Kuris dviejų veiksnių autentifikavimo variantas yra geriausias?
Iš tikrųjų dviejų faktorių autentifikavimas (2FA) yra negailestingai paprastas ir neįtikėtinai efektyvus saugos elementas. Iš esmės, įgyvendindami dviejų veiksnių autentifikavimą, jūs užtikrinate, kad užpuolikas negali perimti aukos sąskaitos naudodamas tik vartotojo vardą ir slaptažodį. Autentifikavimo proceso metu yra dar vienas žingsnis, be kurio prieiga nebus suteikta. Kol kas taip tiesiai. Vis dėlto čia jau tampa sudėtingiau.
Dauguma 2FA sistemų priklauso nuo antrojo laikino slaptažodžio (dažnai vadinamo vienkartiniu slaptažodžiu arba OTP), kurį vartotojas turi įvesti norėdamas atrakinti savo sąskaitą. Kitais atvejais prisijungiant reikalingas aparatūros įrenginys arba prieigos raktas, įrodantis, kad vartotojui suteikta prieiga prie paskyros. Yra daug diskusijų, kuris variantas yra geresnis - aparatinės įrangos prieigos raktas arba OTP. Taip pat buvo aptartas klausimas, kuris yra geriausias aparatinės įrangos ženklas, ir tas pats pasakytina apie skirtingus būdus, kaip galima įgyvendinti OTP pagrįstas 2FA sistemas. Kitaip tariant, daugeliui 2FA iškėlė daugiau klausimų nei atsakė.
Table of Contents
OTP diskusija
OTP yra gana patikimas antrasis veiksnys, tačiau jį reikia įgyvendinti tinkamai. Jei OTP turi veikti, jie turi būti unikalūs ir atsitiktiniai. Jei įsilaužėliai sugeba išsiaiškinti, koks yra algoritmas už mechanizmo, sukuriančio OTP, jie gali įveikti visą 2FA sistemą. Jie taip pat galėtų išsisukti, jei turės pakankamai laiko atspėti OTP. Dėl patogumo dažnai OTP yra 4 arba 6 skaitmenų kodai, kuriuos galima gana lengvai atspėti. Štai kodėl svarbu užtikrinti, kad jie pasibaigtų per pagrįstą laiką. Be abejo, tinkamos normos gali užkirsti kelią užpuolikams nuo žiauraus elgesio.
Teisinga sakyti, kad dauguma kūrėjų ir sistemos administratorių, pasirinkusių OTP pagrįstą 2FA, laikosi šių taisyklių, o tokio tipo išpuoliai nėra tokie įprasti. Tačiau kalbant apie OTP pristatymo būdą, viskas yra visiškai kitaip.
Yra daugybė skirtingų būdų, kuriais galite pateikti vartotojui OTP. Tai galite padaryti el. Paštu, SMS žinutėmis arba naudodami autentifikavimo programą savo išmaniajame telefone. Gana daug žmonių praleido nuojautą dėl to, kaip nesaugu kai kurioms iš šių terpių. Pvz., Praeityje aptarėme , pavyzdžiui, gana seną tekstinių pranešimų technologiją, kuri teoriškai gali leisti įsilaužėliams perimti OTP ir apeiti 2FA. Jau kurį laiką el. Laiškai taip pat smerkiami kaip per daug nesaugūs, kad nešiotų tokią slaptą informaciją, kaip 2FA OTP.
Faktas yra tas, kad geriausias būdas užtikrinti, kad perdavimo metu negalima perimti OTP, yra jų neperduoti. Štai kodėl 2FA mobiliosios programos, tokios kaip „Google Authenticator“, yra laikomos geriausiomis galimybėmis OTP pagrįstoms dviejų faktorių autentifikavimo sistemoms, kurioms nereikia papildomos aparatinės įrangos rakto. Tačiau šių programų problema yra ta, kad vartotojai, kurie neturi išmaniojo telefono, negali jais naudotis.
Ar aparatūros žetonai yra sprendimas?
2FA programų idėja kilo iš aparatinės įrangos žetonų, kurie taip pat naudoja sudėtingas kriptografines funkcijas, kad vietoje sukurtų OTP. Jie yra žinomi kaip „RSA SecurID“. Jie yra maždaug tokio dydžio, kaip raktas, ir turi mažą vienspalvį LCD ekraną, rodantį dabartinį OTP. Galite tai įvertinti kaip sprendimą, ypač jei kai kurie jūsų potencialūs vartotojai neturi išmaniųjų telefonų, tačiau vis tiek reikia apsvarstyti vieną dalyką. Įprastinis vienkartinių slaptažodžių pažeidžiamumas yra tas, kad jie, kaip ir įprasti slaptažodžiai, gali būti sukčiaujami.
Štai kodėl, pasak saugumo ekspertų, saugiausios 2FA sistemos pasikliauja U2F klavišais - aparatinės įrangos žetonais, kurie, užuot generuodami ir rodydami OTP, tiesiogiai susisiekia su kompiuteriu ar mobiliuoju įrenginiu ir automatiškai jus atpažįsta. Jie yra pakankamai maži, kad juos būtų galima nešioti ant raktų žiedo, jie neturi akumuliatoriaus, o belaidžio ryšio technologija, kuria remiasi kai kurie iš jų, reiškia, kad autentifikavimas dažnai vyksta akimirksniu. Kadangi vartotojui neprivaloma įvesti OTP, tai laikoma geriausiu metodu tiek naudojimo, tiek saugumo atžvilgiu. Vis dėlto jis vis dar nėra tobulas.
Skirtingai nei 2FA programos, el. Laiškai ir daugeliu atvejų tekstiniai pranešimai U2F raktai nėra nemokami. Investicijos nėra milžiniškos, tačiau liūdnas dalykas yra tai, kad dauguma vartotojų nėra ypač linkę mokėti už saugumą, ir net protinga kaina gali jiems užkirsti kelią. Akivaizdu, kad yra ir mažų žetonų praradimo problema.
Kaip pasirinkti tinkamiausią 2FA diegimą jūsų paslaugai?
Apskritai, nėra tokio dalyko kaip „tobulas 2FA“. Kai kurie diegimai yra saugesni nei kiti, tačiau jie visi turi savo atskiras problemas, o tai reiškia, kad jei teikiate internetinę paslaugą, turite nuspręsti, kokį 2FA planą įdiegsite, atsižvelgdami į savo vartotojus, jų poreikius, ir jų grėsmės modeliai. Siekdami papildomo lankstumo, dauguma paslaugų teikėjų leidžia žmonėms pasirinkti 2FA diegimą, kurį jie nori naudoti iš kelių skirtingų variantų sąrašo, ir tai, ko gero, yra pats priimtiniausias požiūris, atsižvelgiant į tai, kokia įvairialypė gali būti vartotojo bazė.
Vis dėlto nepamirškite vieno dalyko - net pats nesaugus 2FA yra geresnis nei joks 2FA.
