Что такое двухфакторная аутентификация?
How-To Geek читатель Джордан пишет с прямым вопросом:
I’m hearing more and more about two-factor authentication. I vaguely remember Google making a big deal about it last year, my bank recently offered a free key-ring thing for valued customers, and my roommate even has some sort of app on his phone to keep his Diablo III account from getting hacked. I get that it’s some sort of security tool but what exactly is it and should I be using it?
Чтобы понять, что такое двухфакторная аутентификация, давайте сначала рассмотрим, что такое однофакторная аутентификация, и сравнивайте ее с реальными и виртуальными моделями безопасности.
Когда вы возвращаетесь с работы, вытаскиваете ключи и отпираете свою заднюю дверь, вы занимаетесь простой однофакторной аутентификацией. Дверь и замок блокировки не волнует, если человек, держащий их ключ, это вы, ваш сосед или преступник, который поднял ваши ключи. Единственное, что беспокоит замок, это то, что ключ подходит (вам не нужны две клавиши, ключ и отпечаток пальца или любая другая комбинация проверок). Физический ключ является единственным подтверждением того, что лицу, владеющему этим, разрешено открывать дверь.
Тот же уровень однофакторной аутентификации возникает, когда вы входите в систему на веб-сайт или службу, для которой просто требуется ваш логин и пароль. Вы вставляете эту информацию в нее, и она существует как единственная проверка, что вы, по сути, вы.
Предполагая, что никто никогда не крадет ваши ключи или не разбивает ваш пароль, вы в хорошей форме. В то время как ваши похищенные ключи являются довольно низким риском, виртуальная безопасность более сложна (и в отличие от нарушений в системе безопасности в Интернете. Например, ваш менеджер по квартирам не случайно случайно скопировал все ключи и оставил их с вашим именем и адресом на углу улицы ).
Нарушения безопасности, сложные атаки и другие неудачные, но слишком реальные аспекты работы и игры в виртуальном пространстве требуют совершенствования методов обеспечения безопасности, включая множественные и разнообразные сложные пароли и, при наличии, двухфакторную аутентификацию.
Что такое двухфакторная аутентификация и как она выглядит для вас, конечный пользователь? При минимальной двухфакторной аутентификации требуется две из трех утвержденных аутентификацией переменных, таких как:
- То, что вы знаете (например, PIN-код на вашей банковской карте или пароль по электронной почте).
- То, что у вас есть (физическая банковская карта или токен аутентификатора).
- Что-то вы (биометрические данные, такие как отпечаток пальца или рисунок радужки).
Если вы когда-либо использовали дебетовую карту, вы использовали простую форму двухфакторной аутентификации: недостаточно знать PIN-код или физически иметь карту, вам нужно обладать как для доступа к вашему банковскому счету через банкомат.
Двухфакторная аутентификация может принимать различные формы и по-прежнему соответствовать требованиям 2-х-3. Там может быть физический токен, такой как те, которые широко используются в банковском деле, где для вас создается код над эфиром. Для входа вам нужно имя пользователя, пароль и уникальный код (срок действия которого истекает каждые 30 секунд или около того). Другие компании пропускают маршрутизацию по специальному оборудованию и поставляют приложения для мобильных телефонов (или коды с доставкой SMS), которые обеспечивают такую же функциональность. Хотя это не особенно распространено, вы также можете использовать двухфакторную аутентификацию на основе биометрии (например, безопасность зашифрованного файла с помощью пароля и отпечатка пальца).
Почему я должен использовать его и где его найти?
В любое время двухфакторная аутентификация доступна для системы, и эта система, скомпрометированная, приведет к серьезным страданиям, вы должны включить ее. Если ваш почтовый клиент скомпрометирован, вы получаете доступ к другим службам, которые подвергаются риску как почтовые серверы как своего рода мастер-ключ для доступа к сбрасыванию пароля и другим запросам. Если ваш банк предоставляет мобильный аутентификатор или другой инструмент, воспользуйтесь им. Даже для таких вещей, как ваши соседи по комнате, участники игры Diablo III тратят сотни часов на создание своих персонажей и часто тратят реальные деньги на покупку игровых товаров, теряя при этом все, что труд и экипировка - ужасное предложение, шлепните аутентификатор на свой счет!
К сожалению, не все службы предлагают двухфакторную аутентификацию. Лучший способ узнать это - прокопать файлы FAQ / поддержки и / или связаться с персоналом службы поддержки данной службы. Тем не менее, многие компании выступают за принятие многофакторных схем аутентификации.
Google имеет двухфакторную аутентификацию как для SMS, так и с помощью мобильного приложения - прочитайте наше руководство по установке и настройке мобильного приложения здесь.
LastPass предлагает несколько форм многофакторной аутентификации, включая использование Google Authenticator. У нас есть руководство по настройке здесь.
Facebook имеет двухфакторную систему, называемую «авторизацией для входа», которая использует SMS для подтверждения вашей личности.
SpiderOak, служба хранения, подобная Dropbox, предлагает двухфакторную аутентификацию.
Blizzard, компания за такими играми, как World of War Craft и Diablo, имеет бесплатный аутентификатор.
Даже если это похоже на то, что, основываясь на чтении файла часто задаваемых вопросов компании, у них нет двухфакторной аутентификации, расстреляйте их по электронной почте и спросите. Чем больше людей спрашивают о двух факторах, тем выше вероятность того, что компания выполнит его.
В то время как двухфакторная аутентификация не является неуязвимой для атаки (сложная атака «человек в середине» или кто-то украл ваш вторичный токен аутентификации и избил вас трубкой, чтобы взломать ее), он радикально более безопасен, чем полагаться на обычный пароль и просто наличие двухфакторной системы позволяет сделать вас гораздо менее привлекательной целью.
Знать услугу, большую или малую, которая предлагает двухфакторную аутентификацию? Прозвучайте в комментариях, чтобы предупредить своих сокурсников.
