Melyik kétfaktoros hitelesítési lehetőség a legjobb?

The Best Two-Factor Authentication Option

A kétfaktoros hitelesítés (2FA) könyörtelenül egyszerű és hihetetlenül hatékony biztonsági funkció. A két tényezővel történő hitelesítés végrehajtásával lényegében biztosítja, hogy a támadó csak felhasználónév és jelszó használatával ne vegye át az áldozat fiókját. A hitelesítési folyamat során van egy további lépés, amely nélkül a hozzáférés nem lesz megadva. Eddig olyan egyszerű. De itt kezd bonyolultabbá válni.

A legtöbb 2FA rendszer egy második ideiglenes jelszóra támaszkodik (gyakran egyszeri jelszónak vagy OTP-nek nevezik), amelyet a felhasználónak be kell írnia a számla feloldásához. Más esetekben a bejelentkezéshez hardver eszközre vagy tokenre van szükség, amely bizonyítja, hogy a felhasználó jogosult a fiók elérésére. Nagyon sok vita folyik körül, melyik a jobb választás - hardver token vagy OTP. Megvitatták azt a kérdést is, melyik a legjobb hardver token, és ugyanez vonatkozik az OTP-alapú 2FA rendszerek különböző megvalósítási módjaira is. Más szavakkal, sok esetben a 2FA több kérdést vet fel, mint amennyire válaszolt.

Az OTP beszélgetés

Az OTP egy elég robusztus második tényező, de helyesen kell végrehajtani. Ahhoz, hogy az OTP működjön, egyedinek és véletlenszerűnek kell lennie. Ha a hackerek képesek kitalálni az OTP-ket létrehozó mechanizmus mögött meghúzódó algoritmust, akkor megverték a teljes 2FA-rendszert. Lehet, hogy meg is tudnak lépni, ha van elég idejük kitalálni az OTP-t. A használhatóság érdekében az OTP-k gyakran 4- vagy 6-jegyű kódok, amelyek viszonylag könnyedén kitalálhatók. Ezért fontos biztosítani, hogy ésszerű időn belül lejárnak. Természetesen a megfelelő sebességkorlátozások megakadályozhatják a támadókat is a brutális erőszakos behatolástól.

Igaz azt mondani, hogy az OTP-alapú 2FA-t választó legtöbb fejlesztő és rendszergazda betartja ezeket a szabályokat, és az ilyen típusú támadások nem olyan gyakoriak. Ami az OTP-k kézbesítési módját illeti, a dolgok teljesen különböznek.

Számos különféle mód van az OTP kézbesítésére a felhasználó számára. Megteheti e-mailben, SMS-ben vagy egy okostelefonon lévő hitelesítő alkalmazás segítségével. Nagyon sok ember elveszíti az érzését, hogy ilyen közegek mennyire bizonytalanok. A múltban például megvitattuk a szöveges üzenetek mögött meghúzódó technológiát, amely meglehetősen régi és elméletileg lehetővé teszi a hackerek számára az OTP-k elfogását és a 2FA megkerülését. Egy ideje az e-maileket szintén elítélték, amelyek túl bizalmasak olyan érzékeny információk, mint a 2FA OTP-k szállításához.

A helyzet az, hogy a legjobb módszer annak biztosítására, hogy az OTP-k ne legyenek elfoghatók az átvitel során, nem az, hogy azokat egyáltalán továbbítsák. Ez az oka annak, hogy a 2FA mobil alkalmazások, mint például a Google Authenticator, az OTP-alapú kétfaktoros hitelesítési rendszerek legjobb választási lehetőségei, amelyek nem igényelnek további hardver tokent. Ezen alkalmazások problémája azonban az, hogy azok a felhasználók, akik nem rendelkeznek okostelefonnal, nem tudják használni őket.

A hardver tokenek a megoldása?

A 2FA alkalmazások elképzelése olyan hardver tokenekből származik, amelyek komplex kriptográfiai funkciókat használnak az OTP létrehozására a helyszínen. RSA SecurID néven ismert, ezek nagyjából egy kulcsfontosságú fénnyel rendelkeznek, és egy kicsi monokróm LCD-kijelzővel rendelkeznek, amely megmutatja az aktuális OTP-t. Ezt megoldásként tekintheti, különösen, ha néhány potenciális felhasználója nem rendelkezik okostelefonokkal, de még mindig egy szempontot kell figyelembe venni. Az egyszeri jelszavakkal járó biztonsági rés az, hogy a normál jelszavakhoz hasonlóan ők is adathalászók lehetnek.

Ezért a biztonsági szakértők szerint a legbiztonságosabb 2FA rendszerek az U2F kulcsokra támaszkodnak - hardver tokenekre, amelyek az OTP létrehozása és megjelenítése helyett közvetlenül kommunikálnak számítógépével vagy mobilkészülékével, és automatikusan hitelesítik Önt. Elég kicsik ahhoz, hogy kulccsal körbe lehessen vinni, nincs akkumulátoruk, és a vezeték nélküli technológia néhányukban azt jelenti, hogy a hitelesítés gyakran pillanatnyi. Mivel a felhasználónak nem kell OTP-t megadnia, ez a legjobb módszer mind a használhatóság, mind a biztonság szempontjából. Még mindig nem tökéletes.

A 2FA-alkalmazásoktól eltérően az e-mailek és a legtöbb esetben a szöveges üzenetek az U2F-kulcsok nem ingyenesek. A beruházás nem hatalmas, de a szomorú tény az, hogy a legtöbb felhasználó nem különösebben hajlandó fizetni a biztonságért, és még az ésszerű ár is elegendő akadályt jelent számukra. Nyilvánvaló, hogy a kis zsetonok elvesztésének problémája is fennáll.

Hogyan válasszuk ki a szolgáltatásnak legmegfelelőbb 2FA-megvalósítást?

Összességében nincs olyan dolog, mint a "tökéletes 2FA". Néhány megvalósítás biztonságosabb, mint másoknál, de mindegyiknek megvan a saját külön problémája, ami azt jelenti, hogy ha online szolgáltatást üzemeltet, akkor a felhasználók, igényeik alapján el kell döntenie, hogy milyen 2FA-t fog végrehajtani. és azok fenyegetési modelljei. A további rugalmasság érdekében a legtöbb szolgáltató engedi az embereknek, hogy több különböző lehetőség listájából válasszák ki, hogy melyik 2FA-megvalósítást akarják használni, és ez talán a legmegfelelőbb megközelítés, figyelembe véve, hogy a felhasználói adatbázis milyen változatos lehet.

Fontos, hogy ne felejtsen el egy dolgot - még a legbiztonságosabb 2FA is jobb, mint a 2FA.

April 16, 2020
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.