Securitywatch: làm thế nào để không bị khóa với xác thực hai yếu tố | tối đa xoáy

Các công cụ bảo mật thường tạo ra một số lo lắng nhất định. Điều gì xảy ra nếu tôi mất mật khẩu? Hoặc nếu phần mềm chống vi-rút của tôi xóa công cụ của tôi? Sự ra đời của xác thực hai yếu tố đã tạo ra một luồng gió mới cho một nỗi lo lắng quen thuộc: điều gì xảy ra nếu tôi không thể sử dụng yếu tố thứ hai của mình và bị khóa khỏi tài khoản?

Jeremy từ Capetown đã viết với một vài lo ngại về 2FA. Tôi đã chỉnh sửa thư của anh ấy cho ngắn gọn.

Xin chào ngài,

Tôi không quá kỹ tính và muốn một thiết bị xác thực hai yếu tố không gặp phải các vấn đề phức tạp khi thiết lập hoặc truy cập như bạn gặp phải với Yubikey. Nỗi sợ hãi lớn nhất của tôi là tự khóa mình khỏi Gmail.

Có tốt hơn để mua hai khóa, với một là khóa dự phòng?

Trân trọng,

Jeremy

Trong trường hợp bạn chưa nghe nói về xác thực hai yếu tố, hoặc 2FA, thì đây là ý chính: 2FA là hành động thứ hai bạn thực hiện sau khi nhập mật khẩu để xác minh danh tính của mình. Ý tưởng là kẻ tấn công có thể có mật khẩu của bạn, nhưng chúng sẽ không có khóa bảo mật, ứng dụng xác thực hoặc mã SMS của bạn. Có toàn bộ lý thuyết và thực hành cho 2FA mà tôi sẽ không tham gia ở đây, nhưng tôi khuyến khích bạn và kích hoạt 2FA ở nơi bạn có thể.

Jeremy là một công ty tốt trong mối quan tâm của anh ấy trên 2FA. Nhiều người am hiểu về kỹ thuật và có ý thức bảo mật mà tôi biết tiếp tục tránh bảo vệ hai yếu tố vì họ sợ bị khóa và có thể mất quyền truy cập vào nội dung của họ mãi mãi. Đó là một mối quan tâm thực sự và hợp lệ.

Độc giả, nó đã xảy ra với tôi

Trên thực tế, tôi đã bị khóa khỏi các tài khoản được bảo vệ 2FA trước đây. Nhiều hơn một lần. Trước đây, một trong những công ty đầu tiên cung cấp xác thực hai yếu tố là Blizzard. Người chơi World of Warcraft có quyền truy cập đầu tiên, vì họ cần phải bảo vệ chiến lợi phẩm khó kiếm của mình. Bạn có thể nhớ lại những người đi bộ xung quanh với móc khóa WoW hiển thị các chữ số thay đổi trên màn hình LCD. Blizzard sau đó đã tinh chỉnh trải nghiệm vào một ứng dụng di động và triển khai 2FA cho tất cả người dùng Battle.net.

Là người hoang tưởng như tôi, tôi đã kích hoạt 2FA trên tài khoản Blizzard của mình bằng ứng dụng Blizzard Authenticator đặc biệt. Tôi ngay lập tức quên tôi đã làm điều này, và trong những tháng qua, đã xóa ứng dụng khỏi điện thoại của tôi và quên mật khẩu của tôi. May mắn thay, Blizzard có dịch vụ khách hàng tuyệt vời. Một vài email với nhân viên vui vẻ của họ đã đưa tôi trở lại trực tuyến sau vài ngày. Nó vẫn còn căng thẳng, mặc dù. Tôi đã quá quen với việc có thể xử lý các thiết lập lại mật khẩu của riêng mình và ý tưởng phải tham gia với một con người sống thực tế như một phần của quá trình đó cảm thấy, rất, rất kỳ quặc.

Tôi đã quen dần với trải nghiệm này và tôi đã học được cách thông minh hơn trong việc giữ an toàn cho trình xác thực của mình. Tôi vẫn cố gắng để bị khóa khỏi Battle.net nhiều lần, cũng như Steam và các dịch vụ khác.

Tùy thuộc vào cách một công ty định cấu hình ưu đãi 2FA của công ty, bạn có thể thấy mình phải cúi xuống để lấy lại quyền kiểm soát tài khoản của mình. Khó chịu như âm thanh đó, nó thực sự có nghĩa là dịch vụ đang hoạt động. Bạn sẽ phải nhảy qua rất nhiều vòng nếu bạn không có trình xác thực. Nếu nó dễ dàng với bạn, thì nó sẽ dễ dàng cho một kẻ xấu.

Nhân các yếu tố của bạn

May mắn thay, có một cách dễ dàng để ngăn chặn việc bị khóa bởi 2FA: sử dụng nhiều tùy chọn 2FA. Chúng có thể hoạt động như một bản sao lưu trong trường hợp bạn không có quyền truy cập vào một tùy chọn 2FA khác. Ví dụ: tôi sử dụng NFC YubiKey 5 với các tài khoản Google của mình, nhưng tôi cũng cho phép nhấn vào thông báo đẩy xác minh trên điện thoại của mình. Nếu tôi không có Yubikey của mình, tôi sẽ sử dụng nó.

Thêm nhiều thiết bị đa yếu tố sẽ làm tăng nguy cơ tài khoản của bạn có thể bị xâm phạm. Bây giờ có hai cách để vào tài khoản của bạn, thay vì chỉ một. Tôi tin rằng phần thưởng của việc không bị khóa khỏi tài khoản của bạn vượt xa kịch bản rất khó xảy ra khi bạn bị lừa và cá rô lấy ví, chìa khóa và khóa bảo mật của bạn và bạn cũng phải viết mật khẩu.

Gói bảo mật Google Titan.

Sự chứng thực tốt nhất về việc sử dụng nhiều hơn một thiết bị 2FA đến từ Google, nơi cung cấp hai khóa trong gói Titan Key của nó. Chúng được tạo riêng để hoạt động với hệ thống Bảo vệ Nâng cao của Google, yêu cầu bạn phải đăng ký hai khóa bảo mật riêng biệt. Bạn sử dụng một cái mỗi ngày, và bạn đặt cái kia đi trong trường hợp khẩn cấp. Vì vậy, để trả lời trực tiếp câu hỏi của Jeremy: Không có hai khóa cho tài khoản của bạn.

Thật không may, không phải tất cả các trang web đều cho phép bạn đăng ký nhiều hơn một tùy chọn đa yếu tố. Nếu đó là trường hợp, tôi khuyên bạn nên sử dụng tùy chọn 2FA mà bạn cảm thấy đáng tin cậy nhất cho bạn.

Xây dựng Authenticator Arsenal của bạn

Nếu bạn chọn mua nhiều khóa 2FA phần cứng, tôi khuyên bạn nên sử dụng Khóa bảo mật lựa chọn của biên tập viên bởi Yubico hoặc gói Titan Key từ Google. Khóa bảo mật của Yubico chỉ có giá 20 đô la hoặc 36 đô la cho hai chiếc. Gói của Google có giá 50 đô la và bao gồm hai thiết bị: một khóa USB và khóa Bluetooth chạy bằng pin.

Khóa bảo mật của Yubico

Trong nhiều năm, cách phổ biến nhất để sử dụng 2FA là gửi mã một lần đến điện thoại của bạn qua tin nhắn văn bản. Bạn có thể vẫn phải sử dụng điều này với ngân hàng của mình, vì các tổ chức tài chính có xu hướng áp dụng các công nghệ mới chậm hơn. Google, thật thú vị, vẫn yêu cầu bạn kích hoạt mã SMS nếu bạn muốn sử dụng bất kỳ hệ thống 2FA nào khác. Đối với câu hỏi của Jeremy, điều đó có nghĩa là khi bạn đăng ký khóa bảo mật mới của mình với Google, bạn sẽ phải bật tùy chọn 2FA thứ hai dưới dạng mã SMS.

Một tùy chọn khác là sử dụng Google Authenticator hoặc một ứng dụng tương tự như LastPass Authenticator. Các ứng dụng di động này tạo ra mật mã sáu chữ số cứ sau 30 giây. Chỉ cần mở ứng dụng, sao chép mã và bạn vào. Chúng đặc biệt tiện dụng như một tùy chọn 2FA dự phòng, vì ứng dụng hoạt động ngay cả khi không có dịch vụ di động hoặc Wi-Fi.

Nếu tất cả những thứ đó có vẻ đáng lo ngại, bạn có thể sử dụng phương pháp ưa thích của tôi: mã dự phòng vật lý. Bạn có thể đã thấy những điều này khi tạo tài khoản hoặc đăng ký 2FA. Đó là một mạng gồm nhiều số mà bạn có thể sử dụng thay cho mật khẩu và mã thông báo 2FA. Chúng chỉ được tạo một lần và nếu bạn tạo lại chúng, những cái cũ sẽ bị loại bỏ. Lý tưởng nhất là bạn sẽ bảo vệ những thứ này trong một kho chứa tệp được mã hóa, hoặc tốt hơn là trên một mảnh giấy được giấu ở nơi an toàn.

Khi tạo chương trình Bảo vệ nâng cao, Google đã chọn nhiều khóa phần cứng vì tất cả các tùy chọn khác mà tôi đã liệt kê ở trên, bao gồm cả mã dự phòng, có khả năng có thể bị bắt bằng một trang lừa đảo được tạo tốt. Giả mạo một khóa bảo mật là khó khăn hơn nhiều .

• Xác thực hai yếu tố: Ai có nó và làm thế nào để thiết lập nó Xác thực hai yếu tố: Ai có nó và làm thế nào để thiết lập nó
• Tại sao bạn không sử dụng xác thực hai yếu tố? Tại sao bạn không sử dụng xác thực hai yếu tố?
• Google: Các cuộc tấn công lừa đảo có thể đánh bại hai nhân tố đang gia tăng Google: Các cuộc tấn công lừa đảo có thể đánh bại hai nhân tố đang gia tăng

Hãy nhớ rằng không phải tất cả các trang web đều hỗ trợ mọi loại trình xác thực. Chẳng hạn, LastPass cho phép bạn sử dụng các khóa bảo mật, nhưng chỉ các khóa hỗ trợ mật mã một lần. Chỉ ra những trình xác thực sẽ sử dụng thường là một chức năng của các tùy chọn được hỗ trợ.

Những bước đầu tiên của bạn để xác thực hai yếu tố

Điều đó nói rằng, tôi khuyên mọi người mới sử dụng 2FA hãy dùng thử với hệ thống không phải là khóa bảo mật trước. Nếu bạn không quen có điều thứ hai xung quanh để đăng nhập, thì nhiều khả năng bạn sẽ gặp rắc rối với một thứ không quen thuộc như khóa bảo mật. Thay vào đó, hãy thử sử dụng thông báo đẩy, mã được gửi qua tin nhắn văn bản, Duo hoặc Google Authenticator (hoặc trình tạo mã tương tự). Chúng sử dụng các thiết bị bạn đã có, vì vậy không có chi phí để nhập. Khi bạn đã quen với cách 2FA hoạt động và nó bắt đầu cảm thấy giống như bản chất thứ hai, bạn có thể suy nghĩ về việc tiết kiệm tiền cho (các) khóa bảo mật.

Một tính năng bảo mật chỉ có giá trị nếu bạn thực sự sử dụng nó. Vì vậy, hãy kích hoạt 2FA, nhưng hãy cho phép bạn chơi xung quanh nó và tìm một phương pháp phù hợp với bạn.