https://bodybydarwin.com
Slider Image

כיצד לבצע אימות דו-גורמי כמו מקצוען

2021

אם רמת החרדה שלך מפני אבטחה ופרטיות מקוונת נמצאת בצד הבריא, סביר להניח שכבר מוגדרת אימות דו-גורמי (2FA) לחשבונות העיקריים שלך. אם לא, כדאי לך לשקול ברצינות להפעיל אותו כדי להגן על עצמך מפני דיוג, פריצות וכל מי שאולי ירצה לגנוב את הנתונים שלך.

לא יודעים על מה אני מדבר? הנה ה- 101: 2FA מוסיף שכבת אבטחה נוספת לחשבונות המקוונים שלך. כאשר הוא מופעל, פרוטוקול זה יבקש ממך משהו אחר שאינו שם המשתמש והסיסמה שלך בכל פעם שאתה נכנס למכשיר חדש. זה יכול להיות קוד, מפתח או לקבל הנחיה בסמארטפון שלך. בדרך זו, אם מישהו יקבל את הסיסמה שלך, 2FA ימנע מהם להיכנס לחשבונך.

"זה בהחלט הרבה יותר טוב מאשר לא להיות גורם שני. נתת לכל תוקף עבודה נוספת שהם צריכים לעשות, "אומר שומן גוסמאג'ומדר, קצין הטכנולוגיה הראשי של Shape Security.

אבל ההחלטה להפעיל את 2FA זה כמו להחליט שאתה רוצה להתחיל לרוץ - האם אתה רק רוצה לרוץ קצת, להתאמן על 5k, או להגיע לעצמך בכושר למרתון שלם? ישנן מספר אפשרויות, כולל אפליקציות ומפתחות אבטחה, המספקים רמות הגנה שונות לכל צורכי האבטחה והפרטיות שלך. אתה יכול להשתמש בשיטה יחידה שמתאימה לך ביותר, או להעסיק כמה לחשבון אחד, תלוי בפלטפורמה. הבחירה בידיים שלך.

לעתים קרובות אנשים בוחרים להעסיק 2FA באמצעות הודעות טקסט (ספציפית, שירות הודעות קצרות או SMS) מכיוון שזה כל כך פרקטי. התהליך פשוט: אתה נכנס לחשבונך עם שם המשתמש והסיסמה שלך, מקבל טקסט עם קוד ואז הקלד את המסך למסך הכניסה כדי לקבל גישה לחשבונך.

הבעיה בהודעות טקסט היא שמכיוון שמדובר בנתונים העוברים בקו טלפון, ניתן לפגוע בהם וליירט את קוד שש הספרות שלך. אתה יודע איך אתה יכול להחליף ספקי טלפונים סלולריים ועדיין לשמור על המספר שלך? זה נקרא החלפת SIM ואתה יכול לבקש אחת על ידי מתן לא יותר ממספר הטלפון שלך וארבע הספרות האחרונות של מספר הביטוח הלאומי שלך. תודה, בחלקה, לפריצים גדולים, באינטרנט מכיל מסד נתונים מטופח היטב של SSN, מה שיכול להקל על גנב חשבון לגנוב את מספר הטלפון הסלולרי שלך ולהפנות את טקסטי האימות שלך למכשיר אחר.

זה בדיוק מה שקרה בשנת 2018 כאשר האקרים נכנסו לחשבונות עובדי Reddit באמצעות 2FA מבוסס הודעת טקסט, תוך פגיעה בנתונים של אלפי משתמשי הפלטפורמות.

אם אתה חושב שאף אחד לא יעשה כל כך הרבה צרות לגנוב את הנתונים שלך, תחשוב שוב.

"זה בהחלט משהו שקורה, אבל מה שקל אפילו יותר זה פשוט להשתמש במספר הטלפון הזה כדי לשלוח הודעת דיוג", אומר Ghosemajumder.

זה נקרא smishing - פורטמנטו של "SMS" ו"דיוג "- וזו גרסת הודעת הטקסט של אותם מיילים רישומים שמתיימרים להגיע מהבנק שלך ומפצירים בך ללחוץ על קישור.

ובכל זאת, 2FA מבוסס הודעות טקסט הוא פרקטי, וללא קשר לפגיעויות שלו, טוב יותר מכלום. אבל אם אתה מאחסן נתונים רגישים בחשבונות שלך, או אם פשוט הפחדנו אותך מהודעות טקסט, ישנן שיטות מאובטחות אחרות שאתה יכול לנסות.

משתמשי Google יכולים לבקש לקבל הנחיות לאימות כניסה לחשבון שלהם ממכשיר חדש. לאחר מכן, כשאתה מתחבר עם שם המשתמש והסיסמה שלך, תראה חלון מוקפץ בטלפון שלך ושואל אם זה באמת אתה שניסית להתחבר, ואם אתה מאשר זאת. ההנחיות הללו מוצפנות ונעות דרך הרשת של גוגל, כך שפחות סבירות שהן נפגעות מטקסטים, מה שהופך אותם לבטוחים יותר.

אך לא כל הפלטפורמות מציעות הנחיות. זו הסיבה שאסטרטגיה פופולרית נוספת עבור 2FA היא להשתמש באפליקציות למחוללי קוד. הם די מסבירים את עצמם - האפליקציות מייצרות קודים בת שש ספרות בהן תוכלו להשתמש בכדי להיכנס לחשבונות שלכם. קודים אלה נוצרים באופן אקראי באמצעות פרוטוקול מבוסס סיסמא חד פעמי (TOTP) מבוסס זמן, כלומר ניתן להשתמש בהם רק פעם אחת, ולפרק זמן מוגבל - בדרך כלל 30 שניות - לפני שהם מוחלפים אוטומטית באחר. יישומי מחולל קוד יכולים להיות פרקטיים מכיוון שהם מאפשרים לך לקשר כמה חשבונות שאתה רוצה, אך אתה רק צריך ללכת למקום אחד עבור כל הקודים שלך.

אחד האפליקציות הפשוטות ביותר למחולל הקוד הוא המאמת של גוגל (זמין לאנדרואיד ו- iOS). זה לא עובד רק עם חשבונות גוגל, אלא גם עם כל פלטפורמה אחרת התומכת ב- 2FA מבוסס מחולל קוד.

אם אתה רוצה חוויה הניתנת להתאמה אישית יותר, אתה יכול ללכת לאפליקציות כמו AndOTP (זמין רק לאנדרואיד) או Authy (זמין גם ל- iOS), המאפשרות לך להוסיף תוויות וסמלים הכוללים סמלי לוגו של מספר פלטפורמות, כך שתוכל לזהות קודים במבט ראשון.

למען הבטיחות הנוספת, אתה יכול להגן על היישומים האלה באמצעות מספר PIN או במקרה של Authy - טביעת האצבע שלך, כך שגם אם מישהו גונב את הטלפון שלך ומשיג גישה אליו, הוא עדיין לא יכול להשתמש באפליקציית מחולל הקוד שלך. תכונה מגניבה נוספת של AndOTP וגם Authy היא "הקש לחשוף", שמסתיר את כל הקודים שלך ורק חושף אחד בכל פעם כשאתה מקיש על הקוד שאתה צריך. זה יכול להיות שימושי אם אתה ניגש לאחד החשבונות שלך במקום ציבורי בו מישהו יכול להסתכל בקלות בטלפון שלך.

כדי להשתמש באפליקציית מחוללי קוד בפייסבוק, למשל, עבור אל הגדרות > אבטחה והתחברות > השתמש באימות דו-גורמי > יישום אימות . לאחר מכן פייסבוק תציג קוד QR שתצטרך לסרוק באמצעות מצלמת הטלפון שלך באמצעות אפליקציית מחוללי הקוד כשתוסיף את חשבון הפייסבוק שלך. לבסוף, הזן את הקוד שסופק על ידי האפליקציה. זה יוודא שהאפליקציה שלך מסונכרנת עם פייסבוק.

בעידן שלפעמים נראה כי שום דבר שאתה שם בטלפון לא ניתן לסמוך עליו שהוא בטוח, לחזור ליסודות זה יכול להיות רעיון טוב. אם רמת החרדה הביטחונית שלך גבוהה כל כך, ישנן כמה שיטות אנלוגיות נוספות בהן תוכלו להשתמש עם 2FA שיאפשרו לכם לישון טוב יותר בלילה.

האפשרות הקלה ביותר היא לקבל מפתח אבטחה - מכשיר USB זעיר בו אתה משתמש באותו אופן בו אתה עושה את מפתחות הדירה שלך. לאחר שתזין את שם המשתמש והסיסמה שלך במכשיר חדש, פרוטוקול 2FA יבקש מכם לחבר את מפתח האבטחה ליציאת ה- USB של המכשיר ולהקיש עליו פעם אחת להשלמת הכניסה. הגאדג'טים הקטנים האלה הם שימושיים במיוחד וקלים במיוחד להובלה - פשוט חבר את מחזיק המפתחות שלך ותמיד תהיה לך את זה.

מפתחות האבטחה המסורתיים ביותר בשוק תואמים יציאות USB-A או, כפי שאתה אולי יודע אותם, יציאות USB רגילות בפה. זה מייד משאיר אחריו מכשירים ניידים כמו סמארטפונים וטאבלטים, כמו גם מחשבים ניידים זעירים כמו MacBook Air שאין להם יציאות USB-A משלהם. יש בשוק גם מפתחות אבטחה USB-C והם תואמים לרוב המכשירים הסלולריים החדשים יותר, אך הם נוטים להיות מעט יקרים יותר, ומחירים בין $ 40 ל- $ 60 באמזון.

מקובל שאנשים רשומים מספר מפתחות אבטחה עבור חשבון יחיד, אומר Ghosemajumder. ככה, הם יכולים להחליף חילוף במקום בטוח למקרה שהם יאבדו אחד שהם משתמשים בו באופן קבוע.

אם אתה ממשיך לא למקם את מפתחות האבטחה שלך או שאתה פשוט לא רוצה להשקיע באחד מהם, הטלפון שלך ב- Android יכול לשמש כמפתח לחשבון Google שלך. החברה הודיעה על תכונה חדשה זו באפריל והיא מאפשרת לאנשים להשתמש בסמארטפונים שלהם כדי לאשר כניסות באמצעות בלוטות '. פעולה זו תחבר את הטלפון שלך למכשיר שאליו אתה מתחבר ותוודא שאתה ניגש לאתר מאובטח.

אם זה עדיין לא מספיק אנלוגי עבורך, אתה תמיד יכול לבחור בקודי גיבוי או שחזור. נתמך על ידי כל הפלטפורמות העיקריות, כולל גוגל, אפל, פייסבוק, אינסטגרם וטוויטר, שיטה זו כוללת קוד אחד או יותר שתוכל לשמור במסמך או להעתיק על דף נייר ולהעביר איתך. לחשבון Google שלך, לדוגמה, תוכל למצוא אותם בחשבון > אבטחה > אימות דו-שלבי > קודי גיבוי . באופן כללי, הם מופיעים בקטע קודי השחזור או הגיבוי בהגדרות 2FA של מרבית החשבונות.

אלה מוגבלים ותוכלו להשתמש בכל אחד מהם רק פעם אחת, כך שאם נגמר לכם, עליכם להיכנס שוב ולקבל יותר. קודי גיבוי אינם מתוכננים לשימוש במקום הנחיות או מפתחות אבטחה, אך הם יכולים להיות שימושיים למדי במקרים קיצוניים, למשל כאשר אתם מטיילים ולא מחזיקים את הטלפון או מפתח האבטחה שלכם.

כפי שאתה יכול לראות, יש המון דרכים להשתמש ב- 2FA ותוכלו לבחור איזו מהן מתאימה לך ביותר. פלטפורמות שונות תומכות בשיטות שונות, לכן בדוק את 'אימות שני גורמים' כדי לראות אילו זמינות עבור החשבונות שלך.

זכור שאתה יכול היה צריך לאפשר יותר משיטה אחת של 2FA. זה תמיד רעיון טוב לקבל גיבוי למקרה שתאבד את הטלפון או את מפתח האבטחה, או שמשהו לא בסדר בחיבור שלך. רק זכרו שאסטרטגיית האבטחה שלכם תהיה חלשה כמו שיטת 2FA הפחות מאובטחת שתבחרו. אז בחרו בתבונה.

בשבוע שעבר בתחום הטכנולוגי: הקריפטו הקרוב של פייסבוק, מקלדת MacBook Pro חדשה וקונסולת המשחק הכי חמודה אי פעם

בשבוע שעבר בתחום הטכנולוגי: הקריפטו הקרוב של פייסבוק, מקלדת MacBook Pro חדשה וקונסולת המשחק הכי חמודה אי פעם

נפטון, טיטאן, צדק ופלוטו נראים מדהימים בתמונות החדשות הללו

נפטון, טיטאן, צדק ופלוטו נראים מדהימים בתמונות החדשות הללו

שינויים באקלים פירושם יותר גשם עבור חלקם - ואף לא עבור אחרים

שינויים באקלים פירושם יותר גשם עבור חלקם - ואף לא עבור אחרים