Έλεγχος ταυτότητας δύο παραγόντων, Two factor authentication ή 2FA.
Ο έλεγχος ταυτότητας δύο παραγόντων (ή 2FA) είναι ένας από τους καλύτερους τρόπους για να βελτιώσετε την ασφάλεια των online λογαριασμών σας. Ευτυχώς, γίνεται όλο και πιο συχνό σε ολόκληρο τον ιστό. Με συχνά μόνο μερικά κλικ στις ρυθμίσεις ενός συγκεκριμένου λογαριασμού, το 2FA προσθέτει ένα επιπλέον επίπεδο ασφάλειας στους λογαριασμούς σας στο διαδίκτυο, πάνω από τον κωδικό πρόσβασής σας.
Εκτός από τον κωδικός πρόσβασής σας, ένας λογαριασμός που προστατεύεται με 2FA θα ζητήσει επιπλέον πληροφορίες από το τηλέφωνό σας, όπως ένα ειδικό κλειδί ασφαλείας. Μόλις τοποθετήσετε τον κωδικό πρόσβασής σας, θα πάρετε έναν κωδικό σε μορφή κειμένου από μια εφαρμογή στο τηλέφωνό σας.
Ορισμένες πλατφόρμες αποκαλούν το 2FA με διαφορετικά ονόματα όπως Multi-Factor Authentication (MFA) Two Step Verification (2SV), ή Login Approvals – αλλά δεν έχει σημασία το όνομα, η ιδέα πάντως είναι η ίδια: Ακόμη και αν κάποιος αποκτήσει τον κωδικό πρόσβασής σας, δεν θα έχει πρόσβαση στους λογαριασμούς σας παρά μόνο αν έχει το τηλέφωνο ή το κλειδί ασφαλείας.
Υπάρχουν τέσσερις βασικοί τύποι 2FA σε κοινή χρήση από τους ιστότοπους των καταναλωτών και είναι χρήσιμο να γνωρίζουμε τις διαφορές. Ορισμένες τοποθεσίες προσφέρουν μονάχα μία επιλογή. άλλοι ιστότοποι προσφέρουν μερικές παραπάνω επιλογές. Συνιστούμε να ελέγξετε το 2factorauth.org για να μάθετε ποιοι ιστότοποι υποστηρίζουν το 2FA κι αν είναι εφικτό να ενεργοποιηθεί για όσο το δυνατόν περισσότερους λογαριασμούς σας στο διαδίκτυο.
Τέλος, το επιπλέον επίπεδο προστασίας από 2FA δεν σημαίνει ότι πρέπει να χρησιμοποιήσετε έναν αδύναμο κωδικό πρόσβασης. Πάντα να δημιουργείτε μοναδικούς, ισχυρούς κωδικούς πρόσβασης για καθέναν από τους λογαριασμούς σας και, στη συνέχεια, να τοποθετείτε 2FA πάνω από αυτούς για ακόμη καλύτερη ασφάλεια σύνδεσης.
SMS 2FA.
Όταν ενεργοποιείτε την επιλογή SMS 2FA ενός ιστότοπου, συχνά θα σας ζητηθεί να δώσετε έναν αριθμό τηλεφώνου. Την επόμενη φορά που θα συνδεθείτε με το όνομα χρήστη και τον κωδικό πρόσβασής σας, θα σας ζητηθεί επίσης να εισαγάγετε έναν σύντομο κωδικό (τυπικά 5-6 ψηφία) ο οποίος θα διαβαστεί στο τηλέφωνό σας. Αυτή είναι μια πολύ δημοφιλής επιλογή για την υλοποίηση τοποθεσιών, δεδομένου ότι πολλοί άνθρωποι έχουν έναν αριθμό τηλεφώνου με δυνατότητα SMS και δεν απαιτούν την εγκατάσταση μιας εφαρμογής. Παρέχει ένα σημαντικό βήμα στην ασφάλεια λογαριασμού σε σχέση με ένα μόνο όνομα χρήστη και κωδικό πρόσβασης.
Ωστόσο, υπάρχουν ορισμένα μειονεκτήματα. Μερικοί άνθρωποι μπορεί να μην νιώθουν άνετοι δίνοντας τον αριθμό τηλεφώνου τους – διότι είναι ένα κομμάτι δυνητικά προσδιοριστικών πληροφοριών – που τις εκμεταλλεύεται ένας συγκεκριμένος ιστότοπος ή κάποια πλατφόρμα. Ακόμη χειρότερα, μερικές ιστοσελίδες, αφού έχουν τον αριθμό τηλεφώνου σας για Two-factor authentication, θα το χρησιμοποιήσουν για άλλους δόλιους σκοπούς, όπως στοχευμένη διαφήμιση, παρακολούθηση μετατροπών και επαναφορά κωδικού πρόσβασης. Το να επιτρέπεται η επαναφορά του κωδικού πρόσβασης βάσει αριθμού τηλεφώνου που παρέχεται για το 2FA είναι ένα ιδιαίτερα σοβαρό πρόβλημα, επειδή σημαίνει ότι οι επιτιθέμενοι που χρησιμοποιούν εξαγορές τηλεφωνικών αριθμών μπορούν να έχουν πρόσβαση στο λογαριασμό σας χωρίς καν να γνωρίζουν τον κωδικό πρόσβασής σας.
Επιπλέον, δεν μπορείτε να συνδεθείτε με το SMS στο 2FA εάν το τηλέφωνό σας είναι νεκρό ή δεν μπορεί να συνδεθεί σε ένα δίκτυο κινητής τηλεφωνίας. Αυτό μπορεί να είναι ιδιαίτερα σοβαρό πρόβλημα όταν ταξιδεύετε στο εξωτερικό. Επίσης, είναι συχνά δυνατό για έναν εισβολέα να εξαπατήσει την εταιρεία τηλεφώνου σας και να μεταφέρει τον αριθμό τηλεφώνου σας σε μια διαφορετική κάρτα SIM, επιτρέποντάς τους να λαμβάνει τους κωδικούς 2FA σας . Τα ελαττώματα στο πρωτόκολλο τηλεφωνίας SS7 μπορούν να επιτρέψουν το ίδιο πράγμα. Σημειώστε ότι και οι δύο αυτές επιθέσεις μειώνουν μόνο την ασφάλεια του λογαριασμού σας στην ασφάλεια του κωδικού πρόσβασής σας.
Εφαρμογή αυθεντικοποίησης Authenticator App / TOTP 2FA.
Μια άλλη επιλογή που βασίζεται σε τηλέφωνο για το 2FA είναι η χρήση μιας εφαρμογής που δημιουργεί κωδικούς τοπικά με βάση ένα μυστικό κλειδί. Το Google Authenticator είναι μια πολύ δημοφιλής εφαρμογή γι ‘αυτό. Το FreeOTP είναι μια εναλλακτική λύση ελεύθερου λογισμικού. Η υποκείμενη τεχνολογία για αυτό το στυλ του 2FA ονομάζεται Time-Based One Time Password (TOTP) και αποτελεί μέρος της αρχιτεκτονικής Open Authentication (OATH) (δεν πρέπει να συγχέεται με το OAuth, την τεχνολογία πίσω από το “Σύνδεση με το Facebook” Σύνδεση με Twitter “).
Εάν ένας ιστότοπος προσφέρει αυτό το στυλ του 2FA, θα σας δείξει έναν κωδικό QR που περιέχει το μυστικό κλειδί. Μπορείτε να σαρώσετε αυτόν τον κώδικα QR στην αίτησή σας. Αν έχετε πολλά τηλέφωνα, μπορείτε να το σαρώσετε πολλές φορές. μπορείτε επίσης να αποθηκεύσετε την εικόνα σε ασφαλές μέρος ή να την εκτυπώσετε εάν χρειάζεστε ένα αντίγραφο ασφαλείας. Αφού σαρώσετε έναν τέτοιο κωδικό QR, η αίτησή σας θα παράγει έναν νέο 6ψήφιο κωδικό κάθε 30 δευτερόλεπτα. Όπως και στο SMS 2FA, θα πρέπει να εισαγάγετε έναν από αυτούς τους κωδικούς επιπλέον του ονόματος χρήστη και του κωδικού πρόσβασής σας για να συνδεθείτε.
Αυτό το στυλ του 2FA βελτιώνεται στο SMS 2FA επειδή μπορείτε να το χρησιμοποιήσετε ακόμα και όταν το τηλέφωνό σας δεν είναι συνδεδεμένο σε δίκτυο κινητής τηλεφωνίας και επειδή το μυστικό κλειδί αποθηκεύεται φυσικά στο τηλέφωνό σας. Εάν κάποιος ανακατευθύνει τον αριθμό τηλεφώνου σας στο δικό του τηλέφωνο, δεν θα είναι ακόμα σε θέση να πάρει τους 2FA κωδικούς σας. Έχει επίσης ορισμένα μειονεκτήματα: Εάν το τηλέφωνό σας καταστραφεί ή κλαπεί και δεν έχετε εκτυπωμένους κωδικούς ασφαλείας ή αποθηκευμένο αντίγραφο του αρχικού κώδικα QR, μπορείτε να χάσετε την πρόσβαση στο λογαριασμό σας. Για το λόγο αυτό, πολλοί ιστότοποι θα σας ενθαρρύνουν να ενεργοποιήσετε το SMS 2FA ως αντίγραφο ασφαλείας. Επίσης, εάν συνδέεστε συχνά σε διαφορετικούς υπολογιστές, μπορεί να είναι ενοχλητικό να ξεκλειδώσετε το τηλέφωνό σας, να ανοίξετε μια εφαρμογή και να πληκτρολογήσετε τον κώδικα κάθε φορά.
Push-based 2FA.
Ορισμένα συστήματα, όπως η μέθοδος Duo Push και η μέθοδος Trusted Devices της Apple, μπορούν να στείλουν μια προτροπή σε μία από τις συσκευές σας κατά τη διάρκεια της σύνδεσης. Αυτή η ερώτηση θα υποδείξει ότι κάποιος (πιθανώς εσείς) προσπαθεί να συνδεθεί και μια εκτιμώμενη τοποθεσία για την προσπάθεια σύνδεσης. Στη συνέχεια, μπορείτε να εγκρίνετε ή να απορρίψετε την απόπειρα.
Αυτό το στυλ του 2FA βελτιώνει τις εφαρμογές ελέγχου ταυτότητας με δύο τρόπους: Αναγνωρίζοντας ότι η προτροπή είναι λίγο πιο βολική από την πληκτρολόγηση ενός κώδικα και είναι κάπως πιο ανθεκτικό ενάντια στο phishing.
Με εφαρμογές SMS και ελέγχου ταυτότητας, ένας ιστότοπος ηλεκτρονικού “ψαρέματος” μπορεί απλώς να ζητήσει τον κωδικό σας και έπειτα να το περάσει αυτόν στον ιστότοπο κατά τη σύνδεσή σας με εσάς. Επειδή το 2FA που βασίζεται σε push εμφανίζει γενικά μια εκτιμώμενη τοποθεσία βάσει της διεύθυνσης IP από την οποία προέρχεται η σύνδεση και οι περισσότερες επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing) δεν λειτουργούν από τις ίδιες περιοχές διευθύνσεων IP με τα θύματά τους, μπορεί να εντοπίσετε αν η επίθεση phishing βρίσκεται σε εξέλιξη παρατηρώντας ότι η εκτιμώμενη τοποθεσία διαφέρει από την πραγματική τοποθεσία σας.
Ωστόσο, αυτό απαιτεί να δίνετε ιδιαίτερη προσοχή σε μια λεπτή ένδειξη ασφαλείας. Και επειδή η τοποθεσία μονάχα εκτιμάται , είναι δελεαστικό να αγνοήσουμε τυχόν ανωμαλίες. Επομένως, η πρόσθετη προστασία ηλεκτρονικού ψαρέματος που παρέχεται από το 2FA που βασίζεται σε push είναι περιορισμένη.
Μειονεκτήματα του 2FA που βασίζεται στο push: Δεν είναι τυποποιημένο, επομένως δεν μπορείτε να επιλέξετε από μια ποικιλία εφαρμογών ελέγχου ταυτότητας και δεν μπορείτε να ενοποιήσετε όλα τα διαπιστευτήρια στοιχείων που βασίζονται σε push σε μια ενιαία εφαρμογή. Επίσης, απαιτεί μια σύνδεση δεδομένων εργασίας στο τηλέφωνό σας, ενώ οι εφαρμογές του Authenticator δεν απαιτούν καμία σύνδεση και το SMS μπορεί να λειτουργεί σε επίπεδο τηλεφώνου μόνο σε SMS (ή σε περιοχές με ανεπαρκή σήματα).
FIDO U2F / Κλειδιά ασφαλείας.
Ο Universal Second Factor (U2F) είναι ένα σχετικά νέο στυλ του 2FA, συνήθως χρησιμοποιώντας μικρές συσκευές USB, NFC ή Bluetooth χαμηλής ενέργειας Bluetooth Low Energy (BTLE) που καλούνται συχνά “κλειδιά ασφαλείας”. Για να το ρυθμίσετε σε έναν ιστότοπο, καταχωρείτε τη συσκευή σας U2F. Στις επόμενες συνδέσεις, ο ιστότοπος θα σας ζητήσουν να συνδέσετε τη συσκευή σας και να πατήσετε κλικ για να επιτρέψετε τη σύνδεση.
Όπως το 2FA που βασίζεται σε push, αυτό σημαίνει ότι δεν χρειάζεται να πληκτρολογείτε κωδικούς. Η συσκευή U2F αναγνωρίζει τον ιστότοπο στον οποίο βρίσκεστε και απαντά με έναν κώδικα (μια υπογεγραμμένη πρόκληση) που είναι συγκεκριμένη για αυτόν τον ιστότοπο. Αυτό σημαίνει ότι το U2F έχει ένα πολύ σημαντικό πλεονέκτημα έναντι των άλλων μεθόδων 2FA: Είναι στην πραγματικότητα το phishing-proof, επειδή το πρόγραμμα περιήγησης περιλαμβάνει το όνομα της τοποθεσίας όταν μιλάει στη συσκευή U2F και η συσκευή U2F δεν θα απαντήσει σε ιστότοπους που που δεν έχετε εγγραφεί. Το U2F είναι καλά σχεδιασμένο από την άποψη της προστασίας προσωπικών δεδομένων: Μπορείτε να χρησιμοποιήσετε την ίδια συσκευή U2F σε πολλούς ιστότοπους, αλλά θα έχετε διαφορετική ταυτότητα για κάθε ιστότοπο, επομένως δεν μπορείτε να χρησιμοποιήσετε μια μοναδική ταυτότητα συσκευής για την παρακολούθηση.
Τα κύρια μειονεκτήματα του U2F είναι η υποστήριξη του προγράμματος περιήγησης, η υποστήριξη κινητής τηλεφωνίας και το κόστος. Αυτή τη στιγμή μόνο το Chrome υποστηρίζει το U2F, αν και ο Firefox εργάζεται για μία τέτοια εφαρμογή που όμως δεν είναι ολοκληρωμένη. Το W3C εργάζεται για την περαιτέρω τυποποίηση του πρωτοκόλλου U2F για τον ιστό , το οποίο θα οδηγήσει σε περαιτέρω υιοθέτηση.
Υπάρχει μια χούφτα U2F συσκευές που λειτουργούν με κινητά τηλέφωνα μέσω NFC και BTLE. Το NFC υποστηρίζεται μόνο από το Android. Στο iOS, η Apple δεν επιτρέπει σήμερα στις εφαρμογές να αλληλεπιδρούν με το υλικό NFC, πράγμα που εμποδίζει την αποτελεσματική χρήση του NFC U2F.
Το BTLE είναι πολύ λιγότερο επιθυμητό, επειδή μια συσκευή BTLE U2F απαιτεί αρκετή ενέργεια μπαταρίας και η εμπειρία αντιστοίχισης είναι λιγότερο διαισθητική ώστε να βάλετε στην καθημερινότητά σας μια συσκευή με NFC. Ωστόσο, η κακή υποστήριξη κινητής τηλεφωνίας δεν σημαίνει ότι η χρήση του U2F σας εμποδίζει να συνδεθείτε στο κινητό. Οι περισσότεροι ιστότοποι που υποστηρίζουν το U2F υποστηρίζουν επίσης τους κώδικες TOTP και backup. Μπορείτε να συνδεθείτε μία φορά στην κινητή συσκευή σας χρησιμοποιώντας μία από αυτές τις επιλογές, ενώ χρησιμοποιείτε τη συσκευή U2F που προστατεύεται από ηλεκτρονικές ψεύτικες για συνδέσεις στην επιφάνεια εργασίας. Αυτό είναι ιδιαίτερα αποτελεσματικό για ιστότοπους και εφαρμογές για κινητά που απαιτούν μόνο εσάς να συνδεθείτε μία φορά και να σας κρατήσουν για πάντα συνδεδεμένους.
Τέλος, οι περισσότερες άλλες μέθοδοι 2FA είναι δωρεάν, υποθέτοντας ότι έχετε ήδη ένα smartphone. Οι περισσότερες συσκευές U2F κοστίζουν χρήματα. Ο Brad Hill έχει συγκεντρώσει μια ανασκόπηση για διάφορες συσκευές U2F , οι οποίες γενικά κοστίζουν $10- $20. Το GitHub έχει έτοιμο έναν δωρεάν έλεγχο ταυτότητας U2F με βάση το λογισμικό για MacOS , αλλά χρησιμοποιώντας αυτό ως τη μοναδική συσκευή σας U2F θα σημαίνει ότι η κλοπή του φορητού σας υπολογιστή θα μπορούσε να έχει ως αποτέλεσμα την απώλεια πρόσβασης στον λογαριασμό σας.
Μπόνους: Κωδικοί ασφαλείας.
Οι ιστότοποι συχνά θα σας δώσουν ένα σύνολο δέκα εφεδρικών κωδικών για εκτύπωση και χρήση σε περίπτωση που το τηλέφωνό σας είναι νεκρό ή χάσετε το κλειδί ασφαλείας. Οι εφεδρικοι κωδικοί είναι επίσης χρήσιμοι όταν ταξιδεύετε ή σε άλλες περιπτώσεις όπου το τηλέφωνό σας μπορεί να μην έχει σήμα ή αντιμετωπίζεται πρόβλημα με την φόρτιση. Ανεξάρτητα από το ποια μέθοδος 2FA εσείς αποφασίζετε ότι είναι σωστή για εσάς, είναι καλή ιδέα να κρατήσετε αυτούς τους εφεδρικούς κωδικούς σε ασφαλές μέρος για να βεβαιωθείτε ότι δεν έχετε κλειδωθεί έξω από το λογαριασμό σας όταν το χρειάζεστε.