Pagina principala » HOWTO » Diferitele forme ale SMS de autentificare cu două factori, aplicații Autheticator și altele

    Diferitele forme ale SMS de autentificare cu două factori, aplicații Autheticator și altele

    Multe servicii online oferă autentificare cu două factori, ceea ce sporește securitatea prin solicitarea mai multor parole decât conectarea. Există multe tipuri diferite de metode de autentificare suplimentare pe care le puteți utiliza.

    Diferitele servicii oferă diferite metode de autentificare cu două factori și, în unele cazuri, puteți alege chiar din câteva opțiuni diferite. Iată cum funcționează și cum diferă acestea.

    Verificarea SMS

    Multe servicii vă permit să vă înscrieți pentru a primi un mesaj SMS de fiecare dată când vă conectați la contul dvs. Acest mesaj SMS va conține un cod scurt de utilizare unică pe care va trebui să îl introduceți. Cu acest sistem, telefonul dvs. mobil este utilizat ca a doua metodă de autentificare. Cineva nu poate intra în cont doar dacă are parola dvs. - au nevoie de parola dvs. și de accesul la telefonul dvs. sau la mesajele sale SMS.

    Acest lucru este convenabil, deoarece nu este nevoie să faceți ceva special și majoritatea oamenilor au telefoane mobile. Unele servicii vor apela chiar și un număr de telefon și un sistem automat vorbește un cod, permițându-vă să îl utilizați cu un număr de telefon fix care nu poate primi mesaje text.

    Cu toate acestea, există mari probleme cu verificarea SMS-urilor. Atacatorii pot folosi atacurile de tip swap SIM pentru a avea acces la codurile dvs. securizate sau pentru a le intercepta grație unor defecte în rețeaua celulară. Vă recomandăm să nu folosiți mesaje SMS, dacă este posibil. Cu toate acestea, mesajele SMS sunt încă mult mai sigure decât nefolosind nici o autentificare cu două factori!

    Coduri generate de aplicații (precum Google Authenticator și Authy)

    Puteți, de asemenea, să aveți codurile generate de o aplicație pe telefon. Cea mai cunoscută aplicație care face acest lucru este Google Authenticator, pe care Google o oferă pentru Android și iPhone. Cu toate acestea, preferăm Authy, care face tot ceea ce face Google Authenticator - și multe altele. În ciuda numelui, aceste aplicații utilizează un standard deschis. De exemplu, este posibil să adăugați conturi Microsoft și multe alte tipuri de conturi în aplicația Google Authenticator.

    Instalați aplicația, scanați codul la configurarea unui cont nou, iar acea aplicație va genera coduri noi la fiecare 30 de secunde. Va trebui să introduceți codul curent afișat în aplicație pe telefon, precum și parola, atunci când vă conectați la un cont.

    Acest lucru nu necesită deloc un semnal celular, iar "semințele" care permit aplicației să genereze acele coduri limitate în timp sunt stocate numai pe dispozitiv. Aceasta înseamnă că este mult mai sigur, deoarece chiar și cineva care obține acces la numărul dvs. de telefon sau interceptează mesajele dvs. text nu va cunoaște codurile.

    Unele servicii - de exemplu, Blizzard's Battle.net Authenticator - au de asemenea propriile lor aplicații dedicate generării de coduri.

    Taste fizice de autentificare

    Cheile de autentificare fizică reprezintă o altă opțiune care începe să devină mai populară. Companiile mari din sectoarele tehnologic și financiar creează un standard cunoscut sub numele de U2F și este deja posibil să utilizați un token fizic U2F pentru a vă asigura conturile Google, Dropbox și GitHub. Aceasta este doar o mică cheie USB pe care o puneți pe lanțul de chei. Ori de câte ori doriți să vă conectați la contul dvs. de pe un computer nou, va trebui să introduceți cheia USB și să apăsați un buton pe el. Asta e - nu coduri de tastare. În viitor, aceste dispozitive ar trebui să funcționeze cu NFC și Bluetooth pentru a comunica cu dispozitive mobile fără porturi USB.

    Această soluție funcționează mai bine decât verificarea prin SMS și codurile de utilizare unică, deoarece nu pot fi interceptate și confundate cu. Este, de asemenea, mai simplu și mai convenabil de utilizat. De exemplu, un site de phishing ar putea să vă arate o pagină falsă de conectare Google și să vă capteze codul de utilizare unică atunci când încercați să vă conectați. Astfel, aceștia ar putea utiliza acel cod pentru a vă conecta la Google. Dar, cu o cheie fizică de autentificare care funcționează în concordanță cu browserul dvs., browserul poate asigura comunicarea cu site-ul web real și codul nu poate fi capturat de un atacator.

    Așteptați să vedeți mai multe despre acestea în viitor.

    App-Based Authentication

    Unele aplicații mobile pot furniza autentificare cu două factori utilizând aplicația în sine. De exemplu, Google oferă acum o autentificare cu două factori fără cod, atâta timp cât aveți aplicația Google instalată pe telefon. Ori de câte ori încercați să vă conectați la Google de pe alt computer sau dispozitiv, trebuie doar să atingeți un buton de pe telefon, fără a fi necesar un cod. Google verifică dacă aveți acces la telefon înainte de a încerca să vă conectați.

    Verificarea în doi pași a Apple funcționează în mod similar, deși nu utilizează o aplicație - utilizează însăși sistemul de operare iOS. Ori de câte ori încercați să vă conectați de la un dispozitiv nou, puteți primi un cod de utilizare unică trimise unui dispozitiv înregistrat, cum ar fi iPhone sau iPad. Aplicația mobilă Twitter are o caracteristică similară numită și verificarea autentificării. Google și Microsoft au adăugat această caracteristică în aplicațiile smartphone Google și Microsoft Authenticator.

    Sisteme bazate pe e-mail

    Alte servicii se bazează pe contul dvs. de e-mail pentru a vă autentifica. De exemplu, dacă activați Steam Guard, Steam vă va solicita să introduceți un cod de utilizare unică trimis la e-mailul dvs. de fiecare dată când vă conectați de la un computer nou. Acest lucru asigură cel puțin că un atacator ar avea nevoie atât de parola contului Steam, cât și de accesul la contul dvs. de e-mail pentru a avea acces la acel cont.

    Acest lucru nu este la fel de sigur ca alte metode de verificare în doi pași, deoarece poate fi ușor ca cineva să obțină acces la contul dvs. de e-mail, mai ales dacă nu utilizați verificarea în doi pași! Evitați verificarea pe bază de e-mail dacă puteți folosi ceva mai puternic. (Din fericire, Steam oferă autentificarea bazată pe aplicații în aplicația mobilă.)

    Ultima stațiune: Coduri de recuperare

    Codurile de recuperare oferă o plasă de siguranță în cazul în care pierdeți metoda de autentificare cu două factori. Când configurați autentificarea cu două factori, veți primi, de obicei, coduri de recuperare pe care trebuie să le scrieți și să le păstrați undeva în siguranță. Veți avea nevoie de ele dacă veți pierde vreodată metoda de verificare în doi pași.

    Asigurați-vă că aveți o copie a codurilor de recuperare undeva dacă utilizați autentificarea în două etape.


    Nu veți găsi multe opțiuni pentru fiecare dintre conturile dvs. Cu toate acestea, multe servicii nu oferă mai multe metode de verificare în doi pași pe care le puteți alege.

    Există, de asemenea, opțiunea de a utiliza mai multe metode de autentificare cu două factori. De exemplu, dacă configurați atât o aplicație care generează coduri, cât și o cheie de securitate fizică, puteți obține accesul la cont prin intermediul aplicației dacă pierdeți vreodată cheia fizică.