Securitywatch: как не быть заблокированным с двухфакторной аутентификацией | Макс Эдди

Инструменты безопасности часто создают определенное количество беспокойства. Что произойдет, если я потеряю свой пароль? Или, если мой антивирус удаляет мои вещи? Появление двухфакторной аутентификации создало новый поворот в привычной тревоге: что произойдет, если я не смогу использовать свой второй фактор и заблокирован из моей учетной записи?

Джереми из Кейптауна написал несколько вопросов о 2FA. Я отредактировал его письмо для краткости.

Уважаемый господин, Я не слишком техничен и хочу устройство двухфакторной аутентификации, которое не сталкивается с сложными сложностями при настройке или доступе, как вы столкнулись с Yubikey. Мой самый большой страх - запереть себя в моем Gmail.

Лучше купить два ключа, с одним в качестве резервного ключа?

С уважением, Джереми

Если вы не слышали о двухфакторной аутентификации или 2FA, вот суть: 2FA - это второе действие, которое вы выполняете после ввода пароля для проверки вашей личности. Идея заключается в том, что у злоумышленника может быть ваш пароль, но у него не будет вашего ключа безопасности, приложения для проверки подлинности или кода SMS. В 2FA есть целая теория и практика, в которую я не буду вникать, но я призываю вас и включите 2FA, где вы можете.

Джереми в хорошей компании в его озабоченности по поводу 2FA. Я знаю, что многие технически подкованные и заботящиеся о безопасности люди продолжают отказываться от двухфакторной защиты, потому что боятся быть заблокированными и, возможно, потеряют доступ к своим ресурсам навсегда. Это реальная и действительная проблема.

Читатель, это случилось со мной

На самом деле, я был заблокирован из защищенных учетных записей 2FA раньше. Больше чем единожды. Когда-то одной из первых компаний, предложивших двухфакторную аутентификацию, была Blizzard. Игроки World of Warcraft получили доступ первыми, так как им нужно было защитить свой с трудом заработанный лут. Вы можете вспомнить людей, которые ходили с брелками WoW, которые отображали меняющиеся цифры на ЖК-дисплее. Позже Blizzard превратила этот опыт в мобильное приложение и выпустила 2FA для всех пользователей Battle.net.

Будучи параноиком, я включил 2FA в своей учетной записи Blizzard с помощью специального приложения Blizzard Authenticator. Я сразу же забыл, что сделал это, и за прошедшие месяцы удалил приложение со своего телефона и забыл свой пароль. К счастью, Blizzard имеет отличное обслуживание клиентов. Несколько писем с их веселым персоналом вернули меня в онлайн через несколько дней. Это все еще было нервным, хотя. Я был настолько привык к тому, что смог справиться со своими собственными сбросами паролей, и мысль о необходимости взаимодействия с реальным живым человеком как часть этого процесса казалась, ну, очень странной.

С тех пор я стал более привыкать к этому опыту и научился быть умнее в обеспечении безопасности своего аутентификатора. Мне все еще удавалось несколько раз выходить из Battle.net, а также из Steam и других сервисов.

В зависимости от того, как компания конфигурирует свое предложение 2FA, может возникнуть необходимость отклониться назад, чтобы вернуть контроль над своей учетной записью. Как бы досадно это ни звучало, на самом деле это означает, что сервис работает. Вы должны перепрыгнуть через много обручей, если у вас нет аутентификатора. Если бы это было легко для вас, то это было бы легко для плохого парня.

Умножьте свои факторы

К счастью, есть простой способ предотвратить блокировку 2FA: использовать несколько опций 2FA. Они могут выступать в качестве резервной копии на случай, если у вас нет доступа к другой опции 2FA. Например, я использую YubiKey 5 NFC со своими учетными записями Google, но я также включил нажатие на подтверждающее push-уведомление на своем телефоне. Если у меня нет моего Yubikey, я использую это вместо этого.

Добавление большего количества многофакторных устройств повышает риск того, что ваша учетная запись может быть взломана. Теперь есть два способа войти в свой аккаунт, вместо одного. Я полагаю, что выгоды от того, что вы не заблокированы в вашей учетной записи, значительно перевешивают маловероятный сценарий, в котором вы были ограблены, а преступник забирает ваш кошелек, ключи и ключ безопасности, а также заставляет вас записать свой пароль.

Набор ключей безопасности Google Titan.

Лучшее одобрение использования более одного устройства 2FA исходит от Google, который предоставляет два ключа в своем наборе ключей Titan. Они были созданы специально для работы с системой расширенной защиты Google, которая требует, чтобы вы зарегистрировали два отдельных ключа безопасности. Вы используете один каждый день, а другой откладываете на случай чрезвычайных ситуаций. Итак, чтобы прямо ответить на вопрос Джереми: неплохо иметь два ключа для вашей учетной записи.

К сожалению, не все сайты позволяют регистрировать более одного многофакторного варианта. Если это так, я рекомендую использовать опцию 2FA, которая, по вашему мнению, наиболее надежна для вас.

Создание вашего арсенала аутентификатора

Если вы решите купить несколько аппаратных ключей 2FA, я рекомендую либо наш ключ безопасности Editors 'Choice от Yubico, либо комплект ключей Titan Key от Google. Ключ безопасности Yubico стоит всего 20 долларов или 36 долларов на двоих. Пакет Google стоит 50 долларов и включает в себя два устройства: один USB-ключ и Bluetooth-адаптер с батарейным питанием.

Ключ безопасности от Юбико

В течение многих лет наиболее распространенным способом использования 2FA было отправлять одноразовые коды на ваш телефон с помощью текстового сообщения. Вам, вероятно, все еще придется использовать это в своем банке, поскольку финансовые учреждения, как правило, внедряют новые технологии медленнее. Интересно, что Google по-прежнему требует, чтобы вы включали коды SMS, если вы хотите использовать любые другие системы 2FA. На вопрос Джереми, это означает, что когда вы собираетесь зарегистрировать новый ключ безопасности в Google, вам уже нужно будет включить второй параметр 2FA в виде кодов SMS.

Другой вариант - использовать Google Authenticator или подобное приложение, такое как LastPass Authenticator. Эти мобильные приложения генерируют шестизначные коды доступа каждые 30 секунд. Просто откройте приложение, скопируйте код, и вы в нем. Это особенно удобно в качестве опции резервного копирования 2FA, поскольку приложение работает даже без услуги сотовой связи или Wi-Fi.

Если все это кажется тревожным, вы можете использовать мой предпочтительный метод: физические резервные коды. Возможно, вы видели это при создании учетных записей или регистрации в 2FA. Это сетка из нескольких чисел, которую вы можете использовать вместо пароля и токенов 2FA. Они генерируются только один раз, и если вы создаете их заново, старые отбрасываются. В идеале вы должны хранить их в зашифрованном хранилище файлов или, что еще лучше, на листе бумаги, спрятанном в безопасном месте.

При создании своей программы Advanced Protection компания Google выбрала несколько аппаратных ключей, поскольку все остальные перечисленные мной варианты, включая резервные коды, потенциально могли быть записаны на хорошо сделанной фишинговой странице. Поддать ключ безопасности гораздо сложнее.

• Двухфакторная аутентификация: у кого она есть и как ее настроить Двухфакторная аутентификация: у кого она и как ее настроить
• Почему вы не используете двухфакторную аутентификацию? Почему вы не используете двухфакторную аутентификацию?
• Google: фишинговые атаки, которые могут победить двухфакторный, на подъеме Google: фишинговые атаки, которые могут победить двухфакторный, нарастают

Имейте в виду, что не все сайты поддерживают все виды аутентификаторов. Например, LastPass позволяет использовать ключи безопасности, но только ключи, которые поддерживают одноразовые коды доступа. Выяснение, какие аутентификаторы использовать, часто зависит от того, какие параметры поддерживаются.

Ваши первые шаги для двухфакторной аутентификации

Тем не менее, я рекомендую всем, кто не знаком с 2FA, сначала попробовать его с системой, отличной от ключей безопасности. Если вы не привыкли использовать эту вторую вещь для входа в систему, у вас больше шансов запутаться в чем-то столь же незнакомом, как ключ безопасности. Вместо этого попробуйте использовать push-уведомления, коды, отправленные с помощью текстовых сообщений, Duo или Google Authenticator (или аналогичного генератора кодов). Они используют устройства, которые у вас уже есть, так что вход бесплатный. Как только вы ознакомитесь с тем, как работает 2FA, и он начинает ощущаться как вторая натура, вы можете подумать о том, чтобы потратить деньги на ключ (ы) безопасности.

Функция безопасности полезна только в том случае, если вы ее используете. Так что включите 2FA, но дайте себе разрешение поиграть с ним и найдите метод, который работает для вас.