Securitywatch: ทำอย่างไรถึงจะไม่ถูกล็อคด้วยการตรวจสอบสิทธิ์แบบสองปัจจัย | Max Eddy

เครื่องมือความปลอดภัยมักจะสร้างความกังวลจำนวนหนึ่ง จะเกิดอะไรขึ้นถ้าฉันทำรหัสผ่านหาย หรือหากโปรแกรมป้องกันไวรัสลบข้อมูลของฉัน การถือกำเนิดของการรับรองความถูกต้องด้วยสองปัจจัยได้สร้างความกังวลใจใหม่ ๆ : จะเกิดอะไรขึ้นถ้าฉันไม่สามารถใช้ปัจจัยที่สองและล็อคออกจากบัญชีของฉันได้

Jeremy จาก Capetown เขียนด้วยความกังวลเล็กน้อยเกี่ยวกับ 2FA ฉันได้แก้ไขจดหมายของเขาสั้น ๆ

ท่านที่รัก

ฉันไม่ได้ใช้เทคนิคมากเกินไปและต้องการอุปกรณ์ตรวจสอบสองปัจจัยที่ไม่ได้เกิดจากความยุ่งยากในการตั้งค่าหรือการเข้าถึงเช่นเดียวกับที่คุณพบกับ Yubikey ความกลัวที่ยิ่งใหญ่ที่สุดของฉันคือการล็อคตัวเองออกจาก Gmail ของฉัน

จะเป็นการดีกว่าถ้าซื้อสองปุ่มโดยใช้หนึ่งเป็นคีย์สำรอง

ขอแสดงความนับถือ

เจเรมี

ในกรณีที่คุณยังไม่เคยได้ยินเรื่องการตรวจสอบสิทธิ์แบบสองปัจจัยหรือ 2FA นี่คือส่วนสำคัญ: 2FA เป็นการกระทำที่สองที่คุณดำเนินการหลังจากที่คุณป้อนรหัสผ่านเพื่อยืนยันตัวตนของคุณ แนวคิดคือผู้โจมตีอาจมีรหัสผ่านของคุณ แต่พวกเขาจะไม่มีรหัสความปลอดภัยแอพตัวตรวจสอบความถูกต้องหรือรหัส SMS มีทั้งทฤษฎีและการปฏิบัติสำหรับ 2FA ที่ฉันจะไม่เข้าไปที่นี่ แต่ฉันสนับสนุนให้คุณและเปิดใช้งาน 2FA ที่คุณสามารถทำได้

Jeremy อยู่ใน บริษัท ที่ดีในความกังวลของเขาที่มีต่อ 2FA คนที่มีความรู้ด้านเทคนิคและความปลอดภัยจำนวนมากที่ฉันรู้จักก็ยังคงหลีกเลี่ยงการป้องกันแบบสองปัจจัยเพราะพวกเขากลัวที่จะถูกล็อคและอาจสูญเสียการเข้าถึงสิ่งต่าง ๆ ตลอดไป มันเป็นเรื่องจริงและถูกต้อง

ผู้อ่านมันเกิดขึ้นกับฉัน

อันที่จริงฉันถูกล็อคออกจากบัญชีที่ป้องกัน 2FA มาก่อน มากกว่าหนึ่งครั้ง. ย้อนกลับไปในวันหนึ่งใน บริษัท แรก ๆ ที่เสนอการรับรองความถูกต้องด้วยสองปัจจัยคือ Blizzard ผู้เล่น World of Warcraft เข้าถึงได้ก่อนเนื่องจากพวกเขาต้องการปกป้องการปล้นสะดมที่ยาก คุณอาจจำคนที่เดินไปรอบ ๆ ด้วยพวงกุญแจ WoW ที่แสดงตัวเลขเปลี่ยนแปลงบนจอ LCD Blizzard ปรับปรุงประสบการณ์ให้ดีขึ้นในแอพมือถือและมอบ 2FA ให้กับผู้ใช้ Battle.net ทุกคน

ในฐานะที่เป็นคนหวาดระแวงที่ฉันเป็นฉันเปิดใช้งาน 2FA ในบัญชี Blizzard ของฉันโดยใช้แอพ Blizzard Authenticator พิเศษ ฉันลืมทันทีที่ฉันทำสิ่งนี้และในช่วงหลายเดือนที่ผ่านมาให้ลบแอปออกจากโทรศัพท์ของฉันและลืมรหัสผ่าน โชคดีที่ Blizzard มีการบริการลูกค้าที่ยอดเยี่ยม ไม่กี่อีเมลกับพนักงานร่าเริงของพวกเขาให้ฉันกลับมาออนไลน์ในไม่กี่วัน แม้ว่ามันจะยังประสาทอยู่ ฉันเคยชินกับการจัดการรหัสผ่านใหม่ของตัวเองและความคิดที่จะมีส่วนร่วมกับมนุษย์ที่มีชีวิตจริงซึ่งเป็นส่วนหนึ่งของกระบวนการนั้นรู้สึกดีแปลกมาก

ตั้งแต่ฉันคุ้นเคยกับประสบการณ์และฉันเรียนรู้ที่จะฉลาดในการรักษาความปลอดภัยของตัวรับรองความถูกต้อง ฉันยังคงถูกล็อคจาก Battle.net ซ้ำ ๆ รวมถึง Steam และบริการอื่น ๆ

ขึ้นอยู่กับวิธีที่ บริษัท กำหนดค่าข้อเสนอ 2FA ของ บริษัท คุณอาจพบว่าตัวเองต้องดิ้นรนไปข้างหลังเพื่อให้สามารถควบคุมบัญชีของคุณได้ ที่น่ารำคาญอย่างที่ฟังดูจริง ๆ แล้วมันหมายความว่าบริการใช้งานได้ คุณ ควรจะ ต้องกระโดดผ่านห่วงจำนวนมากถ้าคุณไม่มีผู้ให้สิทธิ์ ถ้ามันง่ายสำหรับคุณแล้วมันจะง่ายสำหรับคนเลว

ทวีคูณปัจจัยของคุณ

โชคดีที่มีวิธีง่าย ๆ ในการป้องกันไม่ให้ถูกล็อคโดย 2FA: ใช้ตัวเลือก 2FA หลายตัว สิ่งเหล่านี้สามารถทำหน้าที่เป็นข้อมูลสำรองในกรณีที่คุณไม่สามารถเข้าถึงตัวเลือก 2FA อื่น ตัวอย่างเช่นฉันใช้ YubiKey 5 NFC กับบัญชี Google ของฉัน แต่ฉันเปิดใช้งานการแตะที่การแจ้งเตือนแบบพุชการยืนยันบนโทรศัพท์ของฉัน ถ้าฉันไม่มี Yubikey ของฉันฉันจะใช้มันแทน

การเพิ่มอุปกรณ์ multifactor มากขึ้นจะเพิ่มความเสี่ยงที่บัญชีของคุณอาจถูกบุกรุก ขณะนี้มีสองวิธีในการเข้าสู่บัญชีของคุณแทนที่จะเป็นหนึ่งเดียว ฉันเชื่อว่ารางวัลที่ไม่ได้ล็อคไว้ในบัญชีของคุณนั้นมีมากกว่าสถานการณ์ที่ไม่น่าเป็นไปได้อย่างมากที่คุณจะถูกปล้นและ perp ใช้กระเป๋าเงินของคุณกุญแจและรหัสความปลอดภัยและคุณยังได้เขียนรหัสผ่านของคุณ

ชุดรหัสความปลอดภัย Google Titan

การรับรองที่ดีที่สุดในการใช้อุปกรณ์ 2FA มากกว่าหนึ่งอันนั้นมาจาก Google ซึ่งมีสองปุ่มในชุด Titan Key สิ่งเหล่านี้ถูกสร้างขึ้นเป็นพิเศษเพื่อทำงานกับระบบการป้องกันขั้นสูงของ Google ซึ่งคุณต้องลงทะเบียนคีย์ความปลอดภัยแยกต่างหากสองคีย์ คุณใช้หนึ่งวันทุกวันและเก็บอีกกรณีฉุกเฉิน ดังนั้นเพื่อตอบคำถามของ Jeremy โดยตรง: ไม่ใช่ความคิดที่ดีที่จะมีสองปุ่มสำหรับบัญชีของคุณ

น่าเสียดายที่ไม่ใช่ทุกไซต์ที่อนุญาตให้คุณลงทะเบียนตัวเลือก multifactor มากกว่าหนึ่งตัวเลือก หากเป็นเช่นนั้นฉันขอแนะนำให้ใช้ตัวเลือก 2FA ที่คุณรู้สึกว่าน่าเชื่อถือที่สุดสำหรับคุณ

การสร้างคลังแสงของคุณ

หากคุณเลือกที่จะซื้อคีย์ 2FA ฮาร์ดแวร์หลายชุดฉันขอแนะนำคีย์ความปลอดภัยทางเลือกของบรรณาธิการโดยยูบีโกหรือชุดไททันคีย์จาก Google คีย์ความปลอดภัยของ Yubico มีค่าใช้จ่ายเพียง $ 20 ต่อคนหรือ $ 36 สำหรับสองคน ชุดค่าใช้จ่ายของ Google มีค่าใช้จ่าย $ 50 และมีอุปกรณ์สองรายการ: คีย์ USB หนึ่งตัวและดองเกิลบลูทู ธ Bluetooth ที่ใช้พลังงานแบตเตอรี่

คีย์ความปลอดภัยโดย Yubico

เป็นเวลาหลายปีที่วิธีที่ใช้บ่อยที่สุด 2FA คือการส่งรหัสแบบครั้งเดียวไปยังโทรศัพท์ของคุณทางข้อความ คุณอาจต้องใช้สิ่งนี้กับธนาคารของคุณเนื่องจากสถาบันการเงินมักจะปรับใช้เทคโนโลยีใหม่ช้ากว่า Google น่าสนใจคุณยังต้องเปิดใช้งานรหัส SMS หากคุณต้องการใช้ระบบ 2FA อื่น ๆ สำหรับคำถามของ Jeremy นั่นหมายความว่าเมื่อคุณไปลงทะเบียนรหัสความปลอดภัยใหม่กับ Google คุณจะต้องเปิดใช้งานตัวเลือก 2FA ตัวที่สองในรูปแบบของรหัส SMS

ตัวเลือกอื่นคือใช้ Google Authenticator หรือแอพที่คล้ายกันเช่น LastPass Authenticator แอพมือถือเหล่านี้สร้างรหัสผ่านหกหลักทุก ๆ 30 วินาที เพียงแค่เปิดแอปคัดลอกรหัสและคุณจะเข้าสู่สิ่งเหล่านี้มีประโยชน์อย่างยิ่งเป็นตัวเลือกสำรอง 2FA เนื่องจากแอปทำงานได้แม้ไม่มีบริการโทรศัพท์มือถือหรือ Wi-Fi

หากสิ่งเหล่านั้นดูน่าเป็นห่วงคุณสามารถใช้วิธีการที่ฉันต้องการ: รหัสสำรองทางกายภาพ คุณอาจเห็นสิ่งเหล่านี้เมื่อสร้างบัญชีหรือลงทะเบียนใน 2FA มันเป็นตารางของตัวเลขหลายตัวที่คุณสามารถใช้แทนรหัสผ่านและโทเค็น 2FA สิ่งเหล่านี้จะถูกสร้างขึ้นเพียงครั้งเดียวและหากคุณสร้างขึ้นมาใหม่พวกเขาจะถูกโยนทิ้งไป เป็นการดีที่คุณจะรักษาความปลอดภัยเหล่านี้ในห้องเก็บไฟล์ที่เข้ารหัสหรือดีกว่ายังอยู่ในกระดาษที่ซ่อนอยู่ในที่ปลอดภัย

เมื่อสร้างโปรแกรมการป้องกันขั้นสูง Google เลือกใช้ฮาร์ดแวร์คีย์หลายตัวเนื่องจากตัวเลือกอื่น ๆ ทั้งหมดที่ฉันระบุไว้ข้างต้นรวมถึงรหัสสำรองอาจถูกบันทึกด้วยหน้าฟิชชิ่งที่ทำมาอย่างดี การปลอมแปลงรหัสความปลอดภัยนั้นยากกว่ามาก

• การรับรองความถูกต้องแบบสองปัจจัย: ใครมีและวิธีการตั้งค่าการตรวจสอบความถูกต้องแบบสองปัจจัย: ใครมีและกำหนดค่าได้อย่างไร
• ทำไมคุณไม่ใช้การรับรองความถูกต้องด้วยสองปัจจัย? ทำไมคุณไม่ใช้การรับรองความถูกต้องด้วยสองปัจจัย?
• Google: การโจมตีแบบฟิชชิ่งที่สามารถเอาชนะสองปัจจัยกำลังมาแรง Google: การโจมตีแบบฟิชชิ่งที่สามารถเอาชนะสองปัจจัยกำลังเพิ่มขึ้น

โปรดทราบว่าเว็บไซต์บางแห่งอาจไม่รองรับทุกประเภทของผู้ตรวจสอบสิทธิ์ LastPass ช่วยให้คุณใช้คีย์ความปลอดภัย แต่มีเพียงคีย์ที่รองรับรหัสผ่านครั้งเดียวเท่านั้น การพิจารณาว่าตัวรับรองความถูกต้องตัวใดที่ใช้บ่อยครั้งเป็นฟังก์ชั่นของตัวเลือกที่รองรับ

ขั้นตอนแรกของคุณสำหรับการรับรองความถูกต้องด้วยสองปัจจัย

ที่กล่าวว่าฉันขอแนะนำให้ทุกคนที่เพิ่งรู้จัก 2FA ลองใช้ระบบอื่นนอกเหนือจากคีย์ความปลอดภัยก่อน หากคุณไม่คุ้นเคยกับการมีสิ่งที่สองนั้นรอบเข้าสู่ระบบคุณมีแนวโน้มที่จะสับสนกับสิ่งที่ไม่คุ้นเคยเป็นคีย์ความปลอดภัย ให้ลองใช้การแจ้งเตือนแบบพุชรหัสที่ส่งผ่านข้อความตัวอักษร Duo หรือ Google Authenticator (หรือตัวสร้างรหัสที่คล้ายกัน) แทน อุปกรณ์เหล่านี้ใช้อุปกรณ์ที่คุณมีอยู่แล้วดังนั้นจึงไม่มีค่าใช้จ่ายในการเข้า เมื่อคุณคุ้นเคยกับการทำงานของ 2FA และเริ่มรู้สึกว่าเป็นลักษณะที่สองคุณสามารถนึกถึงการเก็บเงินเพื่อใช้เป็นรหัสความปลอดภัย

คุณลักษณะด้านความปลอดภัยนั้นมีค่าก็ต่อเมื่อคุณใช้งานจริง ดังนั้นเปิดใช้งาน 2FA แต่ให้สิทธิ์คุณในการเล่นกับมันและค้นหาวิธีที่เหมาะกับคุณ