To-faktor autentisering: Et jukseark

Hva er tofaktorautentisering? To-faktor autentisering er en viktig del av online sikkerhet. Her er hva det er og hvordan det fungerer.

Det er nesten umulig å virkelig sikre en online- eller mobilkonto med bare et passord. Dataovertredelser, malware, tyveri av enheten og mange andre metoder kan brukes til å kompromittere digitale passord, uansett hvor sikre de er.

Alle som har sensitiv informasjon beskyttet med et passord, må ha en annen metode for å sikre kontoen sin, derav tofaktorautentisering. Det er forskjellige måter å beskytte kontoer via tofaktorautentisering: biometri, engangspassord, bekreftelseskoder, QR-koder, maskinvaretokener og andre metoder, som alle gir et nytt lag med sikkerhet.

Uansett metode er en ting helt sikkert: To-faktor-autentisering er nødvendig uansett hvor upraktiske brukere tror det er.

TechRepublic's tofaktors autentiseringsfusk er en introduksjon til dette viktige elementet i cybersikkerhet. Denne guiden vil bli oppdatert med jevne mellomrom når det er ny informasjon å dele om tofaktorautentisering. ( Merk : Denne artikkelen om tofaktorautentisering er tilgjengelig som en gratis PDF-nedlasting.)

Kortfattet sammendrag

  • Hva er tofaktorautentisering? Denne godkjenningsmetoden supplerer passord for å gi en online konto med et andre lag med sikkerhet; det erstatter ikke passord. Tofaktorautentisering er tilgjengelig for Apple ID, Google, Facebook, Twitter-kontoer og andre tjenester.
  • Hvordan fungerer tofaktorautentisering? Det er en rekke tofaktors autentiseringsmetoder tilgjengelig, som alle har det samme sluttmålet: Å gi en måte å bevise pålogging er legitim som er helt adskilt fra passordet.
  • Hvorfor betyr tofaktorautentisering? Det meste av alt vi gjør på en datamaskin eller mobilenhet blir utsatt for internett, og det betyr at disse online-kontoene kan bli kompromittert. Å legge til tofaktorautentisering til en konto gjør det vanskeligere for et stjålet passord å bli brukt mot deg.
  • Hvor sikker er tofaktorautentisering? Ingenting er helt sikkert, og det inkluderer tofaktorautentisering. To-faktor-systemer har blitt hacket i det siste, men den største risikoen er ikke teknologisk - det er sosialteknikk, som kan omgå selv de sikreste systemene.
  • Hvordan begynner jeg å bruke tofaktorautentisering? Bedrifter kan standardisere tofaktorautentisering ved å abonnere på en tjeneste som tilbyr den. Hjemmebrukere kan aktivere tofaktorautentisering på kontoene sine ved å sjekke om et bestemt nettsted tilbyr tjenesten.

Hva er tofaktorautentisering?

Tofaktorautentisering er et supplement til et digitalt passord som, når det brukes riktig, gjør det vanskeligere for en nettkriminell å få tilgang til en kompromittert konto. To-faktor autentisering blir også referert til som 2FA, totrinns verifisering, påloggingsverifisering og totrinns autentisering.

To-faktor autentisering er ikke å forveksle med multifaktor autentisering (MFA), hvorav 2FA er en undergruppe. MFA viser til alle slags systemer som er avhengige av mer enn én metode for identifikasjon for å bekrefte at du er den rette personen som bruker kontoen. Hvis du for eksempel bruker et passord, engangskode og deretter et fingeravtrykk for å logge inn på et system, bruker du MFA men ikke 2FA fordi du bruker tre forskjellige elementer.

Tilleggsressurser

  • Har teknologiselskaper tatt tofaktorautentisering for langt? (TechRepublic)
  • Hvordan få brukere ombord med tofaktorautentisering (TechRepublic)
  • Passord er ikke nok: Hvordan slå på tofaktorautentisering (ZDNet)
  • Hvorfor Apple ikke skal tvinge tofaktorautentisering på iPhone-brukere (TechRepublic)
  • To-faktor autentisering: Hva du trenger å vite (FAQ) (CNET)
  • Vil Googles Titan sikkerhetsnøkler revolusjonere kontosikkerheten? (TechRepublic)

Hvordan fungerer tofaktorautentisering?

To-faktor autentisering krever, sammen med et passord, en annen form for identitetsbekreftelse. Etter å ha logget seg på en konto med et passord, blir brukeren bedt om å bekrefte identiteten sin ved hjelp av et trykk på én knapp med en bekreftelsesapp eller legge inn en tilfeldig sikkerhetskode fra en tekst, e-post, pushvarsel eller fysisk nøkkel.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Den andre faktoren er ideelt sett vanskeligere å forfalse enn passord; det krever noe den legitime brukeren har fysisk tilgang til, som en smarttelefon med en bestemt autentiseringsapp installert, et koblet telefonnummer for en pushvarsling eller SMS-godkjenningskode, eller en maskinvaresikkerhetsnøkkel, som lar en hacker sitte fast selv om de har riktig passord til kontoen. Tofaktorautentisering er tilgjengelig for Apple ID-, Google-, Facebook- og Twitter-kontoer, banknettsteder og andre tjenester - det er ofte så enkelt som å aktivere alternativet.

Hvis bedriften din leter etter en tofaktors autentiseringsleverandør, er det mange alternativer. Når du har valgt en 2FA-leverandør, kan brukere forvente å bruke biometri (for eksempel Touch ID og Face ID), autentiseringsapper, SMS-godkjenning, e-postgodkjenning eller en fysisk sikkerhetsnøkkel for å autentisere en konto med en autentiseringskode.

Hver metode har sine fordeler og ulemper, og tofaktorautentisering skal ikke stole på for å være end-all, be-all av kontosikkerhet. Hver av disse metodene kan bli sprukket av noen med nok kunnskap eller drivkraft.

SMS og e-postgodkjenning, lett den mest allestedsnærværende, er også den mest sprukne. Tekstmeldinger er ikke sikre og kan bli snappet opp, og e-postkontoer kan bli hacket. Biometri kan bli lurt, og metodene for å autentisere dem kan også bli hacket. Apper kan være et problem når du migrerer til en ny mobilenhet, og fysiske sikkerhetsnøkler kan gå tapt.

I de fleste tilfeller hvor en konto er beskyttet av en annen sikkerhetsfaktor, vil brukerne bli gitt sikkerhetskoder som kan brukes til å deaktivere tofaktorautentisering når en nøkkel går tapt eller en app blir avinstallert. Hvis du registrerer deg på 2FA og får sikkerhetskopieringskoder, er det best å skrive dem ut og feste dem på et sikkert sted - du vet aldri når du kanskje trenger å gjenopprette en konto som blir låst ute.

Uansett er tofaktorautentisering veldig lav innsats for mye ekstra sikkerhet. Jada, den er ikke 100% idiotsikker, men ingenting er det.

Det kan også være irriterende å måtte vente på at Google eller en hvilken som helst annen tjenesteleverandør sender deg en bekreftelseskode som tekst eller QR-kode, men det er viktig å beskytte kontoen din. Den koden er et eksempel på tofaktorautentisering i handling: Passordet ditt er den første faktoren, og koden som sendes til telefonen din er den andre. Hvis Gmail-passordet ditt er stjålet og en hacker prøver å logge seg på kontoen din, vil tofaktorautentisering sperre vedkommende fordi koden sendes rett til enheten din, og varsle deg om at noen bare prøvde å logge inn og de har passordet ditt . Heldigvis kan det ekstra sikkerhetslaget stoppe dem.

Tilleggsressurser

  • Du har blitt brutt: Åtte trinn du må ta i løpet av de neste 48 timene (gratis PDF) (TechRepublic)
  • Hvordan gjøre klokke, sko eller husholdningsøppel til et passord (ZDNet)
  • 4 Windows Hello-enheter som vil endre måten du logger deg på PCen din (TechRepublic)
  • Rapport: 10 trender i applikasjonssikkerhet som vil påvirke din cyberdefense-strategi (TechRepublic)

Hvorfor betyr tofaktorautentisering?

Tofaktorautentisering er viktig for alle - spesielt sikkerhetsfagfolk og alle som bruker digitale passord.

Hvis det er på en konto på internett, er det trygt å anta at det er rettferdig spill for hackere å prøve å få tilgang til det. Et passord er vanligvis bare en hindring for å få tak i virksomheten din eller personlig informasjon.

Det virker som om vi knapt går en uke uten nyheter om et massivt datainnbrudd som rammer millioner av mennesker. Informasjonen som er stjålet, inneholder i mange tilfeller brukernavn og passord som kan gi nettkriminelle tilgang til kontoer. Hvis disse brukerne har tofaktorautentisering som er aktive på kontoene sine, trenger de ikke å bekymre seg nesten like mye.

For den enkelte bruker er tofaktorautentisering viktig fordi den beskytter personlig informasjon som e-post, økonomiske poster, sosiale medier og annen sensitiv informasjon. Bedrifter trenger tofaktorautentisering for å beskytte bedriftshemmeligheter fra å bli sølt ut i eteren, og de bør være sikre på at brukere, både interne og eksterne, bruker den.

Tilleggsressurser

  • Google lanserer Gmail sikkerhetsverktøy for å beskytte ledere mot høyprofilerte angrep (TechRepublic)
  • Online sikkerhet 101: Tips for å beskytte personvernet ditt mot hackere og spioner (ZDNet)
  • 63% av bedriftene sier at ansatte ikke vil bruke flerfaktorautentisering (TechRepublic)
  • Slik låser du opp ditt digitale liv på mindre enn en time (ZDNet)
  • Hvordan advokatfirmaer beskytter klientdata mot netttrusler (TechRepublic)
  • Gjør skyen tryggere: Slik kan du bruke tofaktorautentisering for å beskytte skytjenester (ZDNet)
  • 3 ting du trenger i en treningsplan for cybersecurity awareness (TechRepublic)
  • Sikkerhetsbevissthet og opplæringspolitikk (Tech Pro Research)

Hvor sikker er tofaktorautentisering?

Alle som har brukt tid på nettet vet at det er en dårlig idé å legge alle sikkerhetseggene sine i en enkelt kurv, og tofaktorautentisering er intet unntak.

Som CNET rapporterte for flere år siden, ble RSAs fysiske sikkerhetstokener hacket, så selv systemer du tror er sikre (som generatorer av tilfeldige tall) kan utnyttes.

Det største sikkerhetshullet i tofaktorautentisering, og det som oftest utnyttes, er sosialteknikk. En driftig hacker trenger ikke å prøve å knekke tofaktors autentiseringssikkerhet når de ganske enkelt kan ringe en støttelinje, posere som deg og få passordet tilbakestilt.

Programvareutvikler Grant Blakeman hadde akkurat den tingen skjedd med ham i 2014. En angriper som ønsket tilgang til Instagram-kontoen hans, klarte å få mobiltelefonleverandøren sin til å videresende nummeret sitt til et annet nummer. Derfra fikk angriperen en to-faktors autentiseringskode fra Google-kontoen, "som deretter tillot hackere å motta en passord-tilbakestilling av e-post fra Instagram, noe som ga dem kontroll over kontoen."

Blakeman hadde gjort alt riktig: Han brukte en passordbehandler for å generere lange, unike passord for hver konto, brukte tofaktorautentisering på Google og var generelt slitsom i sin online hygiene. Men det gjorde ikke noe når en smart nok angriper ønsket tilgang.

Så er tofaktorautentisering trygg? I og for seg, ja. Det er sjelden at tofaktors autentiseringsmetoder er sprukket. Den mest utnyttbare svakheten, enda en gang, er mennesker.

Tilleggsressurser

  • Ny Faketoken Android-malware registrerer samtaler, avskjærer tekster og stjeler kredittkortinfo (TechRepublic)
  • Nytt verktøy automatiserer phishing-angrep som omgår 2FA (ZDNet)
  • Google ønsker at du slutter å bruke SMS-to-faktor-pålogging (ZDNet)
  • Jukseark: Hvordan bli en cybersecurity-proff (TechRepublic)
  • To-faktor sikkerhet er så ødelagt, nå kan hackere tappe bankkontoer (ZDNet)
  • Phishing og spearphishing: En IT-pro's guide (gratis PDF) (TechRepublic)
  • Forsker finner at LastPass 2FA kan bli 1FA (ZDNet)
  • Politikk for beskyttelse av identitetstyveri (Tech Pro Research)

Hvordan begynner jeg å bruke tofaktorautentisering?

Å bruke tofaktorautentisering på forbrukertjenester som Apple ID, Google, Facebook, Twitter, banknettsteder og andre er ofte like enkelt som å slå på tjenesten.

Det er altfor mange nettsteder som bruker tofaktorautentisering for å liste dem alle her, så hvis du vil finne ut om en bestemt bruker det for å slå den på: The Ultimate Guide to Two Factor Authentication (2FA). Gratis tjenesten, levert av TeleSign, inneholder en søkbar liste over nettsteder som bruker tofaktorautentisering og instruksjoner for hvordan du aktiverer den.

Bedrifter kan velge mellom en rekke tofaktors autentiseringsleverandører, inkludert OneLogin, Yubico eller Okta, som tilbyr 2FA som en tjeneste som kan kobles til eksisterende datasystemer. Det er mange tilbydere å velge mellom, og å finne den rette for bedriften din vil sannsynligvis ta litt research.

Noen bedrifts 2FA-tjenester, for eksempel Okta, fungerer som en enkelt pålogging (SSO) som automatisk logger en verifisert bruker til andre kontoer, så bare ett passord må huskes, noe som gjør bedriftskontoer så mye sikrere.

Når en enhet er registrert i en 2FA SSO-tjeneste og en bruker logger seg på, blir datamaskinen eller smarttelefonen deres en pålitelig enhet, og legger til et nytt lag med sikkerhet: Hvis noen prøver å logge inn fra et annet sted, vil de ha vanskelig for å gjøre det uten å kunne oppgi en autentiseringskode i tillegg til et brukernavn og passord.

Hovedpoenget i tofaktorautentisering er at det er viktig. Ja, den rette kombinasjonen av teknisk kunnskap og tillitssvindel kan sprekke selv de mest sikre systemene, men for den gjennomsnittlige brukeren i gjennomsnittssituasjonen kan tofaktorautentisering utgjøre hele forskjellen.

Tilleggsressurser

  • Slik konfigurerer du tofaktorautentisering for iCloud (TechRepublic)
  • Slik konfigurerer du tofaktorautentisering for Google-kontoen din (TechRepublic)
  • Slik aktiverer du tofaktorautentisering for din Apple ID (TechRepublic)
  • Slik konfigurerer du tofaktorautentisering på Microsoft-kontoen din (TechRepublic)
  • Slik aktiverer du tofaktorautentisering for Twitter-kontoen din (TechRepublic)
  • Hvordan aktivere tofaktorautentisering på Instagram (TechRepublic)
  • Slik aktiverer du tofaktorautentisering på din LinkedIn-konto (TechRepublic)
  • Hvordan bruke Microsoft Authenticator-appen på en Apple Watch (TechRepublic)
  • Tips for Windows 10: Hold Microsoft-kontoen din sikker med 2-faktor autentisering (ZDNet)

Redaktørens notat: Denne artikkelen ble først publisert i desember 2017.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag Bilde: Getty Images / iStockphoto, Suebsiri

© Copyright 2021 | pepebotifarra.com