Ano ang Two-Factor Authentication (2FA) at kailangan mo ito?

Ano ang Dalawang-Factor Authentication at kailangan mo ito

Ang dalawang-Factor pagpapatunay (2FA) ay tumutukoy sa isang proseso ng pag-login na nangangailangan ng higit sa isang password. Kung ang iyong password ay nakompromiso sa paanuman, maiiwasan ng 2FA ang isang umaatake mula sa pag-log in sa iyong account sa pamamagitan ng pag-uutos ng pangalawang anyo ng pagpapatunay.

Ang dalawang hakbang na pag-verify (2SV) at pagpapatunay ng multi-factor (MFA) ay mga salitang madalas na ginagamit nang magkakapalit sa pagpapatunay ng dalawang salik, bagaman mayroong ilang mga pagkakaiba-iba na makukuha natin sa ibang pagkakataon. Maaari kang makatagpo ng 2FA kapag nag-log in sa isang aparato o account, tulad ng:

  • Ang isang beses na numero ng PIN na ipinadala sa pamamagitan ng SMS, email, o isang app ng pagpapatunay tulad ng Google Authenticator o Writingy
  • Ang isang aparato ng pagpapatunay ng hardware, tulad ng isang USB key, na dapat na maipasok bago mag-log in
  • Ang isang biometric scan, tulad ng isang fingerprint o retina scan, bilang karagdagan sa isang password

Ang 2FA ay maaaring mai-set up para sa maraming mga online account, at mariing inirerekumenda namin na gawin ito. Karaniwan, ito ay nagsasangkot sa pagpasok ng isang numero ng PIN kapag nag-log in mula sa isang bagong aparato o lokasyon, o pagkatapos mag-expire ang nakaraang session. Ito ay maaaring parang isang pasanin, ngunit ang 2FA ay napupunta sa isang mahabang paraan sa pagprotekta sa mga account mula sa mga hacker.

Paano gumagana ang kasanayan sa pagpapatunay ng two-factor?

facebook 2fa

Kung naka-on ang 2FA para sa iyong account, malamang na makatagpo mo ito kapag nag-log in mula sa isang bagong aparato o mula sa ibang lokasyon kaysa sa dati. Ipasok mo ang iyong username at password tulad ng dati, at pagkatapos ay kakailanganin mong patunayan ang iyong pagkakakilanlan sa pamamagitan ng pagpasok ng pangalawang anyo ng pagpapatunay na maaari mo lamang ibigay.

Hindi lahat ng mga pamamaraan ng pagpapatunay ng isang gumagamit ay pantay. Mula sa pinaka-secure na hindi bababa sa secure:

  • A aparato ng pagpapatunay ng hardware tulad ng isang YubiKey o Titan Security Key. Ito ang mga USB device na dapat mong i-plug in sa iyong aparato upang mag-log in.
  • Isang pagpapatunay app tulad ng Google Authenticator o may Akda. Ang mga app na ito ay bumubuo ng mga pansamantalang numero ng PIN sa iyong smartphone.
  • A biometric scan tulad ng isang mukha, fingerprint, o retina scan. Ang seguridad ng mga biometric scan ay nag-iiba nang malawak depende sa pamamaraan na ginamit, ang kalidad ng software ng pagpapatunay, at ang hardware na ginamit para sa pag-input.
  • A Numero ng PIN na ipinadala sa pamamagitan ng SMS sa iyong telepono. Ang SMS ay hindi naka-encrypt at mahina laban sa mga pag-atake ng SIM swap, kaya ito ay itinuturing na hindi gaanong ligtas.
  • A Numero ng PIN na ipinadala sa pamamagitan ng email. Ang pagpipiliang ito ay hindi bababa sa ligtas dahil ang mga email account ay madalas na mai-access mula sa kahit saan, kumpara sa iba pang mga pamamaraan na nangangailangan sa iyo na magkaroon ng isang tukoy na aparato. Bukod dito, ang email ay hindi naka-encrypt.

Kahit na sinusuportahan ng iyong account ang 2FA, hindi ito maaaring paganahin nang default. Ito ay dahil mayroong isang proseso ng pagpapatala na kinakailangan upang mag-set up ng 2FA para sa bawat site. Kung wala ang proseso ng pagpapatala, ang mga gumagamit ay mai-lock sa labas ng kanilang account. Nais mong malaman ang mga setting ng seguridad o pag-login ng iyong account at umaasang makahanap ng mga setting ng 2FA.

Ang mensahe ng SMS (text) na two-factor na pagpapatotoo

netflix sms 2fa

Ang mga bentahe ng paggamit ng pamamaraan ng SMS ay halos unibersal at ito ay nakatali sa iyong SIM card, hindi sa iyong telepono. Halos lahat ng mga mobile phone ay tumatanggap ng mga text message, kahit na “pipi” na mga telepono na hindi naka-install ang mga app sa kanila. Kung magpalit ka ng mga telepono, o nasira o nawala ang iyong telepono, maaari mo lamang i-pop ang iyong SIM card sa ibang telepono at mahusay kang pumunta.

Ang pangunahing kawalan ay upang upang makakuha ng mga mensahe ng SMS, dapat kang nasa loob ng cellular range. Gayundin, ang mga global na manlalakbay ay maaaring magkaroon ng mga problema sa pamamaraan ng SMS kung binago nila ang kanilang mga SIM card sa iba’t ibang bansa dahil ang bawat SIM card ay magkakaroon ng ibang numero ng telepono.

Ang isang mas advanced na kawalan ng dulot ng SMS 2FA ay hindi napakahirap para sa mga masasamang tao na ma-infiltrate ang system ng SMS at makagambala ng mga code, o gumamit ng social engineering upang tawagan ang iyong mobile provider at italaga ang iyong numero sa kanilang SIM card. Ang ganitong uri ng pagiging mahinahon ay karaniwang nakalaan para sa mga taong sinasadya ng isang umaatake sa halip na isang normal na pagtakbo ng pag-atake sa galingan. Hindi gaanong magagawa ang pag-iingat sa seguridad para sa iyo kung naakit mo ang atensyon ng mga sopistikadong masamang tao.

Dalawang-factor na aplikasyon ng pagpapatunay

Ang nagpapatunay na may-akda

Mayroong iba’t ibang mga 2FA apps sa merkado. Ang pinakatanyag ay ang Google Authenticator, ngunit ang mga kakumpitensya tulad ng Writing at LastPass ay mayroon ding 2FA apps. Ang ganitong uri ng splintering ng produkto ay walang makakatulong sa pag-ampon ng 2FA dahil ang mga kumpanya ay kailangang gumastos ng oras sa pagpapasya kung alin ang platform ng 2FA. Dapat ding maging handa ang mga customer na mag-install ng isa pang 2FA app sa kanilang mga telepono kung ang isang serbisyo ay gumagamit ng ibang platform ng 2FA kaysa sa iba.

Sa pinakamalaking pro sa 2FA apps ay hindi nila kailangan ng anumang uri ng internet o koneksyon sa cellular upang gumana. Ipinakita lamang nila ang mga kinakailangang mga code kung kinakailangan. Ang ibabang bahagi ng 2FA apps ay kung nawala o masira mo ang iyong telepono hanggang sa hindi ka makakakuha ng isang code mula dito, mahihirapan kang makapasok sa iyong account.

Ang isa pang maliit na downside sa 2FA apps ay ang bawat serbisyo ay kailangang mai-set up nang paisa-isa. Ito ay karaniwang nangangahulugan na kailangan mo lamang i-scan ang isang QR barcode kasama ang app ngunit maaari itong maging mas kasangkot para sa ilang mga pagpapatupad ng korporasyon.

Ang pinakamahusay na serbisyo ay nag-aalok ng parehong SMS at app 2FA, ngunit ang mga serbisyong ito ay kakaunti at malayo sa pagitan.

Ano ang pagpapatunay, kahit papaano?

Upang makakuha ka ng access sa isang bagay tulad ng iyong email, ang email system ay dapat nasiyahan sa dalawang bagay. Inilarawan ko ang mga ito nang mas detalyado sa glossary sa dulo, ngunit ang mataas na antas ng pagtingin ay ito:

Pagpapatunay; kung minsan ay pinaikli angNgNN, nangangahulugang ikaw ang nagsabi na ikaw ay.

Awtorisasyon; paminsan-minsan na pinaikli ang AuthorZ, nangangahulugang pinapayagan mong basahin ang iyong email.

Ano ang pagkakaiba sa pagitan ng pagpapatunay ng dalawang salik at pag-verify ng dalawang hakbang?

coinbase 2sv

Maraming mga mag-aaral sa agham ng computer at pilosopo ang mag-debate sa mga oras ng umaga at habang may isang hindi pagkakaiba-iba, sa pagsasanay hindi ito isang napakalaking.

Ang pangunahing sticking point ay walang konsepto ng “pag-verify” sa pagpapatunay / pagpapahintulot sa pagpapahintulot. Mayroon kaming pagpapatunay at mayroon kaming pahintulot. Ang pagpapakilala ng hindi malinaw na salitang “pagpapatunay” ay maaaring humantong sa pagkalito sa pagkakaiba sa pagitan ng alam ng isang tao at kung ano ang mayroon.

Bukod dito, ano ang ibig sabihin ng pagpapatunay? Nangangahulugan ba ito na ang tao ay nakilala (WritingN) o nangangahulugan ba na pinahihintulutan ang tao na mag-access ng ilang mapagkukunan (WritingZ)? Mayroon kaming sapat na mga salita para sa mga konsepto na.

Ang pangalawang punto ng pagkalito ay nagmula sa pagkakaiba sa pagitan ng kung ano ang mayroon sa isang tao, at kung ano ang nalalaman ng isang tao. Sa halaga ng mukha madali itong isipin na ang isang bagay tulad ng isang biometric pangalawang salik na gumagamit ng isang fingerprint ay bumubuo ng isang bagay na mayroon ang gumagamit (mayroon silang daliri ng kanilang daliri). Ngunit, ang paggamit ng mga fingerprint bilang isang mekanismo ng pag-unlock ng telepono ay na-debate sa sistema ng korte ng US. Ang ilang mga hukom ay pakiramdam na ang isang fingerprint ay walang pahiwatig na patotoo at patotoo ay isang bagay na alam ng isang tao, hindi isang bagay na mayroon sila.

Parehong ang mga konsepto na ito ay nahuhulog sa ilalim ng payong ng Multi Factor Authentication (MFA) at pareho ang hinihiling sa iyo na magkaroon ng ibang bagay maliban sa isang password. Hindi mahalaga kung ang iba pa ay isang fingerprint, isang beses na pagkakasunud-sunod na numero, o isang Yubikey.

Bakit kailangan natin ng iba maliban sa mga password?

Authenticator ng tagsibol ng Google

Ang mga username ay karaniwang madaling matuklasan; sa maraming mga kaso ito lamang ang aming na-publisado na email address o, sa kaso ng mga forum, ito ang pangalan ng display na nakikita ng lahat. Nangangahulugan ito na ang tanging tunay na proteksyon mayroon ka laban sa isang taong nag-log in na ikaw ang lakas ng iyong password.

Mayroong tatlong pangunahing paraan na nakuha ng mga masasamang tao ang iyong password. Ang una ay ang hulaan lamang ito. Maaari mong isipin na may isang napaka-malamang na pagkakataon ng tagumpay ngunit sa kasamaang palad maraming mga tao ang gumagamit ng labis na mahina password. Nakikita ko ang maraming mga password sa aking pang-araw-araw na buhay sa trabaho at napakaraming Chuck sa mundo na may password chuck123.

Ang pangalawang paraan ay ang paggamit ng isang pag-atake sa diksyunaryo. Ang karamihan sa natitirang mga password para sa bilyun-bilyong account sa buong mundo ay binubuo ng ilang libong mga salita. Ang mga masasamang tao ay nagpapatakbo ng mga pag-atake sa diksyunaryo laban sa mga site na alam na ang karamihan sa mga account sa site na iyon ay gumagamit ng isa sa mga karaniwang password.

Ang pangatlong paraan ay ang pagnanakaw ng data. Ang mga paglabag sa data ay madalas na naglalantad ng mga password na naka-imbak sa mga server ng kumpanya.

Ang mga site at system na gumamit ng 2FA ay nangangailangan ng pangalawang kadahilanan bilang karagdagan sa iyong password upang mag-log in. Sa halaga ng mukha, maaaring mukhang hangal. Kung ang mga password ay madaling nakompromiso, kung magkano ang halaga ay maaaring magdagdag ng isang pangalawang password na dalhin sa talahanayan? Ito ay isang magandang katanungan na tinutugunan ng 2FA. Sa karamihan ng mga kaso ang 2FA ay tumatagal ng form ng isang numeric code na nagbabago bawat minuto o maaari lamang magamit nang isang beses. Samakatuwid, ang isang taong namamahala upang makuha ang iyong password ay hindi makakapasok sa iyong account maliban kung pinamamahalaang din nilang makuha ang iyong kasalukuyang 2FA code.

Sa ganitong paraan, tinatanggal ng 2FA na ang tao ay mahina ang paglikha ng mga mahina na password at muling gamitin ang mga ito sa mga serbisyo. Pinoprotektahan din ito laban sa mga datos ng account na ninakaw dahil kahit na ang masamang tao ay namamahala na magnakaw ng lahat ng mga username at password para sa isang site, hindi pa rin niya mai-log in ang alinman sa mga account na walang mahalagang code ng 2FA para sa bawat gumagamit.

Bakit ko nais na gumamit ng pagpapatunay na two-factor?

RSA-SecurID-Token

Isaalang-alang na ang karamihan sa mga pag-hack ng password ay nangyayari sa internet. Ang isang napetsahan, ngunit kapaki-pakinabang, pagkakatulad ay isang pagnanakaw sa bangko. Bago ang internet, ang pagnanak sa isang bangko ay napakahirap. Kailangan mong makakuha ng isang tauhan, kaso sa bangko upang makahanap ng pinakamahusay na oras upang magnanakaw ito, makakuha ng ilang mga armas at disguises, at pagkatapos ay isakatuparan ang pagnanakaw nang hindi mahuli.

Ngayon, ang parehong magnanakaw sa bangko ay maaaring umupo sa buong mundo at subukang mag-astig na puwersa ang iyong web banking account nang hindi mo rin alam. Kung hindi siya makapasok sa iyong account, lumilipat lang siya sa susunod. Halos walang panganib na mahuli at nangangailangan ito ng halos walang pagpaplano.

Sa pagpapakilala ng 2FA, ang magnanakaw sa bangko ay halos walang pagkakataon na magtagumpay. Kahit na tama niyang hulaan ang iyong password, kakailanganin niyang lumundag sa isang eroplano, subaybayan ka, at nakawin ang iyong 2FA na aparato upang makapasok. Kapag ang isang pisikal na pagpahamak ay ipinakilala sa isang pagkakasunud-sunod sa pag-login, nagiging mga order ng magnitude na mas mahirap para sa ang masamang tao upang magtagumpay.

Kinakailangan ka ng 2FA na magbigay ng dalawang bagay: isang bagay na alam mo at isang bagay na mayroon ka. Ang isang bagay na alam mo ay ang iyong password. Ang isang bagay na mayroon ka ay ang numeric code. Dahil madalas na nagbabago ang numerong code, ang sinumang magagawang magbigay ng tamang code sa anumang sandali ay halos katiyak na pag-aari ng aparato na bumubuo ng code. Ang 2FA ay nagpapatunay na maging matatag sa pag-atake ng matapang na password, na mabuting balita. Ang masamang balita ay ang napakabagal na rate ng pag-aampon. Ang bawat indibidwal na serbisyo ay dapat magpasya na ipatupad ang 2FA – hindi ito isang bagay na maaari mong magpasya para sa iyong sarili na magamit sa bawat site. Habang ang isang lumalagong bilang ng mga site ay sumusuporta sa 2FA ngayon, marami pa ang hindi. Nakakagulat na ang mga napaka kritikal na site tulad ng banking at mga site ng gobyerno ay napakabagal sa pag-ampon ng 2FA.

Kaugnay: Ano ang isang pag-atake ng matapang na puwersa

Dalawang-factor na pagpapatunay sa negosyo

Ang 2FA ay may isang mas mahusay na rate ng pag-aampon sa mga korporasyon kaysa sa mga pampublikong serbisyo. Maraming mga kumpanya na may malalayong manggagawa ang malakas na nagpatupad ng 2FA. Ang pinaka-karaniwang at mature na 2FA mekanismo para sa mga korporasyon ay ang RSA SecurID. Ito ay sa paligid ng maraming taon at maaaring mai-install bilang isang app, o ibinigay bilang isang hardware dongle tulad ng isang USB stick na may isang screen na nagpapakita ng code. Ang isa pang malakas na kalaban sa mga araw na ito ay ang Okta. Sinimulan ni Okta na tumutuon sa Single Sign On (SSO) na nangangahulugang ang mga gumagamit ay kailangang mag-log in lamang at maaaring ma-access ang maraming mga serbisyo ng third party. Maraming mga korporasyon ang gumagamit ng SSO nang labis at ngayon na nag-aalok ang Okta ng 2FA, ito ay nagiging mas sikat.

Glossary

Pagpapatunay (AuthN): Ikaw ang nagsasabing ikaw ay. Dito naglalaro ang iyong username at password. Ang sinumang naghahatid ng pareho sa mga bagay na iyon ay itinuturing na sa iyo. Gayunpaman, ang pagpapatunay lamang ay hindi nangangahulugang papayagan mong basahin ang iyong email.

Pagpapahintulot (AuthorZ): Kapag napatunayan mo na (alam ng system kung sino ka), matutukoy nito kung ano ang pinapayagan mong i-access. Sa kaso ng pag-log in sa iyong email, may isang bagay lamang na dapat mong gawin. Ngunit, isaalang-alang ang isang senaryo ng tanggapan kung saan mabasa mo ang ilang ibinahaging network drive, ngunit hindi sa iba. Ito ang layerZZZ na tumutukoy kung ano ang pinahihintulutan mong gawin ngunit hindi ito magagawa hanggang sa ma-napatunayan mo.

Ang paggamit ng 2FA ay isang napakahusay na panukalang pangseguridad at dapat mong isaalang-alang ang pagpapagana nito sa lahat ng iyong makakaya. Ang site ng Dalawang Factor Auth.org ay may isang kawili-wiling proyekto na nagtatangkang ilista ang mga kumpanya na sumusuporta sa 2FA at nagbibigay ng isang madaling paraan upang mapahiya sa publiko ang mga kumpanya na hindi. Kung ang isang serbisyo na kasalukuyang ginagamit mo ay hindi sumusuporta sa 2FA, maaari kang makahanap ng isang kahaliling serbisyo na ginagawa.

Tingnan din: Lakas ng password ng checker, isang masayang paraan upang suriin kung gaano kabuti ang iyong password (nag-aaplay ang mga tagapagtanggi!).