W ostatnich latach nowa koncepcja bezpieczeństwa zawiera wiele nagłówków - dwuetapową weryfikację lub uwierzytelnianie dwuskładnikowe. Wszystko zaczęło się od Google, które umożliwiło korzystanie z niego użytkownikom. Od tego czasu wiele firm podążyło za ich przykładem, w tym Microsoft i Facebook. Jeśli chcesz zrozumieć, czym jest uwierzytelnianie dwuskładnikowe, jak to działa, dlaczego należy je włączyć i gdzie, przeczytaj ten artykuł. Nie będziesz żałować, że to zrobiłeś!
Co to jest weryfikacja dwuetapowa / uwierzytelnianie dwuskładnikowe?
Weryfikacja dwuetapowa to proces bezpieczeństwa, który obejmuje dwa etapy weryfikacji tożsamości osoby lub podmiotu, który próbuje uzyskać dostęp do jakiejkolwiek usługi (e-mail, portale społecznościowe, bankowość itp.). Ta koncepcja jest również nazywana uwierzytelnianiem dwuskładnikowym i wymaga dwóch lub więcej z tych trzech czynników uwierzytelniających: współczynnika wiedzy, współczynnika posiadania i współczynnika przenikania.
Tradycyjna weryfikacja obejmuje tylko jeden lub dwa z trzech wspomnianych wcześniej czynników. Na przykład, jeśli chcesz korzystać z usługi cyfrowej, takiej jak e-mail, tradycyjna weryfikacja wymaga znajomości nazwy użytkownika i hasła. Jak wszyscy wiemy, wiedza może zostać ukradziona na wiele sposobów, a ludzie mogą nauczyć się zarówno nazwy użytkownika i hasła, korzystać z tych samych usług, jak ty do różnych celów i pozować jak ty.
W prawdziwym świecie tradycyjna weryfikacja może obejmować czynnik wiedzy i czynnik posiadania. Na przykład, gdy idziesz do bankomatu, aby uzyskać gotówkę, używaj karty debetowej lub kredytowej (współczynnik posiadania) i PIN (czynnik wiedzy). Jednak zarówno PIN, jak i informacje na karcie kredytowej można się nauczyć na różne sposoby, a nieautoryzowane strony mogą dokonywać transakcji online za pomocą pieniędzy. Dlatego opracowano koncepcję 3-D Secure, aby zapewnić dodatkową warstwę zabezpieczeń dla transakcji kartami kredytowymi i debetowymi online.
Podczas korzystania z weryfikacji dwuetapowej w świecie cyfrowym dodaje się trzeci czynnik: współczynnik posiadania - zwykle twój smartfon lub telefon komórkowy. To urządzenie służy do drugiego etapu weryfikacji tożsamości. Na przykład po zalogowaniu się na konto e-mail najpierw podaj nazwę użytkownika i hasło. Następnie zostaniesz poproszony o podanie hasła czasowego, które wygasa za 30 sekund. To hasło można wysłać na telefon komórkowy za pośrednictwem wiadomości SMS lub wyświetlić przy użyciu aplikacji uwierzytelniającej, takiej jak Google Authenticator lub Microsoft Authenticator.
Niektóre firmy i usługi będą również świadczyć urządzenia do uwierzytelniania fizycznego, które będą stale generować kody potrzebne do sfinalizowania procesu weryfikacji. Na przykład wiele banków udostępnia urządzenia fizyczne do weryfikacji dwuetapowej, dzięki czemu można uzyskać dostęp do konta bankowego online. Również PayPal robi to dla niewielkiej liczby krajów, w tym USA.
Jak to działa?
Wdrożenia do weryfikacji dwuetapowej są liczne i nie będziemy szczegółowo omawiać wszystkich z nich.
Najpopularniejszą implementacją jest podejście Google oparte na TOTP - opartym na czasie jednorazowym algorytmie haseł. Gdy weryfikacja dwuetapowa jest włączona dla Twojego konta, specjalny serwer generuje nowe hasło / kod raz na 30 sekund. Urządzenie, które udostępnia Ci hasło, musi być zsynchronizowane z serwerem, aby kod wprowadzony podczas drugiego kroku uwierzytelniania był zgodny z tym na serwerze. Jeśli urządzenie udostępniające hasło nie jest zsynchronizowane, nie możesz sfinalizować weryfikacji swojej tożsamości.
Algorytm ten jest najpopularniejszym znalezionym w Internecie. Wykorzystuje go wiele firm, w tym Google, Microsoft, Facebook, Evernote, Dropbox, Wordpress, MailChimp i Lastpass.
Innym popularnym podejściem jest ten stosowany przez banki i dostawców kart kredytowych. Ma nazwę 3-D Secure i służy do zatwierdzania transakcji finansowych dokonywanych online. Ta metoda weryfikacji dwuetapowej obejmuje trzy podmioty: domenę akceptanta lub banku, na rzecz którego wypłacane są pieniądze, domenę banku, który wystawia kartę i infrastrukturę obsługującą protokół 3-D.
Protokół ten wykorzystuje tylko bezpieczne połączenia SSL do dokonywania transakcji online, a aby zatwierdzić transakcję, potrzebne jest specjalne hasło wraz z nazwiskiem i danymi karty kredytowej. To hasło może być tymczasowe i oparte na czasie lub może być trwałe i ustawione przez Ciebie, użytkownika. Innym ważnym aspektem jest to, że to hasło nie jest przechowywane przez sprzedawcę lub bank, do którego wypłacane są pieniądze. Hasło jest znane tylko przez serwery zapewniające infrastrukturę protokołu 3-D. Dlatego jeśli sprzedawca zostanie zhackowany, hakerzy nie będą mogli uzyskać hasła 3-D Secure.
Dlaczego potrzebujesz weryfikacji dwuetapowej?
Głównym powodem, dla którego powinieneś używać weryfikacji dwuetapowej, jest ochrona siebie. Korzystając z tej dodatkowej warstwy ochrony, utrudniasz niepożądanym stronom dostęp do swojej tożsamości online i kradną dane osobowe lub finansowe.
Podczas korzystania z 3-D Secure w przypadku transakcji finansowych utrudniasz hakerom kradzież pieniędzy. Bardzo łatwo jest im skopiować dane karty, ale będzie im ciężko dostać hasło 3-D Secure.
Kiedy powinieneś używać weryfikacji dwuetapowej?
Dodanie dodatkowego kroku uwierzytelniania jest denerwujące dla wszystkich, ale konieczne, aby nasze dane pozostały prywatne. Zdecydowanie zalecamy włączenie weryfikacji dwuetapowej dla następujących typów usług i korzystanie z nich:
- E-mail - Twoja skrzynka odbiorcza przechowuje największą ilość danych osobowych ze wszystkich Twoich kont online. Ludzie mogą śledzić historię swoich wiadomości e-mail, uczyć się nazwy użytkownika dla kont bankowych i PayPal, dowiedzieć się więcej o swojej pracy, swoich relacjach i wielu innych ważnych szczegółach. Zabezpieczenie skrzynki odbiorczej jest pierwszą rzeczą, którą powinieneś zrobić.
- Bankowość elektroniczna i transakcje finansowe - jeśli prowadzisz bankowość internetową, jeśli kupujesz produkty od Amazon, eBay lub innych sklepów internetowych, musisz zabezpieczyć swoją kartę kredytową lub debetową. Zapytaj swój bank o 3-D bezpieczne i opcje weryfikacji dwuetapowej, które oferują, włącz i używaj.
- Przechowywanie haseł - wiele osób świadomych bezpieczeństwa korzysta z usług takich jak LastPass, Roboform lub KeePass. Zabezpieczenie ich jest kluczowe. Jeśli twoje hasło do konta zostanie skradzione, nieautoryzowane osoby mają dostęp do wszystkich twoich haseł i mogą wyrządzić ci wiele krzywdy.
- Sieci społecznościowe - przechowujemy wiele danych osobowych na naszym koncie Facebook i w innych sieciach społecznościowych. Jeśli ktoś inny uzyska do niego dostęp, nauczy się wielu rzeczy, które wolałbyś zachować w tajemnicy. Na przykład, jeśli masz zazdrosnego partnera, może on już znać swoje hasło na Facebooku i mieć oko na to, co robisz. Chroń siebie i włącz weryfikację dwuetapową.
Wniosek
Mam nadzieję, że ten poradnik okazał się przydatny. Jeśli masz jakieś pytania lub problemy ze zrozumieniem, jak ta koncepcja działa, nie wahaj się zostawić komentarz poniżej.