Сравнение двухфакторных методов аутентификации: что лучше для вас?
Двухфакторная аутентификация не позволяет хакерам взломать ваши учетные записи с помощью грубой силы и даже защищает вас, если хакеры получат ваш пароль. Это может даже помочь заблокировать вашу учетную запись, если ваши учетные данные были подделаны в прошлом.
Короче говоря, важна двухфакторная аутентификация (2FA).
Но какую модель двухфакторной аутентификации выбрать? Почти все сервисы предлагают одноразовые пароли с помощью текстовых сообщений, доставляемых на ваш телефон. Многие также предоставляют одноразовые пароли, созданные на вашем мобильном устройстве (с помощью Google Authenticator, Authy или даже Facebook).
Несколько сервисов дадут вам возможность подключить аппаратное устройство, и между вариантами есть компромиссы. В этом блоге объясняется, что это за выбор, с чем нужно быть осторожным, и что лучше для вас..
Почему двухфакторная аутентификация лучше?
Трудно, если не невозможно, заметить взломанный или украденный пароль. Украденный или взломанный пароль позволяет злоумышленнику получить доступ к вашей учетной записи на любое время, незаметно или полностью заблокировать вас..
Точно так же, полагаясь только на устройство, вы можете стать уязвимым для взлома, если он был украден. Хотя вы бы быстрее поняли, что скомпрометированы.
Однако сочетание того, что вы знаете, и того, что у вас есть, делает гораздо менее опасным, если ваш пароль взломан или ваше устройство украдено. Если вы потеряете свое устройство, вор или искатель не сможет получить доступ к вашим аккаунтам без пароля. И если ваш пароль взломан, никто не сможет получить доступ к вашей учетной записи без устройства.
Факторы, которые следует учитывать при выборе двухфакторной аутентификации
Теория аутентификации личности обычно определяет три фактора:
- Что-то вы знаете
- Что-то у вас есть
- Что-то вы
Чаще всего пользователи в Интернете идентифицируются через то, что они знают. Обычно это пароль, но также может быть секретным вопросом..
Риск с «чем-то, что вы знаете» заключается в том, что вы можете забыть или не единственный, кто знает, например, потому что вы добровольно или невольно делились знаниями. Третья сторона также может получить эти знания другими способами, например, посмотрев в социальных сетях, чтобы получить ответы на распространенные вопросы безопасности: «Какой ваш любимый питомец?» Или «На какой улице вы выросли?»
Вторым фактором является то, что у вас есть, это может быть ключ безопасности или сим-карта. Часто этот второй фактор применяется как резервный сброс, если вы забыли свой пароль.
Третий фактор – это то, что вы есть. Это может быть ваш отпечаток пальца или распознавание лица и голоса, и он редко используется за пределами военных объектов..
Только когда два из этих факторов или несколько факторов, необходимы в то же время для аутентификации мы говорим о двухфакторной или многофакторной аутентификации.
Общие методы двухфакторной аутентификации
1. Текстовое сообщение
Что у тебя есть: SIM-карта
Наиболее распространенной формой двухфакторной аутентификации является мобильный телефон. Почти у каждого есть мобильный телефон, и он всегда остается с ним, что делает его популярным и удобным выбором для провайдеров и пользователей..
Что происходит, когда вы теряете это: Если у вас месячный план, вы можете заблокировать старую SIM-карту и получить новую у своего провайдера. Существует риск потери доступа к вашей учетной записи во время путешествия, если текстовые сообщения не могут пройти.
Риски безопасности: Некоторые провайдеры делают ужасно тривиальным получение новой SIM-карты от вашего имени или, что еще хуже, клонирование вашей SIM-карты. Многие провайдеры также позволяют злоумышленнику переадресовывать текстовые сообщения на другой номер, по существу обходя вашу защиту.
Государства-нации могут читать или перенаправлять отправленные вам текстовые сообщения, что позволяет им обходить вашу безопасность. Кроме того, существует риск атак «человек посередине», если вы введете текстовое сообщение в неправильный сервис.
Риски конфиденциальности: В контрактах обязательно указывается ваше имя для каждой услуги, для которой вы использовали свой телефон для регистрации. Однако контракты с предоплатой по телефону не заменят утерянную SIM-карту. В любом случае, ваша компания мобильной связи может отслеживать, где вы находитесь и от кого вы получаете коды.
2. Приложения для аутентификации
Что у тебя есть: Ваш телефон с установленным приложением.
Когда вы используете приложение для проверки подлинности (например, Google Authenticator или Authy), служба, с которой вы установили 2FA, сообщит вам секретный код, обычно в форме QR-кода. Сканируйте этот код с помощью приложения для проверки подлинности, и с этого момента ваше приложение будет генерировать случайные коды, которые меняются каждые несколько секунд. Вам понадобится этот код каждый раз, когда вы входите в сервис.
Что происходит, когда вы теряете это: Некоторые сервисы делают возможным резервное копирование этого кода, поэтому в случае, если вы случайно удалите приложение для проверки подлинности, потеряете или сломаете свой телефон, вы можете просто установить его заново. Другие сервисы рекомендуют вам сохранять уникальные резервные коды, которые вы можете использовать в случае потери доступа к вашему приложению для аутентификации..
Конечно, это поднимает вопрос о том, где сохранять резервные коды. Зачастую лист бумаги – лучший вариант, но где это безопасное место для хранения?
Примечание. Пока ваш телефон включен, приложение будет генерировать для вас коды. Ваш телефон не должен иметь интернет, пока он генерирует коды.
Риски безопасности: Если кто-то может сделать снимок экрана QR-кода или другим способом перехватить секретный ключ, он может сгенерировать те же коды в своем приложении для проверки подлинности. Как и в случае с текстовыми сообщениями, существует риск атак типа «злоумышленник в середине», если вы введете свой пароль на неправильный веб-сайт..
Риски конфиденциальности: Если ваше приложение для проверки подлинности требует, чтобы вы зарегистрировались под своим адресом электронной почты, это может помочь злоумышленнику связать учетные записи вместе. В общем, приложение для аутентификации имеет мало рисков для конфиденциальности.
3. Аппаратные ключи
Что у тебя есть: Аппаратный ключ, совместимый со стандартом FIDO U2F.
Этот ключ, который часто выглядит как небольшой USB-накопитель, содержит небольшой чип, который надежно хранит закрытый ключ.
После подключения устройства и регистрации устройства в службе открытый ключ будет подписывать сообщения таким образом, чтобы служба могла их проверить. В отличие от текстовых сообщений или приложений для проверки подлинности, нет риска атак типа «злоумышленник в середине», поскольку для аутентификации службы требуется физический аппаратный ключ.
В отличие от текстовых сообщений или приложений для проверки подлинности, аппаратные ключи не являются бесплатными. Но поскольку доминирующий стандарт FIDO U2F является открытым стандартом, существует большая конкуренция между различными производителями. Продукты могут стоить от 5 до 120 долларов США в комплекте с аппаратным биткойн-кошельком..
Что происходит, когда вы теряете это: Если вы можете себе это позволить, второй аппаратный ключ – хорошая идея. В противном случае, аналогично приложениям для проверки подлинности, вы можете загружать резервные коды, которые позволят вам вернуться обратно в свою учетную запись..
Риски безопасности: Аппаратные ключи настолько хороши в безопасности, что при правильном использовании могут полностью устранить фишинговые атаки. На данный момент большинство служб, предлагающих регистрацию аппаратного ключа, также требуют наличия приложения-аутентификатора или номера телефона в файле. Именно эти слабые звенья, вероятно, также станут вашими угрозами безопасности.
Риски конфиденциальности: Приобрести устройство за наличные или биткойны наверняка. В целом, аппаратный ключ не рискует конфиденциальностью, так как создаст новую пару ключей для каждой учетной записи..
Аппаратные ключи лучше всего подходят для 2FA, но не все примут их
Аппаратные ключи выигрывают с точки зрения безопасности, они являются частными и не подвержены влиянию умирающего или находящегося вне зоны действия телефона. Однако пока только несколько сервисов (Google, Dropbox, Facebook, Github и несколько других) поддерживают стандарт.
Если вы не доверяете своему провайдеру телефона (и немногие провайдеры заслуживают доверия), приложение-аутентификатор – лучший вариант.