Hvilket tofaktorautentiseringsalternativ er det beste?

The Best Two-Factor Authentication Option

På grunn av det er tofaktorautentisering (2FA) en hensynsløs enkel og utrolig effektiv sikkerhetsfunksjon. I hovedsak sikrer du at en angriper ikke kan overta et offers konto ved å implementere tofaktorautentisering bare ved å bruke et brukernavn og et passord. Det er et ekstra trinn under autentiseringsprosessen uten at tilgang ikke vil bli gitt. Så langt, så grei. Det er her det begynner å bli mer komplisert.

De fleste 2FA-systemer er avhengige av et andre midlertidige passord (ofte referert til som engangspassord eller OTP), som brukeren må oppgi for å låse opp kontoen sin. I andre tilfeller krever innlogging en maskinvareenhet eller token som fungerer som bevis på at brukeren er autorisert til å få tilgang til kontoen. Det er mye debatt rundt det som er det bedre alternativet - en maskinvaretoken eller en OTP. Spørsmålet om hvilket som er det beste maskinvaretokenet har også blitt diskutert, og det samme gjelder de forskjellige måtene OTP-baserte 2FA-systemer kan implementeres. For mange har 2FA med andre ord reist flere spørsmål enn den har svart.

OTP-diskusjonen

En OTP er en ganske robust andre faktor, men den må implementeres riktig. Hvis OTP-er skal fungere, må de være unike og tilfeldige. Hvis hackerne er i stand til å finne ut algoritmen bak mekanismen som lager OTP-er, kan de slå hele 2FA-systemet. De kan også være i stand til å jobbe seg rundt det hvis de har nok tid til å gjette OTP. For brukervennlighet er ofte OTP-er 4- eller 6-sifrede koder som kan gjettes med relativt letthet. Det er derfor det er viktig å sikre at de går ut etter rimelig tid. Selvfølgelig kan riktige takstgrenser også hindre angripere fra å brute-tvinge seg inn.

Det er rimelig å si at de fleste utviklere og systemadministratorer som har valgt OTP-basert 2FA overholder disse reglene, og angrep av denne typen er ikke så vanlig. Når det gjelder leveringsmetoden for OTP-er, er ting imidlertid helt annerledes.

Det er en rekke forskjellige måter du kan levere en OTP til brukeren. Du kan gjøre det via e-post, SMS eller en autentiseringsapp på smarttelefonen deres. Ganske mange mennesker har mistet kjølen over hvor usikre noen av disse mediene er. Vi har diskutert tidligere, for eksempel teknologien bak tekstmeldinger som er ganske gammel og teoretisk kan la hackere avskjære OTP-er og omgå 2FA. I en stund nå er e-postmeldinger også fordømt som altfor usikre til å bære sensitiv informasjon som 2FA OTP-er.

Faktum er at den beste måten å sikre at OTP-er ikke kan bli oppfanget under overføring, ikke er å overføre dem i det hele tatt. Dette er grunnen til at 2FA mobilapplikasjoner som Google Authenticator anses som det beste alternativet for OTP-baserte tofaktors autentiseringssystemer som ikke krever ekstra maskinvaretoken. Problemet med disse appene er imidlertid at brukere som ikke har en smarttelefon, ikke kan bruke dem.

Er maskinvaretokener løsningen?

Ideen om 2FA-apper stammer fra maskinvaretokener som også bruker komplekse kryptografiske funksjoner for å lage OTP-er på stedet. De er kjent som RSA SecurID, og er omtrent på størrelse med en nøkkelbrett og har et lite svart-hvitt LCD-display som viser gjeldende OTP. Du kan se på dette som en løsning, spesielt hvis noen av dine potensielle brukere ikke har smarttelefoner, men det er fremdeles en ting å vurdere. Den iboende sårbarheten med engangspassord er at akkurat som normale passord, kan de phishing.

Dette er grunnen til, ifølge sikkerhetseksperter, de mest sikre 2FA-systemene er avhengige av U2F-nøkler - maskinvaretokener som i stedet for å generere og vise OTP-er, kommuniserer direkte med datamaskinen eller mobilenheten og autentiserer deg automatisk. De er små nok til å bli båret rundt på en nøkkelring, de har ikke et batteri, og den trådløse teknologien noen av dem stoler på betyr at autentisering ofte er øyeblikkelig. Fordi brukeren ikke er pålagt å oppgi en OTP, regnes dette som den beste metoden både når det gjelder brukervennlighet og sikkerhet. Det er likevel ikke perfekt.

I motsetning til 2FA-apper, e-postmeldinger og i de fleste tilfeller tekstmeldinger, er U2F-nøkler ikke gratis. Investeringen er ikke enorm, men det triste faktum er at de fleste brukere ikke er spesielt opptatt av å betale for sikkerhet, og til og med en rimelig pris kan være nok av en barriere for dem. Problemet med å miste de små symbolene er åpenbart også til stede.

Hvordan velge den mest passende 2FA-implementeringen for tjenesten din?

Alt i alt er det ikke noe som heter "den perfekte 2FA." Noen implementeringer er sikrere enn andre, men de har alle sine egne separate problemer, noe som betyr at hvis du kjører en online tjeneste, må du bestemme hva slags 2FA du skal implementere basert på brukerne dine, deres behov, og deres trusselmodeller. For ytterligere fleksibilitet lar de fleste tjenesteleverandører folk velge hvilken 2FA-implementering de vil bruke fra en liste over flere forskjellige alternativer, og dette er kanskje den mest fornuftige tilnærmingen gitt hvor mangfoldig brukerbasen kan være.

Forsikre deg om at du ikke glemmer en ting - selv den mest usikre 2FA er bedre enn ingen 2FA.

April 16, 2020
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.