Peter Holmes
0 
5387
394
Ponieważ liczba incydentów związanych z włamaniem rośnie z dnia na dzień, wszyscy powinni korzystać z uwierzytelniania dwuetapowego / dwuskładnikowego (2FA) Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto go używać Czym jest uwierzytelnianie dwuskładnikowe i dlaczego warto Użyj go Uwierzytelnianie dwuskładnikowe (2FA) to metoda bezpieczeństwa, która wymaga dwóch różnych sposobów potwierdzenia tożsamości. Jest powszechnie stosowany w życiu codziennym. Na przykład płacenie kartą kredytową wymaga nie tylko karty…. Dodaje kuloodporną warstwę wokół twojego konta internetowego, co sprawia, że haker jest niezwykle trudny, jeśli nie niemożliwy, do penetracji.
Ale wielu ludzi zniechęca się do korzystania z 2FA, po prostu z powodu niedogodności Czy weryfikacja dwuetapowa może być mniej irytująca? Cztery tajne hacki gwarantowane w celu poprawy bezpieczeństwa Czy weryfikacja dwuetapowa może być mniej irytująca? Cztery tajne hacki gwarantowane w celu poprawy bezpieczeństwa Czy chcesz mieć bezpieczeństwo konta kuloodpornego? Zdecydowanie sugeruję włączenie uwierzytelniania „dwuskładnikowego”. z konieczności otrzymywania drugiego kodu z telefonu za każdym razem, gdy chcą się zalogować. Więc ludzie albo wyłączają tę funkcję, albo nie przejmują się jej konfiguracją. Ale powinieneś, ponieważ wiele firm korzysta z tego pomysłu.
Jeśli policzysz się w “łatwo niewygodne” grupy, z przyjemnością usłyszysz, że istnieje inna opcja zamiast 2FA. Ta opcja zapewnia bezpieczeństwo twojego konta, ale wystarczy, że naciśniesz przycisk i wejdziesz. Nazywa się to YubiKey, a po kilku dniach korzystania z niego jestem już przekonwertowany. Kochanie, przywitałeś mnie.
Co to jest YubiKey?
YubiKey to patyk podobny do USB, wyprodukowany przez firmę Yubico. Tworzą różne produkty, z których wszystkie wykonują podobne prace. Ale dla celów tego artykułu skupię się na Fido U2F (Universal 2-Factor), który otrzymałem. Jest łatwy w konfiguracji i obsłudze i najwyraźniej niezniszczalna.
Ze strony:
“Wszystkie YubiKeys są prawie niezniszczalne. Standardowy rozmiar YubiKey (taki jak YubiKey Standard, YubiKey NEO, YubiKey Edge i FIDO U2F Security Key) jest wykonany z formowanego wtryskowo plastiku otaczającego obwody, a odsłonięte elementy wykonane są z hartowanego złota klasy wojskowej. Wodoodporny i odporny na zgniatanie, standardowy rozmiar YubiKey mocuje się do pęku kluczy obok kluczy do domu i samochodu”.
Jest to dość mała, delikatna rzecz i wybaczono by ci, że masz wątpliwości “niezniszczalna” roszczenie. Ważący zaledwie 3 gramy, jego wymiary wynoszą zaledwie 18 mm x 45 mm x 3 mm. Ale ten mały klucz, wraz z przechowywaniem wszystkich moich haseł w KeePass, nagle sprawił, że logowanie na konta stało się bezbolesne i bezproblemowe. Google i Facebook używają YubiKey do poświadczeń pracowników, więc koncepcja ma kilka bardzo mocnych elementów, które ją wspierają. Google wprowadził go dla swoich użytkowników w 2014 roku.
Jak to działa?
YubiKey to sprzęt, który obsługuje hasła jednorazowe, szyfrowanie i uwierzytelnianie klucza publicznego oraz protokół Universal 2nd Factor (U2F) opracowany przez FIDO Alliance. Możesz go użyć do bezpiecznego logowania do obsługiwanych kont za pomocą jednorazowego hasła lub pary kluczy publiczny / prywatny oparty na FIDO. Jak działa szyfrowanie i czy jest naprawdę bezpieczne? Jak działa szyfrowanie i czy jest naprawdę bezpieczne? wygenerowane przez urządzenie. Po wprowadzeniu klucza naciskasz złoty przycisk, a dotknięcie palcem powoduje wydzielenie niewielkiego ładunku elektrycznego, który aktywuje urządzenie.
Jak to skonfigurować?
YubiKey jest bardzo łatwy do skonfigurowania, jak zobaczysz poniżej. Klucz U2F działa na kontach Google, Dropbox, Github Czym jest Git i dlaczego warto korzystać z kontroli wersji, jeśli jesteś programistą Czym jest Git i dlaczego warto korzystać z kontroli wersji, jeśli jesteś programistą Jako twórcy stron internetowych czas, w którym zwykle pracujemy na lokalnych stronach programistycznych, a następnie po prostu prześlij wszystko, gdy skończymy. Jest to w porządku, gdy jesteś tylko ty, a zmiany są niewielkie,… i Dashlane Dashlane - Zręczny nowy menedżer haseł, wypełniacz formularzy i asystent zakupów online Dashlane - Zręczny nowy menedżer haseł, wypełniacz formularzy i asystent zakupów online Jeśli próbowałeś kilka menedżerów haseł wcześniej, prawdopodobnie nauczyłeś się oczekiwać szorstkości wokół krawędzi. Są solidnymi, użytecznymi aplikacjami, ale ich interfejsy mogą być zbyt złożone i niewygodne. Dashlane nie tylko zmniejsza… Na potrzeby tego artykułu korzystam z kont Google, ale inni będą mniej więcej postępować zgodnie z tą samą procedurą. Po prostu różne zrzuty ekranu.
Skieruj się na stronę Google 2-Step Authentication i kliknij Klucze bezpieczeństwa patka.
Spowoduje to przejście do strony konfiguracji. Postępuj zgodnie z instrukcjami na stronie. To wszystko jest bardzo proste i proste.
Po pomyślnym zarejestrowaniu klucza, “Zarejestrować” Klawisz u dołu zmieni kolor na zielony i pokaże “Zarejestrowany”. Jeśli tak się nie stanie, zacznij od początku, aż to zrobi.
Możesz sprawdzić, czy klucz został pomyślnie zarejestrowany, wracając do Klucze bezpieczeństwa patka.
I to jest, panie i panowie, o to chodzi.
Co się stanie, jeśli zalogujesz się za pomocą smartfona lub tabletu??
To była jedna z pierwszych rzeczy, które przyszły mi do głowy. Loguję się na wszystkie moje konta Google dużo na moich urządzeniach iOS. Moje iDevices są wspaniałe, ale jedyną ich słabością jest to, że nie mają portu USB. Gdzie więc idzie YubiKey, kiedy mnie o to pyta?
Po skontaktowaniu się z firmą wydaje się, że jeśli zalogujesz się na swoje konto za pomocą telefonu lub tabletu, YubiKey to wykryje, a ekran logowania automatycznie ustawi domyślną metodę uwierzytelniania 2-czynnikowego (SMS, Authy lub Google Authenticator Google zaleca 2 -Stepowy proces ochrony konta [News] Google zaleca 2-etapowy proces ochrony konta [News] Większość doświadczonych użytkowników Internetu prawdopodobnie ma co najmniej jedno konto Google - głównie dlatego, że Google, na dobre lub złe, krzyżuje ścieżki z tyloma inne witryny, których trudno uniknąć, nie korzystając z…). Sam YubiKey zostanie poproszony tylko wtedy, gdy wykryje, że używasz komputera stacjonarnego lub laptopa, coś, co będzie miało port USB.
Warto również zauważyć, że jeśli kierujesz swoją pocztę e-mail przez lokalnego klienta, takiego jak Apple Mail lub Outlook, wtedy ani YubiKey, ani 2FA nie jest obsługiwany. W takim przypadku musisz użyć specjalnego hasła do aplikacji z danej aplikacji.
Jego zalety
Omówmy teraz kilka zalet używania takiego klucza.
Jest niezwykle prosty w użyciu
Naprawdę nie ma sposobu, aby zepsuć coś takiego. Po prawidłowym skonfigurowaniu wystarczy włożyć klucz do portu USB i raz nacisnąć świecący przycisk. to jest to! Jak więc ktokolwiek mógł pomylić się z tym?
Twoje konto ma dodatkowe zabezpieczenia bez irytacji
Jak już wspomniałem, 2FA jest dobre - ale może być denerwujące. Kiedy rozmawiam z kimś, kto nie ma 2FA, normalną wymówką jest niezmiennie “to zbyt wielki problem“. Ale mój kontrargument jest zawsze “i ile kłopotów wiąże się z próbą odzyskania zaatakowanego konta?“. Niemniej jednak wciąż to rozumiem. 2FA obejmuje logowanie się do telefonu, uzyskanie kodu i wprowadzenie go. Robienie tego raz nie jest niczym wielkim, ale kiedy robisz to regularnie, zaczyna być nudne. Nawet kilkakrotnie kusiło mnie, aby to wszystko wyłączyć i nie dbać o to, że ktoś może włamać się na moje konta, i nie jestem w tym sam.
YubiKey usuwa tę irytację i sprawia, że jesteś bardziej skłonny do korzystania z dodatkowej ochrony. Jednak nadal będziesz musiał skonfigurować 2FA, jeśli uzyskasz dostęp do swoich kont online za pomocą smartfona lub tabletu. Więc nie możesz całkowicie uciec 2FA.
To jest tanie
Różne oferowane YubiKeys mają różną cenę (40–50 USD), ponieważ każdy wykonuje określoną pracę (patrz “Niedogodności” więcej informacji na ten temat). Jednak U2F jest naprawdę tani (18 USD na Amazon), ponieważ robi mniej niż inne klucze. Aby zmoczyć stopy urządzeniem, najlepiej zacząć od U2F. Pomyśl o tym jak o kołach uczących się na rowerze dziecka.
Zarażenie wirusem jest niemożliwe
Jedną z rzeczy, które najbardziej zauważyłem w Internecie, kiedy czytam o YubiKeys, są ludzie krzyczący “i zarazić się nim w publicznym terminalu internetowym? NIE, DZIĘKUJĘ!“. Po pierwsze, nie powinieneś używać publicznych połączeń internetowych 5 sposobów, aby upewnić się, że komputery publiczne, których używasz, są bezpieczne 5 sposobów, aby upewnić się, że komputery publiczne, których używasz, są bezpieczne Publiczne WiFi jest niebezpieczne bez względu na komputer, na którym jesteś, ale zagraniczne maszyny domagać się jeszcze większej ostrożności. Jeśli korzystasz z komputera publicznego, postępuj zgodnie z tymi wytycznymi, aby zapewnić prywatność i bezpieczeństwo. ze względów bezpieczeństwa, a po drugie, YubiKeys nie może dostać wirusów, ponieważ nie można przenieść na nie żadnych plików. To nie jest takie urządzenie USB. Dodaj do tego fakt, że wszystkie informacje zawarte w kluczu są chronione przed zapisem, a komputer rozpoznaje klucz jako klawiaturę. Więc nie musisz się martwić tym wynikiem.
Jego wady
Chociaż moim zdaniem YubiKey jest świetnym urządzeniem, wciąż istnieją pewne znaczące wady, o których powinieneś wiedzieć.
Działa tylko w Chrome
W tym momencie YubiKey działa tylko w przeglądarce Google Chrome w wersji 38 lub nowszej. Tak więc pechowi użytkownicy Firefoksa, Safari, Opery i Edge 10 powodów, dla których warto korzystać z Microsoft Edge teraz 10 powodów, dla których powinieneś korzystać z Microsoft Edge teraz Microsoft Edge oznacza całkowite zerwanie z marką Internet Explorer, zabijając 20 lat - stare drzewo genealogiczne w tym procesie. Oto dlaczego powinieneś go używać. . Bardzo możliwe, że wejdą na pokład w przyszłości, ale teraz nie obsługują YubiKey. Przez całe życie nie rozumiem, dlaczego obsługiwany jest tylko Chrome. W pewnym sensie alienuje dużą liczbę użytkowników przeglądarki.
Różne konta wymagają różnych kluczy
Yubico wytwarza 7 różnych produktów i wszystkie robią różne rzeczy. Na przykład mój klucz, Fido U2F, otwiera konta tylko w menedżerach haseł Google, Dropbox, Github i Dashlane (tylko konta premium).
Ale - i to jest naprawdę duże, ale - jeśli chcesz zabezpieczyć swój system operacyjny, Paypal, Evernote lub WordPress, będziesz potrzebować różnych YubiKeys. Jeśli jednak potrzebujesz tylko czegoś, aby odblokować swoje konto Gmail, to U2F jest wystarczające. Cokolwiek innego jest jak użycie czołgu do ciosu muchy.
YubiKey 4 prawie wszystko robi, ale przy 50 USD może okazać się nieco za drogi dla kogoś, kto chce dostać się do swojej poczty e-mail.
Jeśli ktoś otrzyma Twój klucz i hasło do konta, Twoje konto zostanie naruszone
W przypadku 2FA każdy intruz potrzebuje fizycznego dostępu do twojego telefonu, aby otrzymać SMS lub kod Google Authenticator. Jeśli masz hasło w telefonie (co powinieneś, szczególnie w świetle starć między Apple a FBI Backdoors FBI nikomu nie pomoże - nawet FDD Backdoors nikomu nie pomoże - nawet FBI FBI chce zmusić firmy technologiczne do umożliwienia usługom bezpieczeństwa szpiegowania wiadomości błyskawicznych. Ale takie backdoory bezpieczeństwa tak naprawdę nie istnieją, a jeśli tak, czy zaufalibyście ich rządowi?), wówczas dostęp do kodów 2FA byłby niemożliwy nieupoważniona strona trzecia. Chyba że twój kod jest czymś niezwykle oczywistym (np. Twoje urodziny), a intruz zna cię na tyle dobrze, aby zgadywać.
Ale jeśli ktoś zdobędzie twój YubiKey, a także zna hasło do twojego konta, wtedy będzie na koncie szybciej niż gorący nóż przez masło. Nie mieliby hasła do obejścia. Zakłada się, że na początku masz hasło w telefonie. Jeśli nie, to nie ma różnicy między użyciem 2FA a użyciem YubiKey.
Najlepszym sposobem rozwiązania tego problemu jest użycie bardzo długiego, trudnego do odgadnięcia hasła do konta. Podręcznik zarządzania hasłami Przewodnik zarządzania hasłami Nie czuj się przytłoczony hasłami lub po prostu używaj tego samego hasła na każdej stronie, abyś pamiętał je: zaprojektuj własną strategię zarządzania hasłami. (i przechowuj go w zaszyfrowanym menedżerze haseł Menedżer haseł Battle Royale: Kto skończy na górze? Menedżer haseł Battle Royale: Kto skończy na górze?). W ten sposób, nawet jeśli klucz wpadnie w niepowołane ręce, ustalenie hasła do konta byłoby niezwykle trudne, jeśli nie niemożliwe. Bez hasła klucz stałby się bezużytecznym kawałkiem plastiku.
Czy są jakieś alternatywy dla YubiKey?
Po rozejrzeniu się, jedyną alternatywą dla YubiKey wydaje się być Nitrokey. W przybliżeniu ta sama cena co YubiKey, NitroKey jest produkowany w Niemczech i szczyci się tym, że jest open source. Wydaje się również, że robi znacznie więcej niż YubiKey, co sprawia, że zastanawiam się nad zakupem i przetestowaniem go do porównania. Produkt wcześniej nazywał się Crypto-Key i został sprawdzony przez Danny'ego w 2012 roku. Niemiecka Fundacja Prywatności Crypto Stick - Jak i dlaczego jest bezpieczniejsza Niemiecka Fundacja Prywatności Crypto Stick - Jak i dlaczego jest bezpieczniejsza Ciągle tworzone są nowe technologie w celu zwiększenia bezpieczeństwa, a wiele z tych technologii ostatecznie znika z powodu luk i innych odkrytych problemów. Żadna forma zabezpieczenia nie jest zwolniona… .
Ale miło jest widzieć, że co najmniej jedna inna firma produkuje konkurencyjny produkt, a tym samym rozwija całą koncepcję klucza bezpieczeństwa. Rywalizacja promuje badania, a badania kończą się lepszymi produktami (zwykle).
Spokój ducha lub wygoda?
Cała eksploracja koncepcji YubiKey zrodziła dla mnie i tak całe pytanie, na co powinniśmy być przygotowani w imię bezpieczeństwa. Uwierzytelnianie dwuskładnikowe to doskonały sposób na upewnienie się, że twoje konto jest zablokowane, ale jak już wspomniałem, może to być prawdziwy problem w tyłku. To prowadzi wiele osób do powiedzenia “daj spokój, wyłączam to!”.
Z drugiej strony coś w rodzaju YubiKey lub NitroKey sprawia, że cały proces jest wygodny. Naciśnij przycisk i wejdziesz. Ale jeśli zgubisz klucz, a ktoś łatwo odgadnie twoje hasło, będziesz miał bardzo zły dzień. Więc spokojnie (i wykonując kilka dodatkowych kroków) lub naciskając przycisk na klawiaturze i oszczędzając 60 sekund? Do którego obozu wpadniesz? Powiedz nam w komentarzach.