Я наконец-то установил аппаратную 2FA и это оказалось намного проще, чем я думал

Ольга Бунина01 минуты
Я наконец-то установил аппаратную 2FA и это оказалось намного проще, чем я думал

Я всегда считал двухфакторную аутентификацию (2FA) раздражающим фактором: обязательством, которое мне приходилось выполнять каждый раз, когда я входил в систему. Я использовал SMS-коды и приложения для аутентификации. Я думал, что это безопасные варианты, пока не понял, что 2FA не так безопасен, как я думал: умная фишинговая атака, замена SIM-карты или посредник могут украсть эти коды за считанные секунды. Это побудило меня попробовать аппаратную 2FA, и я очень сожалею, что не сделал этого раньше.

Установка оказалась не такой сложной, как я думал. Это была всего лишь одна маленькая палочка, несколько щелчков мышью, и внезапно мои учетные записи были полностью защищены от атак, о возможности которых я даже не подозревал. Не требуется копирование быстро меняющихся кодов или SMS-сообщений, просто простая и мгновенная регистрация.

Что такое аппаратная 2FA на самом деле

Давайте подробнее рассмотрим, как ключи безопасности переносят аутентификацию на физический уровень.

Я всегда считал аппаратный ключ безопасности сложным решением цифровой безопасности, которое нужно только системным администраторам. Но на самом деле это простое решение безопасности, которое добавляет физический элемент — аппаратный ключ — к вашим паролям до их аутентификации.

Аппаратная 2FA генерирует уникальную пару открытого и закрытого ключей для каждого веб-сайта, на котором вы ее включили. Аппаратный ключ хранит и защищает закрытый ключ, пока открытый ключ отправляется на веб-сайт. Каждый раз, когда вы пытаетесь получить доступ к этому веб-сайту, он отвечает специальным запросом на то, чтобы ваш безопасный ключ был подписан соответствующим секретным ключом. Затем веб-сайт использует открытый ключ, хранящийся в вашей учетной записи, для проверки подписи.

Это чрезвычайно безопасная проверка, поскольку процесс проверки привязан к домену, поэтому поддельный или фишинговый сайт не может обманным путем заставить ваш аппаратный ключ подписать запрос или предоставить действительную подпись.

Хотя коды SMS можно перехватить путем замены SIM-карты, а коды приложений можно подделать, аппаратные ключи практически неуязвимы для удаленного компрометации. Постепенно они стали одним из самых надежных и наиболее широко распространенных вариантов обеспечения второго фактора.

Настройка моего первого ключа безопасности

Многоэтапный процесс оказался проще, чем ожидалось.

Процесс настройки прост. Сначала я настроил ключ безопасности (USB-C + NFC) в своей учетной записи Microsoft, но хотя точные шаги будут немного отличаться в других службах, они будут иметь сходство:

Войдите в свою учетную запись Microsoft.

  1. Нажмите на меню Безопасность (Безопасность), затем нажмите кнопку для Управлять тем, как я вхожу в систему (Управление входом в систему).
  2. Выберите вариант Добавьте новый способ входа или подтверждения (Добавьте новый метод входа или проверки) и выберите любой вариант, который включает Ключ безопасности (Ключ безопасности). В Microsoft это вариант Лицо (Человек), отпечаток пальца (Отпечаток пальца), ПРИКОЛОТЬ (ПРИКОЛОТЬ), ключ безопасности (Ключ безопасности).
  3. Вставьте ключ при появлении запроса, затем создайте и подтвердите PIN-код ключа безопасности.
  4. На этом этапе вам будет предложено нажать клавишу для завершения регистрации, затем следуйте следующему запросу и назовите свой ключ.

Эта настройка заняла менее трех минут, а затем войти в систему очень просто: введите пароль, нажмите клавишу, и все готово. Вы также можете установить PIN-код для своего ключа безопасности, чтобы предотвратить доступ к нему в случае его утери или кражи.. Хотя устройства YubiKey зачастую работают наиболее плавно и обеспечивают надежную защиту от фишинга, они стоят дороже. Вы также можете превратить стандартную USB-флешку в ключ безопасности с помощью специального программного обеспечения. Однако это бесплатный подход «сделай сам», который блокирует только ваш локальный компьютер и не включает в себя элемент безопасности, а также не поддерживает протоколы FIDO/WebAuthn, необходимые для входа в учетную запись онлайн.

Почему электронный ключ лучше, чем 2FA на основе приложения

Меньше возможностей для атак, отсутствие кода для копирования и больше уверенности.

Google Authenticator, Authy и другие приложения для аутентификации предлагают довольно хороший уровень безопасности, но аппаратные ключи безопасности обеспечивают лучшую защиту.. Приложения генерируют коды на основе общего секрета, и в случае утечки или подделки этого секрета злоумышленник может генерировать действительные коды.

Однако, поскольку аппаратные ключи безопасности используют криптографию с привязкой к источнику, домен веб-сайта становится стороной попытки входа в систему, что позволяет правильно подписать ключ только подлинный сайт. Идеальные клоны домена потерпят неудачу, поскольку они не будут соответствовать сохраненному открытому ключу домена.

Процесс использования приложения для аутентификации включает в себя доступ к телефону, поиск изменяющегося пароля телефона и ввод его до истечения срока его действия. Аппаратный ключ сокращает количество шагов, необходимых для аутентификации: просто включите его и нажмите. Ключ является универсальным для всех сервисов, поддерживающих FIDO2/U2F (современные стандарты ключей безопасности, устойчивые к фишингу), поэтому вместо нескольких приложений-аутентификаторов вы везде используете один и тот же фактор — «владение».

Выбор правильного типа ключа безопасности

Подберите ключ к своим устройствам для наилучшего использования.

Существует несколько форматов подключения, связанных с аппаратными ключами безопасности, и вам следует выбирать устройство в зависимости от формата подключения, который вы используете чаще всего. USB-C лучше всего подходит для телефонов, планшетов и современных ноутбуков Android, а USB-A лучше всего подходит для традиционных ПК. Однако новые аппаратные переключатели могут иметь оба разъема.

Ключи NFC отлично подходят для удобства мобильных устройств, поскольку для аутентификации можно просто коснуться телефона.. Для iPhone и iPad отлично подойдут варианты Lightning, USB-C (с адаптером) или NFC. Только ключи Bluetooth Low Energy (BLE) могут стоить дороже и требовать зарядки, поскольку большинство стандартных ключей безопасности являются пассивными и потребляют энергию от устройства.

Однако вам следует убедиться, что какой бы аппаратный ключ вы ни выбрали, он поддерживает стандарты FIDO2 и U2F, поскольку это обеспечивает более широкую кроссплатформенную совместимость. Даже когда вы меняете устройства или экосистемы, ваш ключ остается актуальным.

Один маленький ключ – огромные изменения в безопасности

Использование аппаратного ключа безопасности меняет мое представление о безопасности в Интернете. Он попадает в категорию экономичных инструментов, которые повышают безопасность без дополнительной нагрузки. Я больше не делаю постоянных проверок кодов и жду СМС. Одним касанием я проверяю свою личность, оставаясь при этом устойчивым к фишингу, краже личных данных и удаленному вторжению.

Физическая и криптографическая проверка — это будущее безопасности учетных записей, и ключи доступа и аппаратные ключи возглавляют это изменение. Аппаратные клавиши кажутся не дополнительным шагом, а важным последним шагом.

Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Похожие новости