Flere og flere banker, kredittkortselskaper og til og med sosiale medier og spillnettsteder begynner å bruke tofaktorautentisering. Hvis du er litt uklar på hva det er eller hvorfor du vil begynne å bruke det, kan du lese videre for å lære hvordan tofaktorautentisering kan holde dataene dine sikre.
Hva er nøyaktig er tofaktorautentisering?
How-To Geek-leser Jordan skriver inn med et rett frem spørsmål:
Jeg hører mer og mer om tofaktorautentisering. Jeg husker vagt at Google gjorde en stor avtale om det i fjor, banken min tilbød nylig en gratis nøkkelring for verdsatte kunder, og romkameraten har til og med en slags app på telefonen sin for å hindre at Diablo III-kontoen hans blir hacket. Jeg forstår at det er et slags sikkerhetsverktøy, men hva er det egentlig, og skal jeg bruke det?
For å forstå hva tofaktorautentisering er, la oss først ta en titt på hva enfaktorautentisering er og sammenligne den med både virkelige og virtuelle sikkerhetsmodeller.
Når du kommer hjem fra jobb, trekker ut nøklene og låser opp bakdøren, er du i gang med enkel enfaktorautentisering. Døren og låsenheten bryr seg ikke om personen som holder nøkkelen, er deg, naboen eller en kriminell som løftet nøklene dine. Det eneste låsen bryr seg om er at nøkkelen passer (du trenger ikke to nøkler, en nøkkel og et fingeravtrykk, eller noen annen kombinasjon av sjekker). Den fysiske nøkkelen er den eneste bekreftelsen på at personen som bruker den har lov til å åpne døren.
Samme nivå med enfaktorautentisering oppstår når du logger inn på et nettsted eller en tjeneste som bare krever pålogging og passord. Du kobler den informasjonen til, og den eksisterer som den eneste sjekken om at du faktisk er deg.
Forutsatt at ingen stjeler nøklene dine eller sprekker / stjeler passordet ditt, er du i god form. Mens nøklene dine blir stjålet er en ganske lav risiko, er virtuell sikkerhet mer kompleks (og i motsetning til sikkerhetsbrudd på nettet. Din forvalter av leilighetskomplekset, for eksempel, ville aldri ved et uhell kopiere alle nøklene og legge dem igjen med navn og adresse på et gatehjørne. ).
Sikkerhetsbrudd, sofistikerte angrep og andre uheldige, men altfor reelle aspekter ved å jobbe og spille i et virtuelt rom, krever forbedret sikkerhetspraksis inkludert flere og mangfoldige komplekse passord og, hvis tilgjengelig, tofaktorautentisering.
Hva er tofaktorautentisering og hvordan ser det ut for deg, sluttbruker? I det minste krever tofaktorautentisering to av tre godkjente reguleringsgodkjenningsvariabler som:
- Noe du vet (som PIN-koden på bankkortet ditt eller e-postpassordet).
- Noe du har (det fysiske bankkortet eller et godkjenningstoken).
- Noe du er (biometri som fingeravtrykk eller irismønster).
Hvis du noen gang har brukt et debetkort, har du brukt en enkel form for tofaktorautentisering: det er ikke nok å vite PIN-koden eller fysisk ha kortet, du må ha begge deler for å få tilgang til bankkontoen din via minibanken.
Tofaktorautentisering kan ha forskjellige former og fremdeles oppfylle 2-av-3-kravet. Det kan være et fysisk token, for eksempel de som er mye brukt i bankvirksomhet, der det genereres en luftkode for deg. For å logge inn trenger du brukernavn, passord og den unike koden (som utløp hvert 30. sekund). Andre selskaper hopper over den tilpassede maskinvareruten og leverer mobilapper (eller SMS-leverte koder) som gir samme funksjonalitet. Selv om det ikke er spesielt vanlig, kan du også bruke tofaktorautentisering basert på biometri (for eksempel sikkerhet for en kryptert fil via passord og fingeravtrykk).
Hvorfor skal jeg bruke den, og hvor kan jeg finne den?
Hver gang du introduserer et ekstra lag i sikkerhetsrutinen din, må du alltid spørre deg selv om bryet er fortjent. Multifaktorautentisering for et diskusjonsforum for muskelbiler som ikke inneholder personlig informasjon og på ingen måte er knyttet til din virkelige e-post eller økonomisk informasjon, er åpenbart overkill. Å ha et nytt autentiseringslag for kredittkortet eller den primære e-postkontoen din er imidlertid bare praktisk - det personlige og økonomiske traumet som kan være et resultat av at en identitetstyv eller annen ondsinnet enhet har tilgang til disse tingene, oppveier langt mindre problemer med å legge inn ekstra litt informasjon.
Når som helst tofaktorautentisering er tilgjengelig for et system, og det systemet som kompromitteres vil føre til betydelig lidelse, bør du aktivere det. Å få e-posten din kompromittert åpner deg for at andre tjenester blir kompromittert som e-postservere som en slags hovednøkkel for tilgang til tilbakestilling av passord og andre henvendelser. Hvis banken din tilbyr en mobilautentisering eller annet verktøy, kan du dra nytte av det. Selv for ting som romkameratene Diablo III-kontoen din - spillere bruker hundrevis av timer på å bygge karakterene sine og bruker ofte ekte penger på å kjøpe varer i spillet, og å miste alt det arbeidet og utstyret er et forferdelig forslag, slå en godkjenning på kontoen din!
Dessverre tilbyr ikke alle tjenester tofaktorautentisering. Den beste måten å finne ut av er å grave gjennom FAQ / supportfilene og / eller kontakte supportpersonalet for den aktuelle tjenesten. Når det er sagt, er det mange selskaper som taler om deres vedtakelse av flerfaktorautentiseringsordninger.
Google har tofaktorautentisering både for SMS og med en praktisk mobilapp - les vår guide for å installere og konfigurere mobilappen her .
LastPass tilbyr flere former for flerfaktorautentisering gjelder også ved hjelp av Google Authenticator . Vi har en guide for å konfigurere den her .
Facebook har et tofaktorsystem kalt “ påloggingsgodkjenninger ”Som bruker SMS for å bekrefte identiteten din.
SpiderOak, en Dropbox-lignende lagringstjeneste, tilbyr tofaktorautentisering .
Blizzard, selskapet bak spill som World of Warcraft og Diablo, har en gratis autentisering .
Selv om det ser ut som, basert på å lese FAQ-filen til det aktuelle selskapet, har de ikke tofaktorautentisering, skyter dem en e-post og spør. Jo flere som spør om to-faktor, jo større sjanse vil selskapet implementere det.
Selv om tofaktorautentisering ikke er usårbar for angrep (et sofistikert mann-i-midten-angrep eller noen som stjeler ditt sekundære godkjenningstoken og slo deg med et rør kan knekke det), er det radikalt sikrere enn å stole på et vanlig passord, og bare å ha et tofaktorsystem aktivert, gjør deg til et mye mindre overbevisende mål.
Vet du om en tjeneste, stor eller liten, som tilbyr tofaktorautentisering? Hør av i kommentarene for å varsle andre lesere.
