Перед тем, как окунуться в мир, давайте рассмотрим некоторую путаницу между двухфакторной аутентификацией и двухэтапной аутентификацией . Они похожи, но не совсем одинаковые — один квадрат, другой прямоугольник.
Двухфакторная аутентификация — это когда вы защищаете учетную запись двумя факторами. Фактором является «что-то, что вы знаете» (например, пароль), «то, что у вас есть» (например, телефон), или «то, что вы есть» (например, отпечаток пальца). Чтобы действительно быть защищенным двухфакторной аутентификацией, ваша учетная запись должна иметь две блокировки разных факторов, прежде чем предоставлять доступ.
Если учетная запись защищена двумя блокировками одного и того же фактора, то она подпадает под двухэтапную аутентификацию (или двухфазную аутентификацию). Например, пароль и секретный вопрос являются «чем-то, что вы знаете», делая аутентификацию двухэтапной, но не двухфакторной. Хотя это может обеспечить адекватную защиту, двухфакторная аутентификация предпочтительнее.
Так же, как квадрат — это прямоугольник, а прямоугольник — не квадрат, так и двухфакторная аутентификация — это тип двухэтапной аутентификации, но не наоборот.
Способ 1: вопросы безопасности
Что это такое?
При создании учетной записи вы выбираете один или несколько контрольных вопросов и устанавливаете ответы для каждого из них. При входе в эту учетную запись вы должны предоставить правильный ответ на каждый вопрос, чтобы подтвердить, что у вас есть законный доступ.
Плюсы
Вопросы безопасности чрезвычайно просты в настройке. В большинстве случаев сервис предоставляет выпадающее меню вопросов — все, что вам нужно сделать, это выбрать один и дать ответ. Вам не нужно никакого другого оборудования, устройств и т. Д. Ответ просто хранится в вашей голове.
Минусы
Многие ответы на секретные вопросы можно найти в общедоступных записях (например, отчество вашего отца) или в социальных сетях (например, фишинговые электронные письма или телефонные звонки). Чтобы обойти это, вы можете сделать свой ответ бессмысленным и эффективно сделать его вторым паролем — но будьте осторожны, чтобы не потерять его и не забыть его!
Способ 2: SMS-сообщения
Что это такое?
При создании учетной записи вы указываете номер своего мобильного телефона. Всякий раз, когда вы хотите войти, сервис отправляет вам SMS-сообщение с кодом подтверждения, срок действия которого истекает (обычно через 15 минут). Вы должны ввести этот номер, чтобы завершить процесс входа в систему.
Плюсы
СМС сообщения чрезвычайно удобны. В настоящее время почти каждый человек имеет устройство с поддержкой SMS и может получать SMS-сообщения бесплатно. Обычно сообщения приходят мгновенно, но даже если они этого не делают, это редко занимает больше нескольких минут. Если вы когда-нибудь потеряете свое устройство, вы можете передать свой номер телефона, чтобы вы никогда не были заблокированы навсегда.
Минусы
Вы должны доверять услуге достаточно, чтобы поделиться своим номером телефона. Некоторые сомнительные службы могут использовать ваш номер для рекламы или продать его за денежную прибыль. А поскольку телефонные номера на самом деле не привязаны к устройствам, хакеры могут обойти аутентификацию на основе SMS, даже не прикасаясь к своему телефону (хотя это нелегко).
Способ 3: Основанные на времени одноразовые пароли
Что это такое?
Когда вы создаете учетную запись, вам назначается «секретный ключ». После установки приложения, генерирующего код ( например, Google Authenticator или его альтернативы ), вы сканируете QR-код, чтобы загрузить секретный ключ в приложение. Затем он генерирует одноразовые пароли очень часто (например, 30 секунд), используя секретный ключ в качестве начального числа, и вам нужны эти одноразовые пароли для входа в систему.
Плюсы
Коды генерируются на основе сочетания секретного ключа и текущего времени, что означает, что вы можете получить действительные коды на своем устройстве, даже если у вас нет приема и / или нет мобильной службы. А поскольку секретный ключ хранится на самом устройстве, он не может быть перехвачен или перенаправлен (например, при передаче номера телефона).
Минусы
Вы не сможете войти в систему, если в вашем устройстве разрядился аккумулятор или он полностью разрядился. Иногда внутренние часы могут рассинхронизироваться между устройством и службой, что приводит к неправильным кодам. Это две причины, почему печать резервных кодов имеет важное значение .
Если хакер каким-то образом клонирует ваш секретный ключ, он может генерировать свои собственные действительные коды по желанию. И если служба не ограничивает попытки входа в систему, хакеры могут по-прежнему иметь возможность скомпрометировать вашу учетную запись с помощью грубой силы.
Способ 4: ключи U2F
Что это такое?
Universal 2nd Factor (U2F) — это открытый стандарт, который используется с USB-устройствами, NFC-устройствами и смарт-картами. Для аутентификации вы просто подключаете его (для USB-ключей), ударяете (для NFC-устройств) или проводите (для смарт-карт).
Плюсы
Ключ U2F — это настоящий физический фактор. В отличие от кодов SMS, они не могут быть перехвачены или перенаправлены. И в отличие от большинства двухфакторных методов, ключи U2F защищены от фишинга, поскольку они зарегистрированы только для работы с сайтами, которые вы зарегистрировали. Это один из самых безопасных методов 2FA, доступных в настоящее время.
Минусы
Поскольку U2F является относительно новой технологией, она еще не получила широкой поддержки. Например, на момент написания этой статьи ключи NFC работают только с мобильными устройствами Android, тогда как ключи USB в основном работают с браузером Chrome (на нем работает Firefox). Ключи U2F также стоят денег, часто от 10 до 20 долларов, но могут подорожать в зависимости от того, насколько прочными вы хотите их видеть.
Способ 5: лицо, голос, отпечаток пальца
Что это такое?
Распознавание лиц, распознавание голоса и сканирование отпечатков пальцев подпадают под категорию биометрии. Системы используют биометрическую аутентификацию, когда необходимо, чтобы вы действительно были тем, кем вы себя называете, часто в областях, где требуется проверка безопасности (например, правительство).
Плюсы
Биометрию крайне сложно взломать. Даже отпечаток пальца, который, возможно, легче всего скопировать, требует некоторого физического взаимодействия. Для распознавания голоса потребуется какое-то утверждение, произнесенное в вашем голосе, а для распознавания лица потребуется нечто столь же радикальное, как пластическая операция. Это не бьется , но довольно близко.
Минусы
Самым большим недостатком и причиной, по которой биометрия редко используется в качестве двухфакторного метода, является то, что скомпрометированная биометрия скомпрометирована на всю жизнь . Кроме того, насколько комфортно вы себя чувствуете, отказываясь от своего лица, голоса или отпечатков пальцев? Доверяете ли вы им, чтобы они были в безопасности? Большинство не будет.
Какой метод двухфакторной аутентификации является лучшим?
Ну, это зависит от того, что вы цените больше всего:
- Для баланса лучше всего использовать временные одноразовые пароли. Вы просто должны быть осторожны с сохранением резервных кодов на случай, если вы потеряете или сломаете свое устройство.
- Для конфиденциальности ключи U2F являются лучшими. Они не могут быть использованы для отслеживания вас, и вам не нужно отказываться от какой-либо личной информации, чтобы использовать их. Но они стоят денег.
- Для удобства SMS-сообщения являются лучшими. Да, они могут быть перехвачены или перенаправлены, и да, они терпят неудачу при плохом приеме, но они быстрые, простые и достаточно безопасные.
