สารบัญ:
วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)
สัปดาห์นี้ฉันกำลังขุดลงในถุงจดหมายที่ไม่มีก้นเหวของฉันเพื่อจัดการกับคำถามอื่นเกี่ยวกับการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) มันเป็นเรื่องที่ฉันเคยสัมผัสมาก่อน แต่เมื่อพิจารณาจากปริมาณและความเฉพาะเจาะจงของคำถามที่ฉันได้รับเกี่ยวกับเรื่องนี้มันชัดเจนว่าเป็นปัญหาที่ผู้คนจำนวนมากกำลังคิด เนื่องจากฉันเห็นว่า 2FA อาจเป็นสิ่งที่ดีที่สุดที่คนทั่วไปสามารถทำได้เพื่อให้ออนไลน์ปลอดภัยฉันมีความสุขมากกว่าที่จะพูดคุยเกี่ยวกับเรื่องนี้ไม่สิ้นสุด
คำถามในวันนี้มาจากเท็ดผู้เขียนถามว่าระบบ 2FA นั้นจริงหรือไม่ โปรดทราบว่าจดหมายของเท็ดได้รับการแก้ไขโดยสังเขป เท็ดเริ่มต้นข้อความของเขาโดยอ้างอิงงานเขียนอื่น ๆ ของฉันใน 2FA
คุณเขียนว่า "เมื่อคุณลงทะเบียนรหัสความปลอดภัยรหัสผ่าน SMS จะเป็นตัวเลือกสำรองในกรณีที่คุณทำหายหรือไม่สามารถเข้าถึงรหัสของคุณได้" หากเป็นจริงแล้วทำไมอุปกรณ์นี้ถึงปลอดภัยมากกว่ารหัส SMS 2FA ตามที่คุณเขียนไว้ว่า "แต่โทรศัพท์อาจถูกขโมยและการใส่ซิมเป็นสิ่งที่เราต้องกังวลในตอนนี้"
อะไรที่จะป้องกันไม่ให้ใครบางคนบอกกับ Google ว่าพวกเขาเป็นคุณได้ทำรหัสความปลอดภัยหายไปและต้องการรหัส SMS ที่ส่งไปยังโทรศัพท์ที่ถูกขโมย / แจ็คของคุณ หากฉันเข้าใจอย่างถูกต้องอุปกรณ์นี้จะไม่ปลอดภัยกว่าข้อความ SMS 2FA สะดวกกว่านี้แน่นอน แต่ฉันไม่เห็นว่ามันปลอดภัยกว่านี้ไหม
ผลสุดท้ายของทั้งหมดนี้คือรหัสความปลอดภัยจะเพิ่มความปลอดภัยของคุณ แต่เพียงเพราะคุณมีแนวโน้มที่จะใช้งานมากกว่าเพราะมันปลอดภัยกว่า 2FA หรือไม่ ฉันพลาดอะไรไป
คุณไม่ได้พลาดอะไรเลยเท็ด อันที่จริงแล้วคุณฉลาดในการรับปัญหาพื้นฐานที่มีความปลอดภัยจำนวนมากโดยรอบการรับรองความถูกต้องออนไลน์: คุณจะตรวจสอบความปลอดภัยของผู้คนได้อย่างไรโดยไม่ทำให้พวกเขาไม่สามารถกู้คืนบัญชีได้
ข้อมูลพื้นฐานเกี่ยวกับ 2FA
เรามาครอบคลุมพื้นฐานเบื้องต้นก่อน การรับรองความถูกต้องแบบสองปัจจัยหรือ 2FA เป็นแนวคิดด้านความปลอดภัยที่คุณต้องแสดงหลักฐานยืนยันตัวตนสองตัวที่เรียกว่าปัจจัยจากรายการสามรายการที่เป็นไปได้
- สิ่งที่คุณ รู้ เช่นรหัสผ่าน
- สิ่งที่คุณ มี เช่นโทรศัพท์
- สิ่งที่คุณ เป็น เช่นลายนิ้วมือของคุณ
ในแง่การปฏิบัติ 2FA มักจะหมายถึงสิ่งที่สองที่คุณทำหลังจากป้อนรหัสผ่านเพื่อลงชื่อเข้าใช้เว็บไซต์หรือบริการ รหัสผ่านเป็นปัจจัยแรกและอย่างที่สองอาจเป็นข้อความ SMS ที่ส่งไปยังโทรศัพท์ของคุณด้วยรหัสพิเศษหรือใช้ FaceID ของ Apple บน iPhone แนวความคิดคือในขณะที่รหัสผ่านสามารถคาดเดาหรือถูกขโมยมีโอกาสน้อยที่ผู้โจมตีจะได้รับทั้งรหัสผ่านและปัจจัยที่สองของคุณ
ในจดหมายของเขาเท็ดถามถึงคีย์ฮาร์ดแวร์ 2FA โดยเฉพาะ ชุด YubiKey ของ Yubico อาจเป็นตัวเลือกที่เป็นที่รู้จักมากที่สุด แต่ยังห่างไกลจากตัวเลือกเดียว Google มี Titan Security keys ของตัวเองและ Nitrokey เสนอรหัสโอเพนซอร์ซเพื่อตั้งชื่อเพียงสองตัว
ข้อผิดพลาดในทางปฏิบัติ
ไม่มีระบบรักษาความปลอดภัยที่สมบูรณ์แบบและ 2FA ก็ไม่ต่างกัน Guemmy Kim ผู้นำด้านการจัดการผลิตภัณฑ์สำหรับทีมรักษาความปลอดภัยบัญชีของ Google ชี้ให้เห็นอย่างถูกต้องว่าหลาย ๆ ระบบที่เราใช้ในการกู้บัญชีและ 2FA นั้นมีความเสี่ยงต่อฟิชชิง นี่คือที่คนร้ายใช้เว็บไซต์ปลอมเพื่อหลอกให้คุณใส่ข้อมูลส่วนตัว
ผู้โจมตีที่ฉลาดอาจติดโทรศัพท์ของคุณด้วย Remote Access Trojan ที่จะอนุญาตให้พวกเขาดูหรือแม้แต่ดักจับรหัสยืนยัน SMS ที่ส่งไปยังอุปกรณ์ของคุณ หรือพวกเขาสามารถสร้างหน้าฟิชชิ่งที่น่าเชื่อถือเพื่อหลอกให้คุณป้อนรหัสแบบครั้งเดียวที่สร้างจากแอปเช่น Google Authenticator แม้แต่ตัวเลือกรหัสสำรองกระดาษของฉันก็สามารถถูกดักโดยเว็บไซต์ฟิชชิ่งที่หลอกฉันให้ใส่รหัสได้
หนึ่งในการโจมตีที่แปลกใหม่ที่สุดคือการเสียบซิมซึ่งผู้โจมตีโคลนซิมการ์ดของคุณหรือหลอกลวง บริษัท โทรศัพท์ของคุณให้ทำการลงทะเบียนซิมการ์ดของคุณเพื่อสกัดกั้นข้อความ SMS ของคุณ ในสถานการณ์สมมตินี้ผู้โจมตีสามารถปลอมแปลงคุณได้อย่างมีประสิทธิภาพเนื่องจากพวกเขาสามารถใช้หมายเลขโทรศัพท์ของคุณเป็นของตัวเอง
การโจมตีที่ไม่แปลกใหม่คือการสูญเสียและการขโมยแบบธรรมดา หากโทรศัพท์หรือแอปในโทรศัพท์ของคุณเป็นเครื่องรับรองความถูกต้องตัวหลักของคุณและคุณสูญเสียมันไปนั่นจะเป็นอาการปวดหัว เช่นเดียวกับคีย์ฮาร์ดแวร์ แม้ว่าคีย์ความปลอดภัยของฮาร์ดแวร์เช่น Yubico YubiKey นั้นยากที่จะทำลาย แต่มันก็ง่ายที่จะเสีย
Yubico Yubikey Series 5 มาในรูปแบบที่แตกต่างกัน
ปัญหาการกู้บัญชี
สิ่งที่เท็ดชี้ให้เห็นในจดหมายของเขาก็คือหลาย บริษัท ต้องการให้คุณตั้งค่าวิธีการ 2FA ครั้งที่สองเพิ่มเติมจากคีย์ความปลอดภัยของฮาร์ดแวร์ ตัวอย่างเช่น Google คุณต้องใช้ SMS ติดตั้งแอพ Authenticator ของ บริษัท หรือลงทะเบียนอุปกรณ์ของคุณเพื่อรับการแจ้งเตือนแบบพุชจาก Google ที่ยืนยันบัญชีของคุณ คุณต้องการตัวเลือกอย่างน้อยหนึ่งในสามตัวเลือกเหล่านี้เพื่อสำรองข้อมูลตัวเลือก 2FA อื่น ๆ ที่คุณใช้เช่นปุ่มไททันจาก Google
แม้ว่าคุณจะลงทะเบียนรหัสความปลอดภัยที่สองเป็นข้อมูลสำรองคุณยังต้องเปิดใช้งาน SMS, Google Authenticator หรือการแจ้งเตือนแบบพุช โดยเฉพาะอย่างยิ่งหากคุณต้องการใช้โปรแกรมการป้องกันขั้นสูงของ Google จำเป็นต้องลงทะเบียนคีย์ที่สอง
ในทำนองเดียวกัน Twitter ยังต้องการให้คุณใช้รหัส SMS หรือแอปที่รับรองความถูกต้องนอกเหนือจากคีย์ความปลอดภัยของฮาร์ดแวร์ที่เป็นตัวเลือก น่าเสียดายที่ Twitter อนุญาตให้คุณลงทะเบียนรหัสความปลอดภัยครั้งละหนึ่งคีย์เท่านั้น
ดังที่เท็ดชี้ให้เห็นว่าวิธีทางเลือกเหล่านี้มีความปลอดภัยทางเทคนิคน้อยกว่าการใช้รหัสความปลอดภัยด้วยตัวเอง ฉันสามารถเดาได้ว่าทำไมระบบเหล่านี้ถึงมีการใช้งานด้วยวิธีนี้ แต่ฉันสงสัยว่าพวกเขาต้องการให้แน่ใจว่าลูกค้าของพวกเขาสามารถเข้าถึงบัญชีของพวกเขาได้ตลอดเวลา รหัส SMS และแอพตัวตรวจสอบความถูกต้องเป็นตัวเลือกที่ผ่านการทดสอบตามเวลาที่ง่ายต่อการเข้าใจและไม่ต้องการให้ซื้ออุปกรณ์เพิ่มเติม รหัส SMS ยังแก้ไขปัญหาการโจรกรรมอุปกรณ์ หากคุณทำโทรศัพท์หายหรือถูกขโมยคุณสามารถล็อคจากระยะไกลยกเลิกการอนุญาตซิมการ์ดและรับโทรศัพท์ใหม่ที่สามารถรับรหัส SMS เพื่อกลับมาออนไลน์ได้
โดยส่วนตัวฉันชอบที่จะมีตัวเลือกมากมายเพราะในขณะที่ฉันกังวลเกี่ยวกับความปลอดภัยฉันก็รู้จักตัวเองและรู้ว่าฉันทำผิดหรือเสียสิ่งต่าง ๆ เป็นประจำ ฉันรู้ว่าคนที่ไม่เคยใช้ 2FA มาก่อนมีความกังวลใจอย่างมากเกี่ยวกับการค้นหาตัวเองถูกล็อกจากบัญชีของพวกเขาหากพวกเขาใช้ 2FA
2FA นั้นดีมากจริงๆ
เป็นสิ่งสำคัญเสมอที่จะเข้าใจข้อเสียของระบบความปลอดภัยใด ๆ แต่นั่นไม่ได้ทำให้ระบบใช้ไม่ได้ ในขณะที่ 2FA นั้นมีจุดอ่อน แต่ก็ประสบความสำเร็จอย่างมาก
เราต้องมองหา Google อีกครั้ง บริษัท จำเป็นต้องใช้คีย์ฮาร์ดแวร์ 2FA ภายในและผลลัพธ์พูดด้วยตนเอง การยึดครองบัญชีที่ประสบความสำเร็จของพนักงาน Google ได้หายไปอย่างมีประสิทธิภาพ นี่เป็นสิ่งสำคัญอย่างยิ่งเมื่อพิจารณาว่าพนักงานของ Google ซึ่งมีตำแหน่งในอุตสาหกรรมเทคโนโลยีและความมั่งคั่ง (สันนิษฐาน) เป็นสิ่งสำคัญสำหรับการโจมตีเป้าหมาย นี่คือที่ผู้โจมตีใช้ความพยายามอย่างมากในการกำหนดเป้าหมายเฉพาะบุคคลในการโจมตี มันหายากและมักจะประสบความสำเร็จหากผู้โจมตีมีเงินทุนและความอดทนเพียงพอ
ชุดคีย์ความปลอดภัยของ Google Titan มีปุ่ม USB-A และ Bluetooth
ข้อแม้ที่นี่คือ Google ต้องการ 2FA ประเภทเฉพาะ: คีย์ความปลอดภัยของฮาร์ดแวร์ สิ่งเหล่านี้มีความได้เปรียบมากกว่าแผนการ 2FA อื่น ๆ เนื่องจากเป็นการยากที่จะทำลายหรือขัดขวาง บางคนอาจพูดว่าเป็นไปไม่ได้ แต่ฉันเห็นสิ่งที่เกิดขึ้นกับไททานิคและรู้ดีกว่า
ถึงกระนั้นวิธีการสกัดกั้นรหัส SMS 2FA หรือโทเค็นการรับรองความถูกต้องนั้นค่อนข้างแปลกใหม่และไม่ได้ปรับขนาดได้ดีนัก ซึ่งหมายความว่าพวกเขาไม่ได้ถูกใช้โดยอาชญากรทั่วไปที่กำลังมองหาการสร้างรายได้อย่างรวดเร็วและง่ายดายเท่าที่จะเป็นไปได้กับคนทั่วไปเช่นคุณ
จนถึงจุดของ Ted: คีย์ความปลอดภัยของฮาร์ดแวร์เป็นวิธีที่ปลอดภัยที่สุดที่เราเคยเห็นในการทำ 2FA พวกมันยากมากที่จะฟิชชิ่งและโจมตีได้ยากมากถึงแม้ว่าพวกเขาจะไม่ได้รับความอ่อนแอก็ตาม นอกจากนี้คีย์ฮาร์ดแวร์ 2FA จะได้รับการพิสูจน์ในอนาคตในระดับหนึ่ง บริษัท จำนวนมากเคลื่อนห่างจากรหัส SMS และบาง บริษัท มีการเข้าสู่ระบบแบบไม่ใช้รหัสผ่านที่ต้องพึ่งพาคีย์ 2FA ของฮาร์ดแวร์ที่ใช้มาตรฐาน FIDO2 หากคุณใช้รหัสฮาร์ดแวร์ตอนนี้มีโอกาสดีที่คุณจะได้รับความปลอดภัยในอีกหลายปีข้างหน้า
Nitrokey FIDO U2F รับประกันความปลอดภัยแบบโอเพ่นซอร์ส
- การรับรองความถูกต้องแบบสองปัจจัย: ใครมีและวิธีการตั้งค่าการตรวจสอบความถูกต้องแบบสองปัจจัย: ใครมีและกำหนดค่าได้อย่างไร
- Google: การโจมตีแบบฟิชชิ่งที่สามารถเอาชนะสองปัจจัยกำลังมาแรง Google: การโจมตีแบบฟิชชิ่งที่สามารถเอาชนะสองปัจจัยกำลังเพิ่มขึ้น
- SecurityWatch: วิธีการไม่ล็อคด้วยการรับรองความถูกต้องด้วยสองปัจจัย SecurityWatch: วิธีการไม่ล็อคกับการรับรองความถูกต้องด้วยสองปัจจัย
มีความปลอดภัยเทียบเท่ากับคีย์ 2FA ของฮาร์ดแวร์ระบบนิเวศที่มีขนาดใหญ่นั้นต้องการการประนีประนอมเพื่อป้องกันไม่ให้คุณออกจากบัญชีของคุณโดยไม่จำเป็น 2FA ต้องเป็นเทคโนโลยีที่ผู้คนใช้งานจริงหรืออย่างอื่นก็ไม่คุ้มค่าอะไรเลย
ฉันคิดว่าคนส่วนใหญ่จะใช้แอพและตัวเลือก 2FA บนพื้นฐานของ SMS เนื่องจากพวกเขาง่ายต่อการติดตั้งและฟรี สิ่งเหล่านี้อาจไม่ใช่ตัวเลือกที่ดีที่สุด แต่ทำงานได้ดีกับคนส่วนใหญ่ อย่างไรก็ตามอาจมีการเปลี่ยนแปลงในไม่ช้าขณะนี้ Google ให้คุณใช้อุปกรณ์มือถือที่ใช้ Android 7.0 หรือใหม่กว่าเป็นคีย์ความปลอดภัยของฮาร์ดแวร์
แม้จะมีข้อ จำกัด 2FA ก็น่าจะเป็นสิ่งที่ดีที่สุดสำหรับความปลอดภัยของผู้บริโภคตั้งแต่การป้องกันไวรัส มันป้องกันการโจมตีที่ร้ายแรงที่สุดบางอย่างได้อย่างเรียบร้อยและมีประสิทธิภาพโดยไม่เพิ่มความซับซ้อนให้กับชีวิตของผู้คนมากเกินไป อย่างไรก็ตามคุณตัดสินใจที่จะใช้ 2FA ให้เลือกวิธีที่เหมาะสมกับคุณ การไม่ใช้ 2FA นั้นสร้างความเสียหายได้มากกว่าการใช้รสชาติ 2FA ที่ยอดเยี่ยมเล็กน้อย