Hvilken tofaktorautentiseringsmulighed er den bedste?

The Best Two-Factor Authentication Option

I lyset af det er tofaktorautentisering (2FA) en hensynsløs enkel og utroligt effektiv sikkerhedsfunktion. I det væsentlige sikrer du, at en angriber ikke overtager et offers konto ved kun at anvende et brugernavn og en adgangskode ved at implementere tofaktorautentifikation. Der er et yderligere trin under godkendelsesprocessen, uden hvilken der ikke gives adgang. Indtil videre, så ligetil. Det er her, det begynder at blive mere kompliceret.

De fleste 2FA-systemer er afhængige af en anden midlertidig adgangskode (ofte kaldet engangsadgangskode eller OTP), som brugeren skal indtaste for at låse deres konto op. I andre tilfælde kræver login til en hardwareenhed eller token, der fungerer som bevis for, at brugeren er autoriseret til at få adgang til kontoen. Der er en masse debat omkring, hvad der er den bedre mulighed - en hardware-token eller en OTP. Spørgsmålet om, hvilket er det bedste hardware-token, er også blevet drøftet, og det samme gælder de forskellige måder, hvorpå OTP-baserede 2FA-systemer kan implementeres. Med andre ord, 2FA har for mange rejst flere spørgsmål, end den har besvaret.

OTP-diskussionen

En OTP er en temmelig robust anden faktor, men den skal implementeres korrekt. Hvis OTP'er skal arbejde, skal de være unikke og tilfældige. Hvis hackerne er i stand til at finde ud af algoritmen bag den mekanisme, der opretter OTP'er, kan de slå hele 2FA-systemet. De kan også være i stand til at arbejde sig omkring det, hvis de har tid nok til at gætte OTP. Af hensyn til anvendeligheden er OTP'er ofte 4- eller 6-cifrede koder, der kan gætes med relativt lethed. Derfor er det vigtigt at sikre, at de udløber efter en rimelig periode. Rigtige taksegrænser kan naturligvis også forhindre angribere i at brute-tvinge vej ind.

Det er rimeligt at sige, at de fleste udviklere og systemadministratorer, der har valgt OTP-baseret 2FA, overholder disse regler, og angreb af denne særlige art er ikke så almindelige. Når det kommer til leveringsmetoden for OTP'er, er tingene imidlertid helt forskellige.

Der er en række forskellige måder, hvorpå du kan levere en OTP til brugeren. Du kan gøre det via e-mail, SMS eller en autentificeringsapp på deres smartphone. En hel del mennesker har mistet deres køl over, hvor usikre nogle af disse medier er. Vi har tidligere diskuteret teknologien bag tekstbeskeder, som er ret gammel og teoretisk kan lade hackere opfange OTP'er og omgå 2FA. I et stykke tid er e-mails også fordømt som alt for usikre til at bære følsomme oplysninger som 2FA OTP'er.

Faktum er, at den bedste måde at sikre, at OTP'er ikke kan blive opfanget under transmission, ikke er at overføre dem overhovedet. Dette er grunden til, at 2FA-mobile applikationer som Google Authenticator betragtes som den bedste mulighed for OTP-baserede tofaktor-godkendelsessystemer, der ikke kræver et ekstra hardwaretoken. Problemet med disse apps er imidlertid, at brugere, der ikke har en smartphone, ikke kan bruge dem.

Er hardware-tokens løsningen?

Ideen om 2FA-apps stammer fra hardwaretokener, der også bruger komplekse kryptografiske funktioner til at oprette OTP'er på stedet. De er kendt som RSA SecurID, de er omtrent på størrelse med en nøglefolie og har et lille monokrom LCD-display, der viser den aktuelle OTP. Du kan se dette som en løsning, især hvis nogle af dine potentielle brugere ikke har smartphones, men der er stadig en ting at overveje. Den iboende sårbarhed med engangsadgangskoder er, at de ligesom normale adgangskoder kan phishing.

Dette er grunden til, ifølge sikkerhedseksperter, de mest sikre 2FA-systemer er afhængige af U2F-nøgler - hardwaretokener, som i stedet for at generere og vise OTP'er, kommunikerer direkte med din computer eller mobile enhed og automatisk autentificerer dig. De er små nok til at blive transporteret rundt på en nøglering, de har ikke et batteri, og den trådløse teknologi, nogle af dem stoler på, betyder, at godkendelse ofte er øjeblikkelig. Da brugeren ikke kræves at indtaste en OTP, betragtes dette som den bedste metode med hensyn til både brugervenlighed og sikkerhed. Det er dog stadig ikke perfekt.

I modsætning til 2FA-apps, e-mails og i de fleste tilfælde tekstmeddelelser er U2F-nøgler ikke gratis. Investeringen er ikke enorm, men den triste kendsgerning er, at de fleste brugere ikke er særlig ivrige efter at betale for sikkerhed, og selv en rimelig pris kan være nok af en barriere for dem. Problemet med at miste de små tokens er naturligvis også til stede.

Hvordan vælger du den mest passende 2FA-implementering til din tjeneste?

Alt i alt er der ikke sådan noget som "den perfekte 2FA." Nogle implementeringer er mere sikre end andre, men de har alle deres egne separate problemer, hvilket betyder, at hvis du kører en onlinetjeneste, skal du beslutte, hvilken slags 2FA du skal implementere baseret på dine brugere, deres behov, og deres trusselmodeller. For yderligere fleksibilitet lader de fleste tjenesteudbydere folk vælge, hvilken 2FA-implementering, de vil bruge, fra en liste over flere forskellige muligheder, og dette er måske den mest fornuftige tilgang i betragtning af, hvor forskellig brugerbase kan være.

Sørg dog for, at du ikke glemmer en ting - selv den mest usikre 2FA er bedre end ingen 2FA.

April 16, 2020
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.