Securitywatch: İki faktörlü kimlik doğrulama ile nasıl kilitlenemeyeceğinizi | Max Eddy

Güvenlik araçları genellikle belirli bir endişe yaratır. Şifremi kaybedersem ne olur? Ya da antivirüsüm eşyalarımı silerse? İki faktörlü kimlik doğrulamanın ortaya çıkışı, bilinen bir endişe üzerinde yeni bir bükülme yarattı: ikinci faktörümü kullanıp hesabımdan kilitlenemezsem ne olur?

Capetown'dan Jeremy, 2FA hakkında birkaç endişeyle yazdı. Mektubunu kısalık olarak değiştirdim.

Sevgili bayım,

Ben çok teknik değilim ve Yubikey ile karşılaştığınız gibi ayarlarken veya erişirken zor bir komplikasyonla karşılaşmayan iki faktörlü bir kimlik doğrulama cihazı istiyorum. En büyük korkum kendimi Gmail’den uzak tutmak.

Biri yedek anahtar olarak olmak üzere iki anahtar satın almak daha mı iyidir?

İçtenlikle,

Jeremy

İki faktörlü kimlik doğrulaması veya 2FA'yı duymadıysanız, işte ana fikir: 2FA, kimliğinizi doğrulamak için şifrenizi girdikten sonra gerçekleştirdiğiniz ikinci eylemdir. Buradaki fikir, bir saldırganın şifreniz olabilir, ancak güvenlik anahtarınız, kimlik doğrulama uygulamanız veya SMS kodunuz olmaz. 2FA'nın içine girmeyeceğim bir teori ve pratik var, ancak sizi 2FA'yı mümkün olan yerlerde yapmaya ve etkinleştirmeye teşvik ediyorum.

Jeremy, 2FA üzerindeki endişesinde iyi bir şirkettir. Teknik açıdan anlayışlı ve güvenlik konusunda bilinçli olan birçok kişi, iki faktörlü korumadan kaçmaya devam ediyor çünkü kilitli kalmaktan korkuyorlar ve belki de eşyalarına erişimi sonsuza dek kaybediyorlar. Bu gerçek ve geçerli bir endişe.

Okuyucu, Bana Oldu

Aslında, 2FA korumalı hesaplardan daha önce kilitlenmiştim. Birden fazla. Günün başında, iki faktörlü kimlik doğrulaması sunan ilk şirketlerden biri Blizzard idi. World of Warcraft oyuncuları önce hak kazandılar, çünkü zor kazanılmış ganimetlerini korumaları gerekiyordu. Etrafta dolaşan ve LCD'de değişen rakamlar gösteren WoW anahtarlıklar ile dolaşan insanları hatırlayabilirsiniz. Blizzard daha sonra bir mobil uygulamaya deneyim kazandırdı ve tüm Battle.net kullanıcılarına 2FA verdi.

Paranoyak biri olduğum için, özel Blizzard Authenticator uygulamasını kullanarak Blizzard hesabımda 2FA'yı etkinleştirdim. Bunu hemen yaptığımı unuttum ve araya giren aylarda uygulamayı telefonumdan sildim ve şifremi unuttum. Neyse ki, Blizzard'ın mükemmel müşteri hizmetleri var. Neşeli kadrosu ile birkaç e-postalar birkaç gün içinde tekrar çevrimiçi oldu. Yine de hala sinir bozucuydu. Kendi parola sıfırlama işlemimi başarabilmeye çok alıştım ve bu sürecin bir parçası olarak gerçek bir canlı insanla etkileşimde bulunma fikrini çok garip hissettim.

O zamandan beri deneyime daha fazla alıştım ve onaylayıcımı güvende tutmak konusunda daha akıllı olmayı öğrendim. Steam ve diğer hizmetlerin yanı sıra tekrar tekrar Battle.net'ten kilitlenmeyi de başardım.

Bir şirketin 2FA teklifini nasıl yapılandırdığına bağlı olarak, hesabınızın kontrolünü geri almak için geriye doğru eğilmeniz gerekebilir. Bu sesler kadar can sıkıcı, aslında hizmetin çalıştığı anlamına gelir. Doğrulayıcıya sahip değilseniz, bir çok çemberin içinden atlamanız gerekir . Senin için kolay olsaydı, kötü bir adam için kolay olurdu.

Faktörlerinizi Çarpın

Neyse ki, 2FA tarafından kilitlenmeyi önlemenin kolay bir yolu var: Birden fazla 2FA seçeneği kullanın. Farklı bir 2FA seçeneğine erişiminiz olmadığında bunlar yedek olarak işlev görebilir. Örneğin, Google hesaplarımda bir YubiKey 5 NFC kullanıyorum, ancak telefonumda bir doğrulama iletme bildirimi üzerine de dokundum. Yubikey'im yoksa, onun yerine onu kullanırım.

Daha fazla çok faktörlü cihaz eklemek, hesabınızın riske girme riskini artırır. Şimdi sadece bir tane yerine hesabınıza girmenin iki yolu var. Hesabınızdan kilitlenememenin ödüllerinin, içinde bulunduğunuz son derece olası senaryoya göre daha ağır olduğuna ve perp'in cüzdanınızı, anahtarlarınızı ve güvenlik anahtarınızı alıp şifrenizi yazdığına inanıyorum.

Google Titan Güvenlik Anahtarı paketi.

Birden fazla 2FA cihazı kullanmanın en iyi kanıtı, Titan Key paketinde iki anahtar sağlayan Google’dan geliyor. Bunlar, özellikle iki ayrı güvenlik anahtarı kaydetmenizi gerektiren, Google’ın Gelişmiş Koruma sistemiyle birlikte çalışmak üzere oluşturuldu. Her gün birini kullanıyorsun, diğerini de acil durumlar için uzaklaştırıyorsun. Öyleyse, Jeremy'nin sorusuna doğrudan cevap vermek için: Hesabınız için iki anahtara sahip olmak kötü bir fikir değildir.

Ne yazık ki, tüm siteler birden fazla çok faktörlü seçenek kaydetmenize izin vermez. Bu durumda, sizin için en güvenilir olduğunu düşündüğünüz 2FA seçeneğini kullanmanızı öneririm.

Kimlik Doğrulayıcı Arsenalinizi İnşa Etmek

Birden fazla donanım 2FA anahtarı satın almayı tercih ediyorsanız, Google’dan Editörün Seçimi Güvenlik Anahtarını veya Yubico’nun Titan Anahtar paketini öneririm. Yubico'nun güvenlik anahtarı her biri için yalnızca 20 dolar, ikisi için 36 dolar tutarındadır. Google'ın paketi 50 dolara mal oluyor ve iki cihaz içeriyor: bir USB anahtarı ve bataryayla çalışan bir Bluetooth cihazı.

Yubico'nun Güvenlik Anahtarı

Yıllarca, 2FA'yı kullanmanın en yaygın yolu, bir kereye mahsus kodları metin mesajı ile telefonunuza göndermekti. Finansal kurumlar yeni teknolojileri daha yavaş benimseme eğiliminde olduklarından muhtemelen bunu bankanızla birlikte kullanmak zorundasınız. Google, ilginç bir şekilde, diğer 2FA sistemlerini kullanmak istiyorsanız SMS kodlarını etkinleştirmenizi gerektirir. Jeremy'nin sorusuna göre, yeni güvenlik anahtarınızı Google'a kaydettiğinizde, SMS kodları biçiminde ikinci bir 2FA seçeneğini etkinleştirmeniz gerekir.

Başka bir seçenek de Google Authenticator'ı veya LastPass Authenticator gibi benzeri bir uygulamayı kullanmaktır. Bu mobil uygulamalar her 30 saniyede bir altı basamaklı şifreler oluşturur. Sadece uygulamayı açın, kodu kopyalayın ve içeridesiniz. Bunlar özellikle bir yedekleme 2FA seçeneği olarak kullanışlıdır, çünkü uygulama hücresel servis veya Wi-Fi olmadan bile çalışır.

Bütün bunlar endişe verici görünüyorsa, tercih ettiğim yöntemi kullanabilirsiniz: fiziksel yedekleme kodları. Bunları hesap oluştururken veya 2FA'ya kaydolurken görmüş olabilirsiniz. Bir parola ve 2FA belirteçleri yerine kullanabileceğiniz birkaç sayıdan oluşan bir ızgaradır. Sadece bir kez üretilirler ve eğer onları yeniden yaratırsanız, eskileri atılır. İdeal olarak, bunları şifrelenmiş bir dosya kasasında ya da daha güvenli bir yere yerleştirilmiş bir kağıda güvence altına alırsınız.

Gelişmiş Koruma programını oluştururken, Google birden fazla donanım anahtarı seçti, çünkü yukarıda listelediğim diğer tüm seçenekler (yedekleme kodları dahil), iyi hazırlanmış bir phishing sayfasıyla yakalanabilir. Bir güvenlik anahtarını sahnelemek çok daha zordur.

• İki Faktörlü Kimlik Doğrulama: Kimde ve Nasıl Kurulması İki Faktörlü Kimlik Doğrulama: Kimde ve Nasıl Kurulması
• İki Faktörlü Kimlik Doğrulamayı Neden Kullanmıyorsunuz? İki Faktörlü Kimlik Doğrulamayı Neden Kullanmıyorsunuz?
• Google: İki Faktörü Yenebilen Kimlik Avı Saldırıları Yükseliyor Google: İki Faktörü Yenebilen Kimlik Avı Saldırıları Yükseliyor

Tüm sitelerin her tür doğrulayıcıyı desteklemediğini unutmayın. Örneğin, LastPass güvenlik tuşlarını kullanmanıza izin verir, ancak yalnızca bir defalık şifreleri destekleyen tuşları kullanır. Hangi kimlik doğrulayıcıların kullanılacağını bulmak, hangi seçeneklerin desteklendiğinin bir işlevidir.

İki Faktörlü Kimlik Doğrulamada İlk Adımlarınız

Bununla birlikte, 2FA’ya yeni başlayan herkese önce güvenlik anahtarları dışındaki bir sistemle denemelerini tavsiye ediyorum. Oturum açmak için bu ikinci şeyi kullanmaya alışkın değilseniz, bir güvenlik anahtarı kadar yabancı bir şeyle uğraşma olasılığınız artar. Bunun yerine, push bildirimleri, kısa mesaj yoluyla gönderilen kodları, Duo veya Google Authenticator'ı (veya benzer kod oluşturucu) kullanmayı deneyin. Bunlar zaten sahip olduğunuz cihazları kullanır, bu yüzden giriş yapmanın maliyeti yoktur. 2FA'nın nasıl çalıştığını öğrendikten ve ikinci bir doğa gibi hissetmeye başladığında, bir güvenlik anahtarı (anahtarları) için parayı düşünmeyi düşünebilirsiniz.

Güvenlik özelliği yalnızca gerçekten kullanıyorsanız değerlidir. Öyleyse 2FA'yı etkinleştirin, ancak kendisiyle oynamak için kendinize izin verin ve sizin için işe yarayan bir yöntem bulun.