מהי אימות דו-גורמי ומדוע אני צריך את זה?

תוכן ללא הכנסה

יותר ויותר בנקים, חברות כרטיסי אשראי, ואפילו רשתות מדיה חברתית ואתרי משחקים מתחילים להשתמש באימות דו-גורמי. אם אתה קצת לא ברור מה זה או מדוע אתה רוצה להתחיל להשתמש בו, המשך לקרוא כדי ללמוד כיצד אימות דו-גורמי יכול לשמור על אבטחת הנתונים שלך.

מהו בדיוק אימות דו-גורמי?

How-To Geek קורא ג'ורדן כותב בשאלה ישר:

אני שומע יותר ויותר על אימות דו-גורמי. אני זוכר במעורפל את גוגל שעשתה עניין גדול בנושא בשנה שעברה, הבנק שלי הציע לאחרונה דבר בחיוג מפתחות חינם ללקוחות מוערכים, ולשותפי לחדר יש אפילו איזו אפליקציה בטלפון שלו כדי למנוע מחשבון הדיאבלו השלישי שלו להיפרץ. אני מבין שזה כלי אבטחה כלשהו, ​​אבל מה זה בעצם והייתי צריך להשתמש בו?

על מנת להבין מה זה אימות דו-גורמי, בואו נסתכל תחילה על אימות של גורם אחד ונשווה אותו למודלים ביטחוניים אמיתיים ווירטואליים כאחד.

כשאתה חוזר הביתה מהעבודה, שולף את המפתחות ופותח את הדלת האחורית שלך, אתה עוסק באימות פשוט של גורם אחד. לדלת ולמכלול המנעולים לא אכפת אם מי שמחזיק את המפתח הוא אתה, שכן שלך, או פושע שהרים את המפתחות שלך. הדבר היחיד שלמנעול אכפת הוא שהמפתח מתאים (אין צורך בשני מקשים, מפתח וטביעת אצבע, או כל שילוב אחר של צ'קים). המפתח הפיזי הוא האישור היחיד שמאפשר לאדם שנושא בו לפתוח את הדלת.

אותה רמה של אימות של גורם אחד מתרחשת כשאתה מתחבר לאתר או שירות שפשוט דורש את הכניסה והסיסמה שלך. אתה מחבר את המידע הזה והוא קיים כבדיקה היחידה שאתה, למעשה, אתה.

בהנחה שאף אחד לא גונב את המפתחות שלך או סדק / גונב את הסיסמה שלך, אתה במצב טוב. בעוד שמפתחות הגניבה שלך הם סיכון נמוך למדי, האבטחה הווירטואלית מורכבת יותר (ובניגוד להפרות אבטחה מקוונות. מנהל מתחם הדירות שלך, למשל, לעולם לא היה מעתיק בטעות את כל המפתחות ומשאיר אותם עם שמך וכתובתך בפינת רחוב. ).

הפרות אבטחה, התקפות מתוחכמות ועוד היבטים מצערים אך אמיתיים מדי של עבודה ומשחק במרחב וירטואלי מחייבים שיפור בפרקטיקות האבטחה הכוללות סיסמאות מורכבות מרובות ומגוונות, וכאשר קיימות אימות דו-גורמי.

מהי אימות דו-גורמי ואיך זה נראה לך, משתמש הקצה? במינימום אימות של שני גורמים נדרש שניים מתוך שלושה משתני אימות שאושרו על ידי הרגולציה כגון:

• משהו שאתה יודע (כמו ה- PIN בכרטיס הבנק שלך או בסיסמת הדוא"ל שלך).
• משהו שיש לך (כרטיס הבנק הפיזי או אסימון מאמת).
• משהו שאתה נמצא (ביומטריה כמו טביעת האצבע שלך או דפוס הקשתית).

אם אי פעם השתמשת בכרטיס חיוב, השתמשת בצורה פשוטה של ​​אימות דו-גורמי: זה לא מספיק לדעת את ה- PIN או לקבל את הכרטיס פיזית, אתה צריך להחזיק את שניהם כדי לגשת לחשבון הבנק שלך באמצעות מכונת הכספומט.

אימות דו-גורמי יכול ללבוש מגוון צורות ועדיין לעמוד בדרישת 2 מתוך 3. יכול להיות אסימון פיזי, כמו אלה שנמצאים בשימוש נרחב בבנקאות, שם נוצר לך קוד אוויר. כדי להתחבר אתה זקוק לשם המשתמש, הסיסמה והקוד הייחודי שלך (שתוקפו פג כל 30 שניות בערך). חברות אחרות מדלגות על מסלול החומרה המותאם אישית ומספקות אפליקציות טלפון סלולרי (או קודים שמועברים ב- SMS) המספקות את אותה פונקציונליות. אמנם לא נפוץ במיוחד, אך אתה יכול גם להשתמש באימות דו-גורמי המבוסס על ביומטריה (כגון אבטחה של קובץ מוצפן באמצעות סיסמה וטביעת אצבע).

מדוע עלי להשתמש בו והיכן אוכל למצוא אותו?

בכל פעם שאתה מציג שכבה נוספת לשגרת האבטחה שלך, אתה תמיד צריך לשאול את עצמך אם הטרחה ראויה. אימות רב-גורמי לפורום דיונים על מכוניות שרירים שאינו מכיל מידע אישי ואינו מקושר בשום דרך לדוא"ל האמיתי שלך או למידע הכספי שלך הוא כמובן מוגזם. עם זאת, שכבת אימות שנייה עבור כרטיס האשראי או חשבון הדואר האלקטרוני העיקרי שלך היא פשוט מעשית - הטראומה האישית והכלכלית שנובעת מגנב זהות או מגוף זדוני אחר שיש לו גישה לדברים גדולים בהרבה על הטרחה הקלה בהזנת קצת מידע נוסף.

בכל עת אימות דו-גורמי זמין למערכת והמערכת שנפגעת תגרום לך סבל משמעותי, עליך לאפשר זאת. פגיעת הדוא"ל שלך פותחת בפניך שירותים אחרים שנפגעים כשרתי דואר אלקטרוני כמעין מפתח ראשי לגישה לאיפוס סיסמאות ובירורים אחרים. אם הבנק שלך מספק מאמת נייד או כלי אחר, נצל זאת. אפילו עבור דברים כמו חשבון השותפים שלך דיאבלו השלישי - שחקנים מבלים מאות שעות בבניית הדמויות שלהם ולעתים קרובות מוציאים כסף אמיתי ברכישת מוצרים במשחק, ואובדן כל העבודה והציוד הזה הוא הצעה נוראית, טפח מאמת על חשבונך!

לא כל שירות מציע אימות דו-גורמי, למרבה הצער. הדרך הטובה ביותר לברר זאת היא לחפור בשאלות הנפוצות / קבצי התמיכה ו / או ליצור קשר עם צוות התמיכה לקבלת השירות המדובר. עם זאת, חברות רבות מדברות על אימוץ תוכניות אימות מרובות גורמים.

גוגל יש אימות דו-גורמי הן עבור SMS והן עם אפליקציה ניידת שימושית - לקרוא המדריך שלנו להתקנה ולהגדרת התצורה של האפליקציה לנייד כאן .

LastPass מציע צורות מרובות של אימות רב גורמים לְרַבּוֹת באמצעות מאמת גוגל . יש לנו מדריך להגדרת התצורה כאן .

לפייסבוק יש מערכת דו-גורמית בשם " אישורי התחברות ”המשתמש ב- SMS כדי לאשר את זהותך.

SpiderOak, שירות אחסון כמו Dropbox, מציע אימות דו-גורמי .

בליזארד, החברה שעומדת מאחורי משחקים כמו World of Warcraft ודיאבלו, יש מאמת חינם .

גם אם זה נראה כאילו, על סמך קריאת קובץ השאלות הנפוצות של החברה המדוברת, אין להם אימות דו-גורמי, יורים להם במייל ושואלים. ככל שאנשים יותר שואלים על שני גורמים, כך הסיכוי הגבוה יותר היא שהחברה תיישם אותה.

---

אמנם אימות דו-גורמי אינו פגיע לתקיפה (התקפה מתוחכמת של איש באמצע או מישהו שגונב את אסימון האימות המשני שלך ו מכים אותך עם צינור יכול לפצח אותו), זה בטוח יותר באופן קיצוני מאשר להסתמך על סיסמה רגילה ופשוט אם מערכת דו-גורמית מופעלת הופכת אותך ליעד הרבה פחות משכנע.

מכיר שירות גדול או קטן שמציע אימות דו-גורמי? נשמע בתגובות כדי להזהיר את חבריך לקוראים.