En sammenligning av tofaktors autentiseringsmetoder: Hvilke er best for deg?

[ware_item id=33][/ware_item]

En mann skriver inn en kode i den to-faktorige autentiseringsmodulen ting.


To-faktor autentisering gjør det umulig for hackere å bryte inn kontoene dine med brute-force og til og med beskytter deg hvis hackerne får passordet ditt. Det kan til og med hjelpe til med å låse kontoen din hvis legitimasjonen din er blitt phished tidligere.

Kort sagt, to-faktor autentisering (2FA) er viktig.

Men hvilken tofaktors autentiseringsmodell skal du velge? Nesten alle tjenester tilbyr engangs passord via tekstmelding levert til telefonen din. Mange har også engangs passord generert på din mobile enhet (ved å bruke Google Authenticator, Authy eller til og med Facebook).

Noen få tjenester vil gi deg muligheten til å koble til en maskinvareenhet, og det er avveining mellom alternativene. Denne bloggen forklarer hva disse valgene er, hva du må være forsiktig med og hva som er best for deg.

Hvorfor er tofaktorautentisering overlegen?

Det er vanskelig, om ikke umulig å merke et sprukket eller stjålet passord. Et stjålet eller sprukket passord lar en angriper få tilgang til kontoen din i en hvilken som helst periode, ubemerket eller låse deg helt ut.

På samme måte kan du stole kun på en enhet for å logge deg på, hvis du er stjålet. Selv om du raskere ville innse at du har blitt kompromittert.

Å kombinere noe du vet og noe dere har sammen, gjør det imidlertid langt mindre skadelig hvis passordet ditt er sprukket eller enheten din blir stjålet. Hvis du mister enheten din, kan ikke tyven eller finneren få tilgang til kontoene dine uten passord. Og hvis passordet ditt er sprukket, kan ingen få tilgang til kontoen din uten enheten.

2FA beste metoder

Faktorer du må vurdere når du velger tofaktorautentisering

Teorien om autentisering av identitet definerer vanligvis tre faktorer:

  • Noe du vet
  • Noe du har
  • Noe du er

Oftest blir brukere på internett identifisert gjennom noe de vet. Dette er vanligvis et passord, men kan også være et sikkerhetsspørsmål.

Risikoen med "noe du vet" er at du kan glemme, eller ikke er den eneste som vet, f.eks. fordi du frivillig eller ufrivillig delte kunnskapen. Det kan også være mulig for en tredjepart å få denne kunnskapen på andre måter, kanskje ved å se på sosiale medier for å få svaret på vanlige sikkerhetsspørsmål "Hva er ditt favorittkjæledyr?" Eller "Hvilken gate vokste du opp i?"

En annen faktor er "noe du har," som kan være en sikkerhetsnøkkel eller simkort. Ofte brukes denne andre faktoren som en tilbakestilling av sikkerhetskopien i tilfelle du glemmer passordet.

Den tredje faktoren er "noe du er." Dette kan være fingeravtrykket eller ansikts- og stemmegjenkjenning og brukes sjelden utenfor militære fasiliteter.

Bare når to av disse faktorene, eller flere faktorer, Er pålagt samtidig for autentisering snakker vi om to-faktor eller multifaktor-autentisering.

Vanlige metoder for tofaktorautentisering

1. Tekstmelding

sikkerhets personvern-access-en

Hva du har: Et SIM-kort
Den vanligste formen for tofaktorautentisering er mobiltelefonen. Nesten alle har en mobiltelefon og holder den med seg til enhver tid, noe som gjør dette til et populært og praktisk valg for leverandører og brukere.

Hva skjer når du mister det: Hvis du har en månedlig plan, kan du låse det gamle SIM-kortet og skaffe et nytt fra leverandøren din. Det er fare for å miste tilgang til kontoen din når du reiser hvis tekstmeldinger ikke kan komme igjennom.

Sikkerhetsrisiko: Noen leverandører gjør det veldig trivielt for noen andre å skaffe seg et nytt SIM-kort på dine vegne, eller enda verre, klone ditt SIM-kort. Mange tilbydere gjør det også mulig for en angriper å viderekaste tekstmeldinger til et annet nummer, i det vesentlige å omgå din beskyttelse.

Nasjonalstater kan lese eller viderekoble tekstmeldinger som er sendt til deg, noe som gjør det mulig for dem å omgå sikkerheten din. I tillegg er det risikoen for angrep på midten av midten, hvis du legger inn tekstmeldingen til feil tjeneste.

Personvernrisiko: Kontrakter knytter nødvendigvis navnet ditt til hver tjeneste du har brukt telefonen din til å registrere deg. Forhåndsbetalte telefonkontrakter erstatter imidlertid ikke et tapt SIM-kort. Uansett kan mobiltelefonselskapet spore hvor du er og hvem du mottar koder fra.

2. Autentiseringsapper

sikkerhets personvern-access-2

Hva du har: Telefonen din med en app installert.
Når du bruker en autentiseringsapp (f.eks. Google Authenticator eller Authy), vil tjenesten du konfigurerer 2FA med kommunisere en hemmelig kode med deg, vanligvis i form av en QR-kode. Skann denne koden med autentiseringsappen, og deretter genererer appen din tilfeldige koder som endres hvert par sekunder. Du trenger denne koden hver gang du logger deg på en tjeneste.

Hva skjer når du mister det: Noen tjenester gjør det praktisk for deg å ta sikkerhetskopi av denne koden, så i tilfelle du ved et uhell sletter godkjenningsappen, mister eller ødelegger telefonen, kan du bare konfigurere den igjen. Andre tjenester oppfordrer deg til å lagre unike sikkerhetskoder som du kan bruke i tilfelle du mister tilgangen til autentiseringsappen din.

Dette reiser selvfølgelig spørsmålet om hvor du kan lagre sikkerhetskopikodene. Ofte er et stykke papir det beste alternativet, men hvor er et trygt sted å oppbevare det?

Merk: Så lenge telefonen har strøm, vil appen generere koder for deg. Telefonen trenger ikke å ha internett mens den genererer kodene.

Sikkerhetsrisiko: Hvis noen klarer å skreve QR-koden, eller på annen måte å avlytte den hemmelige nøkkelen, kan de generere de samme kodene i autentiseringsappen sin. I likhet med tekstmeldinger, er det risikoen for angrep på midten av midten hvis du oppgir passordet ditt på feil nettsted.

Personvernrisiko: Hvis autentiseringsappen din krever at du registrerer deg med e-postadressen din, kan dette hjelpe en angriper å koble kontoer sammen. Generelt sett har en autentiseringsapp liten personvernrisiko.

3. Maskinvarenøkler

sikkerhets personvern-access-3

Hva du har: En maskinvarenøkkel som er kompatibel med FIDO U2F-standarden.
Denne nøkkelen, som ofte ser ut som en liten USB-pinne, inneholder en liten brikke som sikkert lagrer en privat nøkkel.

Når du har koblet til og registrert enheten med en tjeneste, vil den offentlige nøkkelen signere meldinger på en måte som tjenesten kan bekrefte. I motsetning til tekstmeldinger eller autentiseringsapper, er det ingen risiko for angrep mellom mennesker fordi den fysiske maskinvarenøkkelen er nødvendig for å autentisere tjenesten.

I motsetning til tekstmeldinger eller autentiseringsapper, er maskinvarenøkler ikke gratis. Men ettersom den dominerende FIDO U2F-standarden er en åpen standard, er det rikelig med konkurranse blant forskjellige produsenter. Produktene kan variere mellom USD 5 og USD 120 med en medfølgende Bitcoin-lommebok for maskinvare.

Hva skjer når du mister det: Hvis du har råd til det, er en annen maskinvarenøkkel en god ide. Ellers, likt autentiseringsapper, kan du laste ned sikkerhetskopikoder som gir deg tilgang til kontoen din.

Sikkerhetsrisiko: Maskinvarenøklene utmerker seg med sikkerhet så mye at hvis de er riktig implementert kan eliminere phishing-angrep fullstendig. Foreløpig krever de fleste tjenester som tilbyr maskinvarenøkkelregistrering også en autentiseringsapp eller telefonnummer. Det er disse svake koblingene som sannsynligvis også vil bli dine sikkerhetstrusler.

Personvernrisiko: Kjøp enheten med kontanter eller Bitcoin for absolutt. Generelt er ingen maskinvarenøkkel noen personvernrisiko, da den vil opprette et nytt nøkkelpar for hver konto.

Maskinvarenøkler er best for 2FA, men ikke alle vil godta dem

Maskinvarenøkler vinner fra et sikkerhetsperspektiv, de er private og påvirkes ikke av en døende eller utenfor rekkevidde telefon. Imidlertid er det bare noen få tjenester (Google, Dropbox, Facebook, Github og noen få andre) som støtter standarden så langt.

Med mindre du stoler på telefonleverandøren din (og få leverandører er pålitelige), en autentiseringsapp er det beste alternativet.

En sammenligning av tofaktors autentiseringsmetoder: Hvilke er best for deg?
admin Author
Sorry! The Author has not filled his profile.