התארגנו: כיצד לגרום לאימות דו-גורמי לעבוד עבורכם

כמה בטוחים יותר חשבונות המקוונים שלך אם כל פעם שמישהו ינסה להתחבר היה צריך לחבר מפתח USB ולהזין את הסיסמה שלך ? או מה אם ה- Gmail שלך לא נדרש רק את שם המשתמש והסיסמה שלך, אלא גם סריקה של הקשתית שלך? אימות דו-גורמי יכול לעשות בדיוק את זה. אימות דו-גורמי פשוט אומר שיש מחסום נוסף מעבר לשם המשתמש והסיסמה שעליך לעבור כדי לקבל גישה לחשבונך. אם יש לך חשבון בנק ששולח לך הודעת טקסט עם קוד מיוחד לפני שתאפשר לך להתחבר, זה אימות דו-גורמי.

אני מסביר מדוע אימות דו-גורמי מועיל וכיצד ניתן להשתמש בו באופן שמנטרל את אותם תירוצים. ואל תדאג. לא תצטרך לקנות מכשיר סריקת קשתית מפואר חדש כדי לעשות זאת.

מהי אימות דו-גורמי?

באופן מקוון, אתה יכול להוכיח את זהותך באמצעות אחד משלושה סוגים של גורמים: משהו שאתה, משהו שיש לך, או משהו שאתה יודע. שם משתמש וסיסמא הם משהו שאתה יודע, והם בדרך כלל הגורם הראשון לאימות דו-גורמי. הגורם השני יכול להיות סמארטפון שקשור למספר טלפון שרק מצלצל עבורך. מספר הטלפון הוא משהו שיש לך ורק לך. הודעות טקסט שנשלחות למספר טלפון זה עם קוד בן שש ספרות יכולות להיות המאמת השני. SMS הוא אחד היישומים הנפוצים ביותר של אימות דו-גורמי. גורמים אחרים יכולים להיות טביעת אצבע (משהו שאתה) או אסימון אלקטרוני קטן המייצר קוד ייחודי כל 60 שניות (משהו שיש לך).

מדוע זה עובד?

ברמה הבסיסית ביותר, אימות דו-גורמי הוא בטוח יותר משם משתמש וסיסמא בלבד מכיוון שבפשטות רבה הוא מוסיף גורם נוסף. זה אומר שאתה צריך שני מפתחות כדי להיכנס במקום אחד. זה טוב לדעת, אבל לא מאוד משכנע, אז הרשו לי להסביר מדוע זה עובד בפועל.

זכור שהרבה גניבת זהות מתרחשת בגלל סיסמאות ששימשו לשימוש חוזר. נניח שאתה משתמש באותה סיסמה כמו ב- Gmail. אולי בחשבון שלך אין נתונים רגישים. נניח שנפרצות וההאקרים מקבלים את פרטי החשבון הבסיסיים שלך, כמו כתובת הדוא"ל והסיסמה שלך. כדאי שתאמין שהחבר'ה הרעים הולכים ישר ל- Gmail ומנסים להיכנס באמצעות אותה משולבת. אם הם יכולים להיכנס לדוא"ל שלך, הם יכולים לחפש בארכיונים שלך ולברר באילו בנקים אתה משתמש כדי לאפס את הסיסמאות בחשבונות הבנק שלך. מחריד!

אז מספר אחד: אל תשתמש שוב בסיסמאות. השתמש במנהל סיסמאות כדי לעקוב אחר סיסמאות חזקות השונות לכל חשבון.

מספר שתיים: אם אימות הדואר האלקטרוני שלך ב- Gmail היה מופעל, הרעים לא היו יכולים להיכנס לזה מלכתחילה, גם אם הייתה להם הסיסמה.

יתר על כן, אם הפעלת אימות דו-גורמי באמצעות הודעות טקסט, היית מקבל מייד התראה שמישהו מנסה להיכנס לחשבונך. זה יכול להיות סימן ברור לכך שאתה צריך לנעול את חשבונותיך בהקדם האפשרי על ידי שינוי כל הסיסמאות שלך, ואולי גם יידע את הבנקים שלך שהם צריכים להיות בכוננות בגלל הונאה בחשבונות שלך. לנגוס אותו באיבו לפני שהוא הופך לבעיה.

זהו רק תרחיש אחד. מה אם שותף לחדר מרושע היה משתמש ב- Keylogger כדי לנסות לפרוץ את חשבונותיך? מה אם עבריין ינסה לפרוץ לחשבונות שלך באמצעות תוכנית שהחילה סיסמאות שנוצרו באופן אקראי? בשני המקרים, הם לא יכלו להגיע רחוק במיוחד מכיוון שהם עדיין היו זקוקים לגורם השני שלך - כמו הודעת טקסט או טביעת האצבע שלך - כדי להיכנס לחשבון.

טיפים לשימוש באימות דו-גורמי

1. הפעל במשורה של שני גורמים. הוספת אימות דו-גורמי לכל החשבונות שלך עשויה לארוך ימים. אבל אף אחד מעולם לא אמר שאתה צריך להשתמש בו בכל מקום. זה בסדר גמור להשתמש בו רק בחשבונות הרגישים ביותר שלך. אלה כוללים דוא"ל, חשבונות בנק ובכל מקום אחר שיש לך מידע חשוב, כמו Dropbox אם אתה שומר שם מסמכים חשובים, או אמזון אם הפעלת רכישה בלחיצה אחת.
2. השתמש בגיליון רמאות. מבולבל היכן ניתן למצוא את הגדרת האימות הדו-גורמי בפייסבוק? איפה זה באברנוטה? אל תחפש את ההוראות כאשר TurnOn2FA כבר עשה את העבודה בשבילך. באתר זה יש הוראות מפורטות להפעלת אימות דו-גורמי ביותר ממאה אתרים.
3. תלבש שעון חכם. מבחינתי הזנת מספר בן שש ספרות מהודעת טקסט פירושה נעילת הטלפון שלי (אני מסתירה הודעות ממסך הנעילה מסיבות פרטיות ואבטחה), כניסה לאפליקציית הטקסט, פתיחת ההודעה והעברתה לדף. כל התהליך הוא הרבה יותר מהיר כשאני לובש א שעון חכם שמראה את תוכן הטקסטים. עכשיו, לוקח לי קצת יותר ממבט כדי לקבל את הקוד.
4. שמור קודי גיבוי במנהל סיסמאות או בארנק. כשאתה מגדיר אימות דו-גורמי, אתה בדרך כלל מקבל רשימה של קודי חירום שבהם אתה יכול להשתמש במקרה של תקלה במערכת. לדוגמה, נניח שיש לך קליטה לא טובה של הטלפון הנייד ואינך מקבל הודעות טקסט ואתה מנסה להיכנס ל- Gmail. אך מכיוון ששירות הטלפון אינו פעיל, הודעת הטקסט עם קוד הנעילה הדרוש לך אינה מגיעה אליך. במקרה זה, היית מפרק את קודי החירום ומשתמש בהם במקום זאת. הם עובדים בכל זמן ובכל מקום, אך הם טובים רק פעם אחת. אז שמור את הקודים האלה איפשהו נגיש! שני מקומות נהדרים הם מנהל סיסמאות (בתנאי שיש לך גישה אליו במצב לא מקוון דרך הטלפון הנייד שלך) ושליש נייר בארנק. כל עוד לא תכתוב את שם המשתמש והסיסמה שלך על הנייר, הקודים יהיו חסרי ערך לכל מי שמוצא אותם.

מחפש משהו יותר היי-טק?

העצות שנתתי זה עתה נועדו לעזור לאנשים להתחיל להשתמש באימות דו-גורמי במהירות באופן חכם שמקל על הניהול.

אבל אני יודע שקוראים ירצו להייטק.

YubiKeys הם אופציה נהדרת. סט מכשירי היי-טק זה, שנע בין $ 18- $ 50, הם מפתחות USB שעובדים יותר כמו מפתחות בית. כשרוצים להיכנס ליישום שעובד עם YubiKey, אתה מחבר מקל USB מיוחד כדי לבטל את הנעילה שלו. כיחיד אתה יכול להשתמש ב- YubiKey רק בחשבונות גוגל, כולל Gmail, LastPass ו- WordPress. אם אתה רוצה להשתמש בו במקומות אחרים, תצטרך מפתח בדרגה עסקית וארגון שמוכן לתמוך בו.

אפליקציית Usher מיועדת לשימוש עסקי, אך שווה להזכיר אותה. כשמשתמשים במכשירי iPhone 5 ומעלה, Usher יכול לאמת את זהותך דרך הסמארטפון שלך (גורם אחד) ואת טביעת האצבע שלך (גורם שני) באמצעות TouchID. אושר מיוצר על ידי חברת אבטחה בשם Microstrategy, ולאחרונה סיירתי במטה שלה בכדי לראות מקרוב כיצד עובד המשתמש. עובדים מסובבים את הסמארטפונים שלהם, המאמתים את זהותם במחסומי אבטחה אופייניים, כמו כניסה לחניון, דלתות, מעליות, מכון כושר ואפילו מסופי מחשב. החברה יכולה להתאים את רמת האימות הדרושה בכל מחסום. לדוגמה, כדי להיכנס למוסך החניה, ייתכן שתצטרך לא יותר מהטלפון הנייד שלך, המתחבר אל משואת Bluetooth לצורך אישור. עם זאת כדי להגיע לקומה העליונה של הבניין, ייתכן שתצטרך את הטלפון, את טביעת האצבע שלך ואת מספר ה- PIN בן ארבע ספרות.

הלהקה Nymi היא צמיד המשמש כאותנטי אחר באמצעות ביומטרי ייחודי: חתימת הדופק שלך (ECG). כדי שהלהקה תעבוד, אתה זקוק ל- HeartID הייחודי שלך, כמו גם ללהקה עצמה. נכון לכתיבת שורות אלה, להקת Nymi מיועדת אך ורק למפתחים, עם ערכת פיתוח בהיקף של 149 דולר. בשנה שעברה הייתה לי הזדמנות לנסות את להקת נימי בשלבים הראשונים שלה, והיא אורזת בה הרבה יותר נוחות מאשר קודי אימות בהודעת טקסט.

אני מתאר לעצמי שנראה תמיכה רבה יותר לאימות דו-גורמי או רב-פקטורי באמצעות טכנולוגיה לבישה בחודשים ובשנים הקרובות. Apple Watch כבר עובד עם המון אפליקציות דו-פקטוריות, ואני מתערב שיש עוד מה לבוא בחזית הזו. עד שנקיים מערכת טובה יותר לאימות זהות, אימות דו-גורמי הוא אחד מכלי ההגנה הטובים ביותר שיש לנו, לכן הקפידו להפוך אותה ללא חיכוך ככל האפשר כך שתשתמשו בפועל.