Securitywatch: як не заблокуватись при двофакторній аутентифікації | макс

Засоби безпеки часто створюють певну тривогу. Що станеться, якщо я втрачу пароль? Або якщо мій антивірус видаляє мої речі? З'явлення двофакторної аутентифікації створило новий поворот у звичній тривозі: що трапиться, якщо я не можу використати другий фактор і заблокувати його з облікового запису?

Джеремі з Кейптауна написав декілька проблем щодо 2FA. Я відредагував його лист для стислості.

Дорогий сер,

Я не надто технічний і хочу двофакторного пристрою аутентифікації, який не стикається з складними ускладненнями при налаштуванні або доступі, як ви стикалися з Yubikey. Найбільший мій страх - закрити себе з Gmail.

Чи краще придбати два ключі, причому один - як резервний ключ?

З повагою,

Джеремі

Якщо ви не чули про двофакторну автентифікацію або 2FA, ось суть: 2FA - це друга дія, яку ви вживаєте після введення пароля для підтвердження своєї особи. Ідея полягає в тому, що зловмисник може мати ваш пароль, але у нього не буде вашого ключа безпеки, програми автентифікатора чи SMS-коду. Існує ціла теорія та практика для 2FA, що я не заходжу сюди, але я заохочую вас та включити 2FA там, де ви можете.

Джеремі перебуває в хорошій компанії в своїх турботах щодо 2FA. Багатьох людей, яких я знаю з технічної кмітливості та безпеки, яких я знаю, продовжують уникати двофакторного захисту, оскільки вони бояться закритись і, можливо, назавжди втратити доступ до своїх речей. Це справжнє і дійсне занепокоєння.

Читач, це сталося зі мною

Насправді я раніше був заблокований із захищених облікових записів 2FA. Неодноразово. Ще в той час однією з перших компаній, що запропонували двофакторну автентифікацію, був Blizzard. Гравці World of Warcraft отримали доступ першими, оскільки їм потрібно було захистити свій важко зароблений бабло. Ви можете згадати людей, які ходили навколо із брелоками WoW, які відображали зміни цифр на РК-екрані. Пізніше Blizzard вдосконалив цей досвід у мобільному додатку та розгорнув 2FA для всіх користувачів Battle.net.

Будучи параноїчною людиною, якою я є, я включив 2FA у своєму обліковому записі Blizzard за допомогою спеціального додатка Blizzard Authenticator. Я одразу забув, що я це зробив, і протягом останніх місяців видалив додаток зі свого телефону та забув пароль. На щастя, Blizzard має чудове обслуговування клієнтів. Кілька електронних листів із їхнім веселим персоналом повернуло мене до Інтернету через кілька днів. Хоча це все ще було нервовим. Мене так звикли, що я мав змогу обробляти свої власні налаштування паролів, і думка про необхідність взаємодіяти з реально живою людиною як частина цього процесу відчувала себе, ну, дуже дивною.

З тих пір я звик більше до досвіду, і я навчився бути розумнішим щодо збереження автентифікатора. Мені все одно вдалося заблокувати декілька разів від Battle.net, а також Steam та інших сервісів.

Залежно від того, як компанія налаштовує свою пропозицію 2FA, вам може виникнути необхідність нахилитися назад, щоб отримати контроль над своїм обліковим записом. Як неприємно це звучить, це насправді означає, що служба працює. Якщо у вас немає автентифікатора, вам доведеться стрибати через безліч обручів. Якби тобі було легко, то поганому хлопцеві було б легко.

Помножте свої фактори

На щастя, існує простий спосіб запобігти блокуванню 2FA: використовувати кілька варіантів 2FA. Вони можуть діяти як резервне копіювання, якщо у вас немає доступу до іншого варіанту 2FA. Наприклад, я використовую YubiKey 5 NFC зі своїми обліковими записами Google, але також увімкнув натискання на повідомлення про підтвердження на своєму телефоні. Якщо у мене немає свого Yubikey, я використовую його замість цього.

Додавання більшої кількості багатофакторних пристроїв збільшує ризик порушення вашим обліковим записом. Зараз є два способи потрапити у ваш рахунок, а не лише один. Я вважаю, що винагорода за те, що ви не закриваєтеся з вашого рахунку, значно переважає надто малоймовірний сценарій, коли ви заблукали, а зловмисник бере ваш гаманець, ключі та ключ безпеки, а також ви маєте виписати свій пароль.

Комплект ключа безпеки Google Titan.

Найкраще схвалення використання декількох пристроїв 2FA надходить від Google, який містить два клавіші в комплекті Titan Key. Вони були створені спеціально для роботи із системою розширеного захисту Google, яка вимагає, щоб ви зареєстрували два окремі ключі безпеки. Ви використовуєте одне щодня, а іншого відкладаєте для надзвичайних ситуацій. Отже, безпосередньо відповісти на запитання Джеремі: Непогано мати два ключі для свого акаунта.

На жаль, не всі сайти дозволяють зареєструвати більше, ніж один багатофакторний варіант. Якщо це так, я рекомендую використовувати варіант 2FA, який, на вашу думку, є найбільш надійним для вас.

Створення свого арсеналу аутентифікатора

Якщо ви вирішили придбати декілька апаратних ключів 2FA, рекомендую або наш ключ безпеки редактора від Yubico, або пакет «Titan Key» від Google. Ключ безпеки Yubico коштує всього 20 доларів, або 36 доларів на двох. Пакет Google коштує 50 доларів і включає два пристрої: один ключ USB та Bluetooth-ключ Bluetooth.

Ключ безпеки Юбіко

Протягом багатьох років найпоширенішим способом використання 2FA було отримання одноразових кодів, відправлених на ваш телефон за допомогою текстового повідомлення. Вам, мабуть, доводиться все-таки користуватися цим банком, оскільки фінансові установи прагнуть впроваджувати нові технології повільніше. Що цікаво, Google все ще вимагає включити SMS-коди, якщо ви хочете використовувати будь-які інші системи 2FA. На питання Джеремі, це означає, що коли ви збираєтесь записати новий ключ безпеки в Google, вам вже доведеться включити другий варіант 2FA у вигляді SMS-кодів.

Інший варіант - використовувати Google Authenticator або подібний додаток, такий як LastPass Authenticator. Ці мобільні додатки генерують шестизначні коди коду кожні 30 секунд. Просто відкрийте додаток, скопіюйте код, і ви вже є. Це особливо зручно як резервний варіант 2FA, оскільки додаток працює навіть без стільникового сервісу або Wi-Fi.

Якщо все це здається тривожним, ви можете скористатися моїм кращим методом: фізичні резервні коди. Можливо, ви бачили це під час створення облікових записів або при реєстрації в 2FA. Це сітка з декількох номерів, яку ви можете використовувати замість пароля та 2-лексеми 2FA. Вони генеруються лише один раз, і якщо ви їх повторно генеруєте, старі викидаються. В ідеалі ви закріпіть їх у зашифрованому сховищі файлів, а ще краще - на аркуші паперу, укладеному в безпечне місце.

Коли він створив свою програму Advanced Protection, Google вибрав кілька апаратних ключів, оскільки всі інші перераховані вище варіанти, включаючи резервні коди, потенційно можуть бути захоплені добре зробленою фішинг-сторінкою. Підробляти ключ безпеки набагато складніше.

• Двофакторна автентифікація: хто має та як налаштувати двофакторну автентифікацію: хто має та як її встановити
• Чому ви не використовуєте двофакторну автентифікацію? Чому ви не використовуєте двофакторну автентифікацію?
• Google: фішинг-атаки, які можуть перемогти двофакторні, ростуть Google: Фішинг-атаки, які можуть перемогти двофакторні, ростуть

Майте на увазі, що не всі сайти підтримують будь-який тип автентифікатора. Наприклад, LastPass дозволяє використовувати ключі безпеки, але лише ключі, які підтримують одноразові паролі. З'ясування, які автентифікатори використовувати, часто є функцією того, які опції підтримуються.

Ваші перші кроки для двофакторної аутентифікації

З цього приводу я рекомендую всім, хто не знаходить 2FA, спершу спробувати його із системою, відмінною від ключів безпеки. Якщо ви не звикли до того, щоб увійти у цю другу річ, ви, швидше за все, зіпсуєте щось не знайоме, як ключ безпеки. Натомість спробуйте використовувати push-сповіщення, коди, надіслані за допомогою текстового повідомлення, Duo чи Google Authenticator (або подібного генератора коду). Вони використовують пристрої, які у вас уже є, тому вхід не коштує. Після того, як ви ознайомитесь з тим, як працює 2FA, і вона починає відчувати себе другою природою, ви можете задуматися про те, щоб витратити гроші на ключ (-ів) безпеки.

Функція безпеки цінна лише тоді, коли ви її фактично використовуєте. Тож увімкніть 2FA, але дайте собі дозвіл пограти з нею і знайти метод, який працює для вас.