Различните форми на двуфакторни SMS, Autheticator Apps и др
Много онлайн услуги предлагат двуфакторно удостоверяване, което повишава сигурността, като изисква повече от паролата за влизане. Има много различни видове допълнителни методи за удостоверяване, които можете да използвате.
Различните услуги предлагат различни двуфакторни методи за удостоверяване, а в някои случаи можете дори да избирате от няколко различни опции. Ето как работят и как се различават.
SMS проверка
Много услуги ви позволяват да се регистрирате, за да получавате SMS съобщение, когато влезете в профила си. Това SMS съобщение ще съдържа кратък еднократен код, който трябва да въведете. С тази система вашият мобилен телефон се използва като втори метод за удостоверяване. Някой не може просто да влезе в профила ви, ако има парола - те се нуждаят от вашата парола и достъп до вашия телефон или неговите SMS съобщения.
Това е удобно, тъй като не е нужно да правите нищо специално и повечето хора имат мобилни телефони. Някои услуги дори ще наберат телефонен номер и ще имат автоматизирана система, която ще говори код, което ви позволява да го използвате с телефонен номер със стационарен телефон, който не може да получава текстови съобщения..
Въпреки това има големи проблеми с SMS проверката. Нападателите могат да използват SIM суап атаки, за да получат достъп до вашите защитени кодове или да ги пресекат благодарение на недостатъците в клетъчната мрежа. Препоръчваме ви да не използвате SMS съобщения, ако е възможно. Въпреки това, SMS съобщенията все още са много по-сигурни, отколкото ако не използвате никаква двуфакторна автентификация!
Кодове, генерирани от приложения (като например Google Authenticator и Authy)
Можете също да генерирате своите кодове от приложение на телефона си. Най-широко известното приложение, което прави това, е Google Authenticator, който Google предлага за Android и iPhone. Ние обаче предпочитаме Authy, което прави всичко, което Google Authenticator прави - и повече. Въпреки името, тези приложения използват отворен стандарт. Например, в приложението Google Authenticator е възможно да се добавят профили на Microsoft и много други типове профили.
Инсталирайте приложението, сканирайте кода при създаването на нов профил и това приложение ще генерира нови кодове приблизително на всеки 30 секунди. Ще трябва да въведете текущия код, показан в приложението на телефона ви, както и паролата си, когато влезете в профил.
Това изобщо не изисква клетъчен сигнал, а „семето“, което позволява на приложението да генерира тези ограничени във времето кодове, се съхранява само на вашето устройство. Това означава, че е много по-сигурно, тъй като дори някой, който получи достъп до вашия телефонен номер или прехваща текстовите ви съобщения, няма да знае кодовете ви.
Някои услуги - например, Blizzard's Battle.net Authenticator - също имат свои собствени приложения за генериране на код.
Ключове за физическо удостоверяване
Физическите ключове за удостоверяване са друга опция, която започва да става все по-популярна. Големите компании от технологичния и финансовия сектор създават стандарт, известен като U2F, и вече е възможно да използвате физически U2F токен, за да защитите вашите Google, Dropbox и GitHub акаунти. Това е само малък USB ключ, който поставяте на вашия ключодържател. Всеки път, когато искате да влезете в профила си от нов компютър, ще трябва да поставите USB ключа и да натиснете бутон на него. Това е - без кодове за писане. В бъдеще тези устройства трябва да работят с NFC и Bluetooth за комуникация с мобилни устройства без USB портове.
Това решение работи по-добре от SMS проверката и еднократните кодове, тъй като не може да бъде прихванато и объркано. Също така е по-лесно и по-удобно за използване. Например сайт за фишинг може да ви покаже фалшива страница за вход в Google и да заснемете кода ви за еднократна употреба, когато се опитвате да влезете в системата. След това те могат да използват този код, за да влязат в Google. Но с физически ключ за удостоверяване, който работи съвместно с браузъра ви, браузърът може да гарантира, че комуникира с реалния уебсайт и кодът не може да бъде заловен от атакуващия.
Очаквайте да видите много повече от тях в бъдеще.
Удостоверяване на базата на приложения
Някои мобилни приложения могат да предоставят двуфакторно удостоверяване чрез самото приложение. Например Google вече предлага дву-факторно удостоверяване без код, стига да имате инсталирано приложението Google на телефона ви. Всеки път, когато се опитвате да влезете в Google от друг компютър или устройство, просто трябва да докоснете бутон на телефона си, без да е необходим код. Google проверява дали имате достъп до телефона си, преди да се опитате да влезете.
Двустепенната проверка на Apple работи подобно, въпреки че не използва приложение - тя използва самата операционна система iOS. Всеки път, когато се опитвате да влезете от ново устройство, можете да получите еднократен код, изпратен до регистрирано устройство, като вашия iPhone или iPad. Мобилното приложение на Twitter има подобна функция, наречена и проверка за влизане. Google и Microsoft добавиха тази функция към приложенията за смартфони на Google и Microsoft Authenticator.
Системи, базирани на електронна поща
Другите услуги разчитат на вашия имейл акаунт, за да ви удостоверят. Например, ако активирате Steam Guard, Steam ще ви подкани да въведете еднократен код, изпратен до вашия имейл всеки път, когато влезете от нов компютър. Това гарантира, че нападателят ще се нуждае и от паролата за профила си в Steam, и от достъпа до имейл профила ви, за да получи достъп до него.
Това не е толкова сигурно, колкото другите два метода за проверка, тъй като може да е лесно за някой да получи достъп до имейл профила ви, особено ако не използвате двуетапна проверка на него! Избягвайте проверка на базата на имейли, ако можете да използвате нещо по-силно. (За щастие Steam предлага удостоверяване на базата на приложения в мобилното си приложение.)
Последният курорт: Кодове за възстановяване
Кодовете за възстановяване осигуряват предпазна мрежа в случай, че изгубите двуфакторния метод за удостоверяване. Когато настройвате двуфакторната автентификация, обикновено ще получавате кодове за възстановяване, които трябва да записвате и съхранявате на сигурно място. Ще имате нужда от тях, ако някога загубите метода си за потвърждаване в две стъпки.
Уверете се, че някъде имате копие на кодовете за възстановяване, ако използвате удостоверяване от две стъпки.
Няма да намерите много опции за всеки от профилите си. Много услуги обаче предлагат няколко метода за потвърждаване в две стъпки, от които можете да избирате.
Има и възможност за използване на множество двуфакторни методи за удостоверяване. Ако например създадете приложение, генериращо код, и физически ключ за защита, можете да получите достъп до профила си чрез приложението, ако някога загубите физическия ключ.