Vilket alternativ för tvåfaktorautentisering är det bästa?

The Best Two-Factor Authentication Option

I motsats till detta är tvåfaktorautentisering (2FA) en hänsynslös enkel och otroligt effektiv säkerhetsfunktion. Genom att genomföra tvåfaktorsautentisering säkerställer du i själva verket att en angripare inte kan ta över ett offerkonto med bara ett användarnamn och ett lösenord. Det finns ett ytterligare steg under autentiseringsprocessen utan vilken åtkomst inte kommer att beviljas. Så långt, så enkelt. Det är där det börjar bli mer komplicerat.

De flesta 2FA-system förlitar sig på ett andra tillfälligt lösenord (ofta kallat engångslösenord eller OTP), som användaren måste ange för att låsa upp sitt konto. I andra fall kräver inloggning en hårdvara eller token som fungerar som bevis på att användaren har behörighet att komma åt kontot. Det diskuteras mycket kring vilket är det bättre alternativet - en hårdvarttoken eller en OTP. Frågan om vilket är det bästa hårdvarutoken har också diskuterats, och detsamma gäller för olika sätt på vilka OTP-baserade 2FA-system kan implementeras. Med andra ord har 2FA tagit upp fler frågor än de har besvarat för många.

OTP-diskussionen

En OTP är en ganska robust andra faktor, men den måste implementeras korrekt. Om OTP: er ska fungera måste de vara unika och slumpmässiga. Om hackarna kan räkna ut algoritmen bakom mekanismen som skapar OTP: er kan de slå hela 2FA-systemet. De kanske också kan jobba sig runt det om de har tillräckligt med tid att gissa OTP. För användbarhetens skull är OTP: er ofta 4- eller 6-siffriga koder som kan gissas med relativt enkelhet. Det är därför det är viktigt att se till att de löper ut efter en rimlig tidsperiod. Naturligtvis kan korrekta taktsgränser också hindra angripare från att tvinga sig in.

Det är rättvist att säga att de flesta utvecklare och systemadministratörer som har valt OTP-baserad 2FA följer dessa regler, och attacker av denna typ är inte så vanliga. När det gäller leveransmetoden för OTP: er är saker dock helt annorlunda.

Det finns ett antal olika sätt på vilka du kan leverera en OTP till användaren. Du kan göra det via e-post, SMS eller en autentiseringsapp på sin smartphone. Ganska många människor har tappat sin svalt över hur osäkra några av dessa medier är. Vi har diskuterat tidigare, till exempel, tekniken bakom textmeddelanden som är ganska gammal och teoretiskt kan låta hackare avlyssna OTP och kringgå 2FA. Under ett tag har e-postmeddelanden också fördömts som alltför osäkra för att bära känslig information som 2FA OTP.

Faktum är att det bästa sättet att säkerställa att OTP: er inte kan fångas upp under överföringen inte är att överföra dem alls. Det är därför 2FA-mobilapplikationer som Google Authenticator anses vara det bästa alternativet för OTP-baserade tvåfaktorsautentiseringssystem som inte kräver ytterligare hårdvara. Problemet med dessa appar är dock att användare som inte har en smartphone inte kan använda dem.

Är hårdvarutoken en lösning?

Idén med 2FA-appar härrör från hårdvarutoken som också använder komplexa kryptografiska funktioner för att skapa OTP: er på plats. De är kända som RSA SecurID och är ungefär på storleken på en nyckelfod och har en liten monokrom LCD-skärm som visar den aktuella OTP. Du kanske ser detta som en lösning, särskilt om några av dina potentiella användare inte har smartphones, men det finns fortfarande en sak att tänka på. Den inneboende sårbarheten med engångslösenord är att precis som vanliga lösenord kan de phishing.

Detta är anledningen till att enligt säkerhetsexperter är de säkraste 2FA-systemen beroende av U2F-nycklar - hårdvarutoken som istället för att generera och visa OTP: er, kommunicera direkt med din dator eller mobilenhet och automatiskt verifiera dig. De är små nog att transporteras på en nyckelring, de har inte ett batteri, och den trådlösa tekniken som vissa av dem litar på betyder att autentisering ofta är omedelbar. Eftersom användaren inte är skyldig att ange en OTP anses detta vara den bästa metoden både vad gäller användbarhet och säkerhet. Men det är fortfarande inte perfekt.

Till skillnad från 2FA-appar, e-postmeddelanden och i de flesta fall textmeddelanden är U2F-nycklar inte gratis. Investeringen är inte enorm, men det sorgliga faktum är att de flesta användare inte är särskilt angelägna om att betala för säkerhet, och till och med ett rimligt pris kan vara tillräckligt för en barriär för dem. Uppenbarligen är problemet med att förlora de små tokens också närvarande.

Hur väljer du den mest lämpliga 2FA-implementeringen för din tjänst?

Sammantaget finns det inget som "den perfekta 2FA." Vissa implementationer är säkrare än andra, men de har alla sina egna separata problem, vilket innebär att om du driver en onlinetjänst måste du bestämma vilken typ av 2FA du ska implementera utifrån dina användare, deras behov, och deras hotmodeller. För ytterligare flexibilitet låter de flesta tjänsteleverantörer välja vilken 2FA-implementering de vill använda från en lista med flera olika alternativ, och detta är kanske det mest rimliga tillvägagångssättet med tanke på hur mångfald användarbasen kan vara.

Se dock till att du inte glömmer en sak - även den mest osäkra 2FA är bättre än ingen 2FA.

April 16, 2020
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.