauție pentru securitate dacă vă atrageți atenția unor oameni răi sofisticați ca asta.

Aplicații de autentificare cu doi factori

Există o varietate de aplicații 2FA pe piață. Cel mai popular este Google Authenticator, dar concurenții precum Authy și LastPass au și aplicații 2FA. Acest tip de împărțire a produsului nu ajută la adoptarea 2FA, deoarece companiile trebuie să-și petreacă timpul hotărând ce platformă 2FA să folosească. De asemenea, clienții trebuie să fie dispuși să instaleze încă o aplicație 2FA pe telefoanele lor dacă un serviciu folosește o altă platformă 2FA decât altele.

Cel mai mare pro-app pentru 2FA este acela că nu au nevoie de niciun tip de conectare la internet sau celular pentru a funcționa. Pur și simplu, afișează codurile necesare, după cum este necesar. Partea de jos a aplicațiilor 2FA este că, dacă pierdeți sau deteriorați telefonul în măsura în care nu puteți primi un cod de la acesta, veți avea dificilă accesarea contului dvs..

Un alt dezavantaj al aplicațiilor 2FA este că fiecare serviciu trebuie să fie configurat individual. În mod normal, înseamnă că trebuie doar să scanați un cod de bare QR cu aplicația, dar poate fi mai implicat pentru unele implementări corporative.

Cele mai bune servicii oferă atât SMS, cât și aplicația 2FA, dar aceste servicii sunt puține și departe.

În orice caz, ceea ce este autentificarea?

Pentru a putea avea acces la ceva de genul dvs. de e-mail, sistemul de e-mail trebuie să fie satisfăcut de două lucruri. Le-am descris mai detaliat în glosarul de la sfârșit, dar vizualizarea la nivel înalt este aceasta:

Autentificare; uneori prescurtată AuthN, înseamnă că sunteți cine spuneți că sunteți.

Autorizare; uneori prescurtată AuthZ, înseamnă că vi se permite să citiți e-mailul.

Care este diferența dintre autentificarea cu doi factori și verificarea în doi pași?

Mulți studenți și filosofi de informatică ar dezbate acest lucru în orele dimineții și, în timp ce există o diferență subtilă, în practică nu este una foarte mare.

Principalul punct de lipire este că nu există niciun concept de „verificare” în limbajul de autentificare / autorizare. Avem autentificare și avem autorizare. Introducerea termenului ambiguu „verificare” poate duce la confuzie în ceea ce privește diferența dintre ceea ce cineva știe și ceea ce are cineva.

În plus, ce înseamnă verificare? Înseamnă că persoana a fost identificată (AuthN) sau înseamnă că persoana are dreptul să acceseze o resursă (AuthZ)? Avem deja cuvinte adecvate pentru acele concepte.

Un punct secundar de confuzie provine din distincția dintre ceea ce o persoană are și ceea ce o cunoaște. La valoarea nominală este ușor să gândim că ceva precum un al doilea factor biometric care folosește o amprentă reprezintă ceva pe care utilizatorul îl are (au amprenta lor). Însă, utilizarea amprentelor digitale ca mecanism de deblocare a telefonului a fost dezbătută în sistemul instanțelor din SUA. Unii judecători consideră că o amprentă este o mărturie implicită, iar mărturia este ceva ce știe cineva, nu ceva ce au.

Ambele concepte se încadrează sub umbrela de autentificare multi factori (MFA) și ambele necesită să aveți altceva decât o parolă. Nu contează dacă altceva este o amprentă, o secvență numerică o singură dată sau o Yubikey.

De ce avem nevoie de altceva decât parole?

Numele de utilizator sunt în general destul de ușor de descoperit; în multe cazuri, este doar adresa noastră de e-mail bine publicizată sau, în cazul forumurilor, este numele afișat pe care îl poate vedea toată lumea. Asta înseamnă singura protecție pe care o ai împotriva cuiva care se conectează, întrucât este puterea parolei tale.

Există trei moduri principale prin care băieții răi își primesc parola. Primul este să-l ghicești pur și simplu. S-ar putea să credeți că are o șansă foarte puțin probabilă de succes, dar, din păcate, mulți utilizează parole teribil de slabe. Văd o mulțime de parole în viața mea de zi cu zi și există prea multe Chucks în lume cu parola chuck123.

Al doilea mod este să folosești un atac de dicționar. Cea mai mare parte a parolelor rămase pentru miliardele de conturi din lume sunt formate din câteva mii de cuvinte. Băieții răi rulează atacuri de dicționar împotriva site-urilor știind că majoritatea conturilor de pe site-ul vor folosi una dintre acele parole comune.

A treia cale este să furi datele. Încălcările de date expun adesea parolele stocate pe serverele companiei.

Site-urile și sistemele care utilizează 2FA necesită un al doilea factor în plus față de parola dvs. pentru a vă autentifica. La valoarea nominală, poate părea o prostie. Dacă parolele sunt atât de ușor compromise, cât de multă valoare poate adăuga pur și simplu oa doua parolă în tabel? Este o întrebare bună adresată de 2FA. În majoritatea cazurilor, 2FA ia forma unui cod numeric care se schimbă în fiecare minut sau poate fi folosit o singură dată. Prin urmare, cineva care reușește să obțină parola nu va putea să vă autentifice în contul dvs. decât dacă a reușit să obțină codul 2FA actual.

În acest fel, 2FA elimină acea fragilitate umană de a crea parole slabe și de a le reutiliza prin servicii. De asemenea, protejează împotriva faptului că datele furate ale contului sunt furate deoarece, chiar dacă omul rău reușește să fure toate numele de utilizator și parolele unui site, el nu va putea totuși să se conecteze la niciunul dintre aceste conturi fără acel cod 2FA esențial pentru fiecare utilizator..

De ce vreau să folosesc autentificarea cu doi factori?

Luați în considerare faptul că majoritatea hackurilor de parole se întâmplă pe internet. O analogie datată, dar utilizabilă, este un jaf bancar. Înainte de internet, jefuirea unei bănci era foarte dificilă. A trebuit să obțineți un echipaj, caz în care banca să găsească cel mai bun timp pentru a-l jefui, pentru a obține niște arme și deghizări, apoi efectuați efectiv jaful fără a fi prins.

Astăzi, același tâlhar bancar poate să stea în întreaga lume și să încerce să-ți forțeze brute contul de web banking fără ca tu să fii nici măcar constient. Dacă nu vă poate intra în cont, trece la următorul. Nu există aproape niciun risc să fii prins și nu necesită aproape nicio planificare.

Odată cu introducerea 2FA, acel tâlhar bancar nu are practic nicio șansă de a reuși. Chiar dacă ar ghici corect parola, acesta ar trebui să urce într-un avion, să te urmărească și să-ți fure dispozitivul 2FA pentru a intra. Odată ce un impediment fizic este introdus într-o secvență de conectare, acesta devine mai greu pentru ordine cel rău să reușească.

2FA necesită să furnizați două lucruri: ceva ce știți și ceva pe care îl aveți. Ceea ce știi este parola ta. Ceea ce ai este codul numeric. Întrucât codul numeric se schimbă atât de des, oricine este capabil să furnizeze codul corect în orice moment, deține aproape sigur dispozitivul generator de cod. 2FA se dovedește a fi foarte rezistent la atacurile de parole cu forțe brute, ceea ce este o veste bună. Vestea proastă este rata de adopție foarte lentă. Fiecare serviciu individual trebuie să decidă să pună în aplicare 2FA – nu este un lucru pe care îl puteți decide pentru a utiliza pe fiecare site. În timp ce un număr tot mai mare de site-uri acceptă acum 2FA, multe altele nu. În mod surprinzător, site-urile foarte critice, precum site-urile bancare și guvernamentale, au adoptat 2FA foarte lent.

Legate de: Ce este un atac de forță brută

Autentificare cu doi factori în întreprindere

2FA are o rată de adopție mai bună în corporații decât în ​​serviciile publice. Multe companii care au muncitori la distanță au implementat puternic 2FA. Cel mai comun și mai matur mecanism 2FA pentru corporații este RSA SecurID. A trecut de ani buni și poate fi instalat ca o aplicație sau furnizat ca un hardware care se întinde la fel ca un stick USB cu un ecran care arată codul. Un alt pretendent puternic în aceste zile este Okta. Okta a început să se concentreze pe SSO (Single Sign On On), ceea ce înseamnă că utilizatorii au fost nevoiți să se autentifice o singură dată și apoi pot accesa multe servicii terțe. Multe corporații folosesc SSO foarte mult și acum, când Okta oferă 2FA, acesta devine din ce în ce mai popular.

Glosar

Autentificare (AuthN): ești cine spui că ești. Aici intră în joc numele de utilizator și parola. Oricine prezintă aceste două lucruri este considerat a fi tu. Cu toate acestea, doar autentificarea nu înseamnă că vi se va permite să citiți e-mailul.

Autorizare (AuthZ): după ce ați fost autentificat (sistemul știe cine sunteți), atunci poate determina ce vi se permite. În cazul conectării la e-mailul dvs., trebuie doar să faceți un singur lucru. Dar, luați în considerare un scenariu de birou în care puteți citi unele unități de rețea partajate, dar nu altele. Stratul AuthZ este cel care determină ce vi s-a permis să faceți, dar nu poate face asta până când nu veți fi autentificat.

Utilizarea 2FA este o măsură de securitate foarte bună și ar trebui să luați în considerare activarea oriunde puteți. Site-ul Two Factor Auth.org are un proiect interesant care încearcă să enumere companiile care sprijină 2FA și oferă o modalitate ușoară de a rușina public companiile care nu. Dacă un serviciu pe care îl utilizați în prezent nu acceptă 2FA, este posibil să puteți găsi un serviciu alternativ.

Vezi si: Verificatorul de rezistență al parolei, o modalitate distractivă de a verifica cât de bună este parola dvs..