Όλο και περισσότερες τράπεζες, εταιρείες πιστωτικών καρτών, ακόμη και δίκτυα κοινωνικών μέσων και ιστότοποι τυχερών παιχνιδιών αρχίζουν να χρησιμοποιούν έλεγχο ταυτότητας δύο παραγόντων. Εάν είστε λίγο ασαφείς σχετικά με το τι είναι ή για ποιο λόγο θέλετε να αρχίσετε να το χρησιμοποιείτε, διαβάστε για να μάθετε πώς ο έλεγχος ταυτότητας δύο παραγόντων μπορεί να διατηρήσει τα δεδομένα σας ασφαλή.
Τι είναι ακριβώς ο έλεγχος ταυτότητας δύο παραγόντων;
Ο αναγνώστης How-To Geek Jordan γράφει με μια απλή ερώτηση:
Ακούω όλο και περισσότερο τον έλεγχο ταυτότητας δύο παραγόντων. Θυμάμαι αόριστα ότι η Google έκανε μια μεγάλη υπόθεση πέρυσι, η τράπεζά μου πρόσφερε πρόσφατα ένα δωρεάν μπρελόκ για πελάτες που εκτιμούν και ο συγκάτοικος μου έχει ακόμη και κάποιο είδος εφαρμογής στο τηλέφωνό του για να αποτρέψει την παραβίαση του λογαριασμού του στο Diablo III. Παίρνω ότι είναι ένα είδος εργαλείου ασφαλείας, αλλά τι ακριβώς είναι και πρέπει να το χρησιμοποιώ;
Για να κατανοήσουμε τι είναι ο έλεγχος ταυτότητας δύο παραγόντων, ας ρίξουμε μια πρώτη ματιά σε τι είναι ο έλεγχος ταυτότητας ενός παράγοντα και να τον συγκρίνουμε με πραγματικά και εικονικά μοντέλα ασφαλείας.
Όταν επιστρέφετε στο σπίτι από τη δουλειά, βγάζετε τα κλειδιά σας και ξεκλειδώνετε την πίσω πόρτα σας, ασχολείστε με έναν απλό έλεγχο ταυτότητας ενός παράγοντα. Η πόρτα και το συγκρότημα κλειδαριών δεν με νοιάζει εάν το άτομο που κρατά το κλειδί είναι εσείς, ο γείτονάς σας ή εγκληματίας που σήκωσε τα κλειδιά σας. Το μόνο που φροντίζει η κλειδαριά είναι ότι το κλειδί ταιριάζει (δεν χρειάζεστε δύο κλειδιά, ένα κλειδί και ένα δακτυλικό αποτύπωμα ή οποιονδήποτε άλλο συνδυασμό επιταγών). Το φυσικό κλειδί είναι η μοναδική επιβεβαίωση ότι επιτρέπεται στο άτομο που το χρησιμοποιεί να ανοίξει την πόρτα.
Το ίδιο επίπεδο ελέγχου ταυτότητας ενός παράγοντα εμφανίζεται όταν συνδέεστε σε έναν ιστότοπο ή μια υπηρεσία που απαιτεί απλώς τη σύνδεση και τον κωδικό πρόσβασής σας. Συνδέετε αυτές τις πληροφορίες και υπάρχει ως ο μόνος έλεγχος ότι στην πραγματικότητα είστε εσείς.
Αν υποθέσουμε ότι κανείς δεν κλέβει ποτέ τα κλειδιά σας ή σπάει / κλέβει τον κωδικό πρόσβασής σας, είστε σε καλή κατάσταση. Ενώ το κλοπή των κλειδιών σας είναι αρκετά χαμηλού κινδύνου, η εικονική ασφάλεια είναι πιο περίπλοκη (και σε αντίθεση με παραβιάσεις ασφάλειας στο διαδίκτυο. Για παράδειγμα, ο διαχειριστής του συγκροτήματος διαμερισμάτων σας δεν θα αντιγράψει κατά λάθος όλα τα κλειδιά και θα τα αφήσει με το όνομα και τη διεύθυνσή σας σε μια γωνιά του δρόμου) ).
Παραβιάσεις ασφάλειας, εξελιγμένες επιθέσεις και άλλες ατυχείς, αλλά όλες οι πολύ αληθινές πτυχές της εργασίας και του παιχνιδιού σε έναν εικονικό χώρο απαιτούν βελτιωμένες πρακτικές ασφάλειας, συμπεριλαμβανομένων πολλαπλών και διαφορετικών πολύπλοκων κωδικών πρόσβασης και, όταν διατίθενται, ελέγχου ταυτότητας δύο παραγόντων.
Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και πώς μοιάζει με εσάς, τον τελικό χρήστη; Τουλάχιστον ο έλεγχος ταυτότητας δύο παραγόντων απαιτεί δύο από τις τρεις μεταβλητές ελέγχου ταυτότητας που έχουν εγκριθεί από το κανονιστικό πλαίσιο, όπως:
- Κάτι που γνωρίζετε (όπως το PIN στην τραπεζική σας κάρτα ή τον κωδικό πρόσβασης email).
- Κάτι που έχετε (η φυσική τραπεζική κάρτα ή ένα διακριτικό ελέγχου ταυτότητας).
- Κάτι είστε (βιομετρικά όπως το δακτυλικό σας αποτύπωμα ή το μοτίβο της ίριδας).
Εάν έχετε χρησιμοποιήσει ποτέ χρεωστική κάρτα, έχετε χρησιμοποιήσει μια απλή μορφή ελέγχου ταυτότητας δύο παραγόντων: δεν αρκεί να γνωρίζετε το PIN ή να έχετε φυσικά την κάρτα, πρέπει να έχετε και τα δύο για να αποκτήσετε πρόσβαση στον τραπεζικό λογαριασμό σας μέσω το μηχάνημα ΑΤΜ.
Ο έλεγχος ταυτότητας δύο παραγόντων μπορεί να λάβει διάφορες μορφές και εξακολουθεί να πληροί την απαίτηση 2-από-3. Μπορεί να υπάρχει ένα φυσικό διακριτικό, όπως αυτά που χρησιμοποιούνται ευρέως στις τραπεζικές συναλλαγές, όπου δημιουργείται ένας κωδικός over-the-air για εσάς. Για να συνδεθείτε χρειάζεστε το όνομα χρήστη, τον κωδικό πρόσβασης και τον μοναδικό κωδικό (που έληγε κάθε 30 δευτερόλεπτα περίπου). Άλλες εταιρείες παραλείπουν τη διαδρομή προσαρμοσμένου υλικού και παρέχουν εφαρμογές για κινητά τηλέφωνα (ή κωδικούς που παρέχονται μέσω SMS) που παρέχουν την ίδια λειτουργικότητα. Αν και δεν είναι ιδιαίτερα συνηθισμένο, θα μπορούσατε επίσης να χρησιμοποιήσετε έλεγχο ταυτότητας δύο παραγόντων βάσει βιομετρικών στοιχείων (όπως ασφάλεια ενός κρυπτογραφημένου αρχείου μέσω κωδικού πρόσβασης και δακτυλικών αποτυπωμάτων).
Γιατί να το χρησιμοποιήσω και πού μπορώ να το βρω;
Κάθε φορά που εισάγετε ένα επιπλέον επίπεδο στη ρουτίνα ασφαλείας σας, πρέπει πάντα να αναρωτιέστε εάν η ταλαιπωρία αξίζει. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων για ένα φόρουμ συζήτησης μυϊκών αυτοκινήτων που δεν περιέχει προσωπικά στοιχεία και δεν συνδέεται με κανέναν τρόπο με το πραγματικό email ή τις οικονομικές σας πληροφορίες είναι προφανώς υπερβολικό. Ωστόσο, η ύπαρξη ενός δεύτερου επιπέδου ελέγχου ταυτότητας για την πιστωτική σας κάρτα ή τον κύριο λογαριασμό email σας είναι απλώς πρακτική - το προσωπικό και οικονομικό τραύμα που θα προκύψει από έναν κλέφτη ταυτότητας ή άλλη κακόβουλη οντότητα που έχει πρόσβαση σε αυτά τα πράγματα υπερτερεί της μικρής ταλαιπωρίας της εισαγωγής ενός επιπλέον πληροφορίες.
Κάθε φορά που διατίθεται έλεγχος ταυτότητας δύο παραγόντων για ένα σύστημα και ότι το σύστημα που έχει τεθεί σε κίνδυνο θα σας προκαλούσε σημαντική ταλαιπωρία, πρέπει να το ενεργοποιήσετε. Η παραβίαση του email σας ανοίγει σε άλλες υπηρεσίες που διακυβεύονται ως διακομιστές email ως είδος κύριου κλειδιού για πρόσβαση σε επαναφορές κωδικού πρόσβασης και άλλες ερωτήσεις. Εάν η τράπεζά σας παρέχει έλεγχο ταυτότητας για κινητά ή άλλο εργαλείο, επωφεληθείτε από αυτήν. Ακόμα και για πράγματα όπως ο λογαριασμός σας στο συγκρότημα Diablo III — οι παίκτες ξοδεύουν εκατοντάδες ώρες δημιουργώντας τους χαρακτήρες τους και συχνά ξοδεύουν πραγματικά χρήματα αγοράζοντας αγαθά εντός παιχνιδιού, χάνοντας όλη αυτή την εργασία και τα εργαλεία είναι μια φοβερή πρόταση, χτυπήστε έναν αυθεντικό στον λογαριασμό σας!
Δυστυχώς, κάθε υπηρεσία δεν προσφέρει έλεγχο ταυτότητας δύο παραγόντων. Ο καλύτερος τρόπος για να μάθετε είναι να ψάξετε μέσα από τα FAQ / αρχεία υποστήριξης ή / και να επικοινωνήσετε με το προσωπικό υποστήριξης για την εν λόγω υπηρεσία. Τούτου λεχθέντος, πολλές εταιρείες εκφράζουν τη φωνή τους για την υιοθέτηση συστημάτων ελέγχου ταυτότητας πολλαπλών παραγόντων.
Google διαθέτει έλεγχο ταυτότητας δύο παραγόντων, τόσο για SMS όσο και με μια εύχρηστη εφαρμογή για κινητά ο οδηγός μας για την εγκατάσταση και τη διαμόρφωση της εφαρμογής για κινητά εδώ .
Προσφορές LastPass πολλαπλές μορφές ελέγχου ταυτότητας πολλών παραγόντων συμπεριλαμβανομένου χρησιμοποιώντας τον Επαληθευτή Google . Εχουμε ένα οδηγός για τη διαμόρφωσή του εδώ .
Το Facebook διαθέτει ένα σύστημα δύο παραγόντων που ονομάζεται « εγκρίσεις σύνδεσης Που χρησιμοποιεί SMS για να επιβεβαιώσει την ταυτότητά σας.
Το SpiderOak, μια υπηρεσία αποθήκευσης σαν Dropbox, προσφέρει έλεγχος ταυτότητας δύο παραγόντων .
Blizzard, η εταιρεία πίσω από παιχνίδια όπως το World of Warcraft και Diablo, έχει δωρεάν έλεγχο ταυτότητας .
Ακόμα κι αν φαίνεται, με βάση την ανάγνωση του αρχείου FAQ της εν λόγω εταιρείας, δεν έχουν έλεγχο ταυτότητας δύο παραγόντων, τραβήξτε τους ένα email και ρωτήστε. Όσο περισσότεροι άνθρωποι ρωτούν για δύο παράγοντες, τόσο περισσότερες πιθανότητες θα την εφαρμόσει η εταιρεία.
Ενώ ο έλεγχος ταυτότητας δύο παραγόντων δεν είναι άτρωτος στην επίθεση (μια εξελιγμένη επίθεση man-in-the-middle ή κάποιος που κλέβει το δευτερεύον διακριτικό ελέγχου ταυτότητας και σε ξυλοδαρμό με έναν σωλήνα θα μπορούσε να το σπάσει), είναι ριζικά πιο ασφαλές από το να βασίζεστε σε έναν κανονικό κωδικό πρόσβασης και απλώς η ενεργοποίηση ενός συστήματος δύο παραγόντων σας κάνει πολύ λιγότερο συναρπαστικό στόχο.
Γνωρίζετε μια υπηρεσία, μεγάλη ή μικρή, που προσφέρει έλεγχο ταυτότητας δύο παραγόντων; Απενεργοποιήστε τα σχόλια για να ειδοποιήσετε τους συναδέλφους σας αναγνώστες.
