Kategorijos
saugumas

Kodėl neturėtumėte naudoti SMS dviejų faktorių autentifikavimui (ir ką naudoti vietoj to)

Naudoti 2FA (dviejų faktorių autentifikavimą) yra, mano nuomone, būtina. Tačiau jei autentifikavimo/patvirtinimo kodus gaunte SMS žinutėmis, turiu jums blogų žinių.

Kas yra 2FA?

2FA arba dviejų faktorių autentifikavimas (dar kartais žinomas kaip multi-factor ar dviejų lygių autentifikavimas) yra papildomas apsaugos sluoksnis prisijungiant prie paskyrų ar redaguojant nustatymus. Dauguma internetinių (ir ne tik) paslaugų tiekėjų, tokių kaip kad Google, Facebook, dropbox ar eBay vartotojams leidžia, o dažnai ir rekomenduoja bei primygtinai prašo, naudoti papildomą apsaugą. Dažniausiai tai būna paprastas kodas, atsiųstas į elpaštą ar jūsų mobilųjį telefoną SMS žinute. Pirmasis faktorius – jūsų prisijungimo duomenys, antrasis – kodas. Kitaip tariant – norint įsilaužti į jūsų paskyrą, reikia tiek slaptažodžio, tiek kodo.

Kodėl tai nėra labai saugu?

Na visų pirma yra toks nemalonus dalykas kaip swim swap. Šis būdas yra išnaudojamas, kuomet pasinaudojus telefono paslaugų tiekėjo saugumo spragomis yra užsakoma nauja SIM kortelė su jūsų numeriu, kurią kita asmuo panaudoja ir taip sumažina vieną iš dviejų užkardų. Tuomet belieka tik jūsų slaptažodis, kuris dažniausiai nėra stiprus…

Ką vertėtų naudoti?

Vienas paprasčiausių būdų (jei sistema palaiko) yra naudoti Google autentifikatorių. iOS/Android.

If Google and safe vault had a child…

Tiesa, yra ir kitų autentifikatorių, kaip kad Authy.

Kodėl tai turi privalumą? Nes jums nereikia pasikliauti operatoriumi. Tai suteikia didesnį saugumą. Taip pat kodai dažnai yra trumpalaikiai ir automatiškai atsinaujina po kažkiek sekundžių.

Tačiau toks kodo gavimo būdas turi ir gana didelį minusą, bet tas minusas visada yra vartojo kaltė. Prijungus 2FA app`są prie paskyros, yra sukuriami back up kodai, kurie skirti nuimti 2FA apsaugą nelaimės atveju, pvz., nuskandinus telefoną, bet žmonės dažnai pamiršta juos išsisaugoti. Tokiu atveju, išjungti 2FA nėra taip paprasta ir užtrunka daug laiko.

Ką naudoju aš?

Aš naudoju Yubico YubiKey NEO. Tiesa, įrenginys yra gan senas, tačiau savo darbą atlieka puikiai.

YubiKey NEO

Šis mažas USB tipo daikčiukas palaiko labai daug funkcijų, tokių kaip NFC, OTP (vienkartinis slaptažodis) ir U2F (universalus antrasis faktorius). Pvz, į savo Google paskyrą prisijungti naudoju NEO. Užtenka įrašyti slaptažodį, įkišti į USB lizdą ir pirštu paliesti viduryje esantį mygtuką.

Kodėl tai yra geriau nei programėlė? Išsikrovus telefonui, negausite nei SMS kodų, nei vienkartinių kodų, todėl greičiausiai nepavyks prisijungti arba teks naudoti vieną iš back up kodų.

Reziumė

Paprastam vartojojui greičiaisiai negresia SIM swap „ataka“, tačiau tikrai vertėtų naudoti bent aplikacijos sugeneruotus kodus, vien todėl, kad SMS kodai gali vėluoti (Hello, eBay) arba išvis jų negauti (Hello, Binance).

Tokį daiktą būtina naudoti, jei naudojatės finansinėmis paslaugomis, pvz., kriptovaliutų keityklomis, tačiau iš kitos pusės, keityklose laiky pinigus yra labai kvaila.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *