Οι διαφορετικές μορφές SMS ελέγχου ταυτότητας δύο παραγόντων, εφαρμογές Autheticator και περισσότερα

Πολλές ηλεκτρονικές υπηρεσίες προσφέρουν έλεγχο ταυτότητας δύο παραγόντων, που ενισχύει την ασφάλεια απαιτώντας κάτι περισσότερο από τον κωδικό πρόσβασής σας. Υπάρχουν πολλοί διαφορετικοί τύποι πρόσθετων μεθόδων ελέγχου ταυτότητας που μπορείτε να χρησιμοποιήσετε.

Οι διαφορετικές υπηρεσίες προσφέρουν διαφορετικές μεθόδους ελέγχου ταυτότητας δύο παραγόντων, και σε ορισμένες περιπτώσεις, μπορείτε ακόμη να επιλέξετε από μερικές διαφορετικές επιλογές. Δείτε πώς λειτουργούν και πώς διαφέρουν.

Επαλήθευση SMS

Πολλές υπηρεσίες σάς επιτρέπουν να εγγραφείτε για να λαμβάνετε ένα μήνυμα SMS κάθε φορά που συνδέεστε στο λογαριασμό σας. Αυτό το μήνυμα SMS θα περιέχει ένα σύντομο κωδικό χρήσης μιας χρήσης που θα πρέπει να εισάγετε. Με αυτό το σύστημα, το κινητό σας τηλέφωνο χρησιμοποιείται ως η δεύτερη μέθοδος ελέγχου ταυτότητας. Κάποιος δεν μπορεί να εισέλθει στον λογαριασμό σας μόνο αν έχει τον κωδικό πρόσβασής σας - χρειάζονται τον κωδικό πρόσβασης και την πρόσβασή σας στο τηλέφωνό σας ή στα μηνύματά του SMS.

Αυτό είναι βολικό, καθώς δεν χρειάζεται να κάνετε κάτι ιδιαίτερο, και οι περισσότεροι άνθρωποι έχουν κινητά τηλέφωνα. Ορισμένες υπηρεσίες θα καλέσουν ακόμη και έναν αριθμό τηλεφώνου και θα έχουν ένα αυτοματοποιημένο σύστημα να μιλήσουν έναν κωδικό, επιτρέποντάς σας να το χρησιμοποιήσετε με σταθερό τηλεφωνικό αριθμό που δεν μπορεί να λάβει μηνύματα κειμένου.

Ωστόσο, υπάρχουν μεγάλα προβλήματα με την επαλήθευση των SMS. Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν τις επιθέσεις swap SIM για να αποκτήσουν πρόσβαση στους ασφαλείς κωδικούς σας ή να τους παρακολουθήσουν χάρη σε ατέλειες στο κυψελοειδές δίκτυο. Συνιστούμε να μην χρησιμοποιείτε μηνύματα SMS, αν είναι δυνατόν. Ωστόσο, τα μηνύματα SMS εξακολουθούν να είναι πολύ ασφαλέστερα από ότι δεν χρησιμοποιούν καθόλου έλεγχο ταυτότητας δύο παραγόντων!

Κωδικοί που δημιουργούνται από εφαρμογές (όπως ο Επαληθευτής Google και η Authy)

Μπορείτε επίσης να δημιουργήσετε τους κωδικούς σας από μια εφαρμογή στο τηλέφωνό σας. Η πιο γνωστή εφαρμογή που κάνει αυτό είναι ο Επαληθευτής Google, ο οποίος προσφέρει η Google για Android και iPhone. Ωστόσο, προτιμούμε την Authy, η οποία κάνει ό, τι κάνει το Google Authenticator - και πολλά άλλα. Παρά το όνομα, αυτές οι εφαρμογές χρησιμοποιούν ένα ανοιχτό πρότυπο. Για παράδειγμα, είναι δυνατή η προσθήκη λογαριασμών της Microsoft και πολλών άλλων τύπων λογαριασμών στην εφαρμογή Google Authenticator.

Εγκαταστήστε την εφαρμογή, σαρώστε τον κώδικα κατά τη δημιουργία ενός νέου λογαριασμού και η εφαρμογή θα δημιουργήσει νέους κωδικούς περίπου κάθε 30 δευτερόλεπτα. Θα πρέπει να εισαγάγετε τον τρέχοντα κωδικό που εμφανίζεται στην εφαρμογή στο τηλέφωνό σας καθώς και τον κωδικό πρόσβασής σας όταν συνδέεστε σε έναν λογαριασμό.

Αυτό δεν απαιτεί καθόλου κυψελοειδές σήμα και ο "σπόρος" που επιτρέπει στην εφαρμογή να παράγει τους εν λόγω κωδικούς περιορισμένης χρονικής διάρκειας αποθηκεύεται μόνο στη συσκευή σας. Αυτό σημαίνει ότι είναι πολύ πιο ασφαλές, καθώς ακόμη και κάποιος που αποκτά πρόσβαση στον αριθμό τηλεφώνου σας ή παρακολουθεί μηνύματα κειμένου δεν θα γνωρίζει τους κωδικούς σας.

Ορισμένες υπηρεσίες - για παράδειγμα, ο Blizzard's Battle.net Authenticator - έχουν επίσης τις δικές τους ειδικές εφαρμογές δημιουργίας κώδικα.

Κλειδιά φυσικής επαλήθευσης ταυτότητας

Τα κλειδιά φυσικής ταυτότητας είναι μια άλλη επιλογή που αρχίζει να γίνεται πιο δημοφιλής. Μεγάλες εταιρείες από τον τομέα της τεχνολογίας και του χρηματοπιστωτικού τομέα δημιουργούν ένα πρότυπο γνωστό ως U2F και είναι ήδη δυνατή η χρήση ενός φυσικού διακριτικού U2F για τη διασφάλιση των λογαριασμών Google, Dropbox και GitHub. Αυτό είναι μόνο ένα μικρό κλειδί USB που βάζετε στο μπρελόκ σας. Όποτε θέλετε να συνδεθείτε στο λογαριασμό σας από έναν νέο υπολογιστή, θα πρέπει να εισαγάγετε το κλειδί USB και πατήστε ένα κουμπί πάνω του. Αυτό είναι - δεν πληκτρολογούν κωδικούς. Στο μέλλον, αυτές οι συσκευές θα πρέπει να λειτουργούν με NFC και Bluetooth για επικοινωνία με κινητές συσκευές χωρίς θύρες USB.

Αυτή η λύση λειτουργεί καλύτερα από την επαλήθευση μέσω SMS και τους κωδικούς μιας χρήσης, διότι δεν μπορεί να παρεμποδιστεί και να ανατραπεί. Είναι επίσης απλούστερο και πιο βολικό στη χρήση. Για παράδειγμα, ένας ιστότοπος ηλεκτρονικού "ψαρέματος" θα μπορούσε να σας δείξει μια ψεύτικη σελίδα σύνδεσης Google και να καταγράψει τον κωδικό μιας χρήσης κατά την προσπάθειά σας να συνδεθείτε. Στη συνέχεια, θα μπορούσαν να χρησιμοποιήσουν αυτόν τον κωδικό για να συνδεθούν στο Google. Ωστόσο, με ένα φυσικό κλειδί ελέγχου ταυτότητας που συνεργάζεται με το πρόγραμμα περιήγησης, ο περιηγητής μπορεί να εξασφαλίσει ότι επικοινωνεί με τον πραγματικό ιστότοπο και ο κώδικας δεν μπορεί να καταγραφεί από έναν εισβολέα.

Αναμείνετε να δείτε πολλά περισσότερα από αυτά στο μέλλον.

Έλεγχος βάσει εφαρμογών

Ορισμένες εφαρμογές για κινητά μπορεί να παρέχουν έλεγχο ταυτότητας δύο παραγόντων χρησιμοποιώντας την ίδια την εφαρμογή. Για παράδειγμα, η Google προσφέρει τώρα έναν έλεγχο ταυτότητας δύο κωδικών χωρίς κώδικα, αρκεί να έχετε εγκαταστήσει την εφαρμογή Google στο τηλέφωνό σας. Κάθε φορά που επιχειρείτε να συνδεθείτε στην Google από άλλον υπολογιστή ή συσκευή, απλά χρειαστεί να πατήσετε ένα κουμπί στο τηλέφωνό σας, χωρίς να απαιτείται κανένας κωδικός. Η Google ελέγχει για να βεβαιωθεί ότι έχετε πρόσβαση στο τηλέφωνό σας προτού επιχειρήσετε να συνδεθείτε.

Η επαλήθευση σε δύο βήματα της Apple λειτουργεί ομοίως, αν και δεν χρησιμοποιεί μια εφαρμογή, χρησιμοποιεί το ίδιο το λειτουργικό σύστημα iOS. Κάθε φορά που προσπαθείτε να συνδεθείτε από μια νέα συσκευή, μπορείτε να λάβετε έναν κωδικό μιας χρήσης που αποστέλλεται σε μια εγγεγραμμένη συσκευή, όπως το iPhone ή το iPad σας. Η εφαρμογή για κινητά του Twitter έχει μια παρόμοια λειτουργία που ονομάζεται επαλήθευση σύνδεσης. Και η Google και η Microsoft έχουν προσθέσει αυτή τη λειτουργία στις εφαρμογές smartphone Google και Microsoft Authenticator.

Συστήματα με βάση το ηλεκτρονικό ταχυδρομείο

Άλλες υπηρεσίες βασίζονται στον λογαριασμό σας ηλεκτρονικού ταχυδρομείου για να σας πιστοποιήσουν. Για παράδειγμα, εάν ενεργοποιήσετε το Steam Guard, ο Steam θα σας ζητήσει να εισαγάγετε έναν κωδικό μιας χρήσης που αποστέλλεται στο email σας κάθε φορά που συνδέεστε από έναν νέο υπολογιστή. Αυτό τουλάχιστον εξασφαλίζει ότι ένας εισβολέας θα χρειαστεί τόσο τον κωδικό Steam λογαριασμού σας όσο και την πρόσβαση στο λογαριασμό σας ηλεκτρονικού ταχυδρομείου για να αποκτήσει πρόσβαση σε αυτόν το λογαριασμό.

Αυτό δεν είναι τόσο ασφαλές όσο άλλες μέθοδοι επαλήθευσης σε δύο βήματα, καθώς μπορεί να είναι εύκολο για κάποιον να αποκτήσει πρόσβαση στον λογαριασμό σας ηλεκτρονικού ταχυδρομείου, ειδικά εάν δεν χρησιμοποιείτε επαλήθευση σε δύο βήματα! Αποφύγετε την επαλήθευση με βάση το ηλεκτρονικό ταχυδρομείο, εάν μπορείτε να χρησιμοποιήσετε κάτι πιο δυνατό. (Ευτυχώς, ο Steam προσφέρει την πιστοποίηση βάσει εφαρμογής στην εφαρμογή για κινητά.)

Το τελευταίο θέρετρο: Κώδικες ανάκτησης

Οι κωδικοί ανάκτησης παρέχουν ένα δίχτυ ασφαλείας σε περίπτωση που χάσετε τη μέθοδο ελέγχου ταυτότητας δύο παραγόντων. Όταν ρυθμίζετε έλεγχο ταυτότητας δύο παραγόντων, συνήθως θα έχετε τους κωδικούς ανάκτησης που πρέπει να καταγράψετε και να αποθηκεύσετε κάπου ασφαλείς. Θα τα χρειαστείτε εάν χάσετε ποτέ τη μέθοδο επαλήθευσης σε δύο βήματα.

Βεβαιωθείτε ότι διαθέτετε αντίγραφο των κωδικών ανάκτησης κάπου, αν χρησιμοποιείτε έλεγχο ταυτότητας σε δύο βήματα.

Δεν θα βρείτε πολλές επιλογές για καθέναν από τους λογαριασμούς σας. Ωστόσο, πολλές υπηρεσίες προσφέρουν πολλαπλές μεθόδους επαλήθευσης σε δύο βήματα, από τις οποίες μπορείτε να επιλέξετε.

Υπάρχει επίσης η δυνατότητα χρήσης πολλαπλών μεθόδων ελέγχου ταυτότητας δύο παραγόντων. Για παράδειγμα, εάν ρυθμίσετε τόσο μια εφαρμογή δημιουργίας κώδικα όσο και ένα φυσικό κλειδί ασφαλείας, μπορείτε να αποκτήσετε πρόσβαση στο λογαριασμό σας μέσω της εφαρμογής, εάν χάσετε ποτέ το φυσικό κλειδί.