SMS yoki autentifikator ilovasi - ikki faktorli autentifikatsiya qilish uchun qaysi biri yaxshiroq?

So'nggi ikki faktorli autentifikatsiya (2FA) maqolalarimizdan birining sharhlarida, biz ikkinchi autentifikatsiya faktori sifatida SMS (matnli xabar) kodidan foydalanish yoki maxsus autentifikator ilovasidan foydalanish yaxshiroqmi degan savolni oldik. kodni yarating.

Biz bu qiziqarli savol deb o'yladik, shuning uchun uni biroz o'rganib chiqamiz. Ko'p hollarda, SMS va autentifikator ilovasi o'rtasida tanlov qaysi biri sizga qulayroq bo'lsa, shundan kelib chiqadi. Ammo agar siz ularning har birining ijobiy va salbiy tomonlarini bilmoqchi bo'lsangiz, o'qing va izohlarda bizga qaysi variantni va nima uchun afzal ko'rsating.

(2FA-ni qo'llab-quvvatlaydigan xizmatlarning barchasi ham ikkala variantni taklif qilmaydi, ammo ushbu mashq uchun biz siz ulardan birini tanlaysiz deb o'ylaymiz.)

SMS-ga asoslangan kodlarning afzalliklari va kamchiliklari

Taroziga soling

  • SMS -kodlar qulay. Ilovani yuklab olish va har bir hisob uchun sozlashdan o'tish bilan hech qanday qiyinchilik bo'lmaydi. Agar sizda smartfon bo'lmasa, bu yagona variant bo'lishi mumkin.
  • SMSni tasdiqlash ko'mir konida kanareyka bo'lishi mumkin. Agar kimdir sizning hisobingizga kirmoqchi bo'lsa, sizning telefoningizdagi 2FA xabarlari tekshiruv vaqti kelgani (va parolingizni almashtirishingiz kerak) haqida ogohlantiradi.

Kamchiliklari

  • Yolg'onchi SIM -karta almashish orqali sizning SMS -laringizni o'g'irlab ketishi mumkin. Agar ular uyali telefon do'konini siz ekanligingizga ishontira olsalar, ular sizning telefon raqamingiz bilan kodlangan SIM-kartani almashtirishga majbur qilishlari mumkin. Sizning telefoningiz o'chadi va sizning qo'ng'iroqlaringiz va xabarlaringiz, shu jumladan 2FA kodlari qabul qilinadi.
  • NIST SMS-ga asoslangan 2FA yoshi tugaganligini e'lon qildi.

Autentifikator dastur kodlarining ijobiy va salbiy tomonlari

Taroziga soling

  • Agar autentifikatsiya dasturidan foydalanayotgan bo'lsangiz, SIM-kartani almashtirish sizning 2FA kodlaringizni o'g'irlamaydi. Kodlar sizning SIM -kartangizga emas, balki ilovaning o'ziga bog'liq.
  • Authenticator dasturlari mobil aloqangiz bo'lmagan taqdirda ham ishlaydi.

Kamchiliklari

  • Authenticator ilovalari ham dastur, ham server saqlaydigan umumiy sirga bog'liq. Bu "urug '" 2FA kodini yaratish vaqti bilan birlashtirilgan. Agar firibgar ilova yoki serverni buzib, sirni qayta tiklasa, ular sizning 2FA kodlaringizni muddatsiz klonlashlari mumkin. SMS -kodlar server tomonidan yuborilgan tasodifiy qiymatlardir, shuning uchun firibgar keyingi ketma -ketlikni bashorat qila oladigan "urug '" yo'q.
  • Smartfoningizdan onlayn xizmatlarga kirganingizda, odatda autentifikator dasturini bitta qurilmada ishlatasiz. Bu shuni anglatadiki, firibgarlar sizning 2FA omillaringiz uchun umumiy kelishuvga ega. SMS kodlari uchun ishlatiladigan ikkinchi "engil telefon" ikki omilni ajratishni osonlashtiradi.

Xo'sh, nimani afzal ko'rasiz? Agar siz allaqachon onlayn hisob qaydnomalaringiz uchun 2FA dan foydalanmasangiz, biz sizni boshlashga ishontira olamizmi? Fikrlaringizni quyidagi izohlarda bizga xabar bering.

Kompyuter xavfsizligi haqidagi so'nggi yangiliklar uchun Twitterda @NakedSecurity -nikuzatib boring .

Instagramda @NakedSecurity -nikuzatib boring,eksklyuziv rasmlar, sovg'alar, video va LOL -lar!

Bepul vositalar

Sophos uyi

Hitman Pro

Intercept X for Mobile

"SMS yoki autentifikator ilovasi-qaysi ikki faktorli autentifikatsiya uchun yaxshiroq? ”Deb yozdi.

Men autentifikator dasturlariga to'liq ishonaman. Biroq, men qiziqaman, qachon olti xonali kod o'chiriladi va biz sakkiz yoki o'n raqamli kodlarga o'tishimiz kerakmi?

Va men oq qog'ozni NIST-dan o'qidim. O'ylaymanki, menga kod yozishni to'xtatish uchun twitter olishim kerak!

Katta miqdordagi qarama-qarshi SMS: har qanday dastur sizning xabarlaringizdan ozmi ko'pmi - sizning xabarlaringizga kirish huquqiga ega. Agar tasodifan zararli dasturni o'rnatgan bo'lsangiz, u ushbu kodlarni ushlab turishi mumkin. Boshqa ilovadan yaratilgan kodlarni o'qiy olmaydi.

Shunday qilib, SMS va ilovalarni izolyatsiyalash uchun standart dasturlarga kirish huquqlari. Qurilma ildiz otmaganligi sababli, men faqatgina ikkinchisiga ishonaman.

Aslida bu iOS ilovalari uchun to'g'ri kelmaydi, ular sizning SMS ma'lumotlaringizga dasturiy kirish imkoniyatiga ega emaslar.

Kompaniyalar o'rtasida o'z ilovalarining xavfsizligi, tarmoqdagi nosozliklar va boshqa ilovaning umumiy ishonchsizligi va noqulayligiga etarlicha e'tibor qaratilmaganda, menimcha, SMS etarli.

Ko'pincha, o'z xavfsizligini "aylantiradigan" kompaniyalar xatoga yo'l qo'yib, nol kunlik hujumlarga olib borishini ko'rishimiz mumkin. Mobil qurilmalar etarli entropiya va shifrlashni yaratish uchun etarlicha kuchli bo'lishi mumkin bo'lsa-da, mobil veb-saytlarga odatda ikkinchi darajali e'tibor beriladi, shuning uchun ular foydalanuvchi umid qilganidek xavfsiz bo'lmasligi mumkin. SMS taqdim etishi mumkin bo'lganidan ko'ra ko'proq xavfsizlikni talab qiladigan har qanday narsaga hozircha mobil qurilma orqali kirish mumkin emas.

Kamdan kam hollarda, ikkinchi omilga ehtiyoj Wi -Fi tarmog'iga ulanmagan joyda bo'ladi, bu esa mobil ma'lumotlardan foydalanishni talab qiladi, shuning uchun bunday holatlarda mobil ma'lumotlarning ishlashini talab qilmaydigan ilova pro -si hal qilinadi. Bu shuni anglatadiki, bunday hollarda SIM -kartani almashtirish firibgarligi SMS -xabarlar kabi ilovalarni mag'lub qilishda ham bir xil darajada samarali bo'ladi.

Agar biz ikkinchi omil xabarchi sifatida SMS-dan voz kechishimiz kerak bo'lsa, unda har qanday kompaniya foydalanishi mumkin bo'lgan markazlashtirilgan dastur (OpenID-ning autentifikator versiyasi) bo'lishi kerak. Axir, o'rtacha odamda 7 ga yaqin muhim hisob bor. Etti alohida autentifikator dasturini o'rnatish va qo'llab-quvvatlash talabi meni bema'ni deb hisoblaydi. Barcha muhim hisoblar uchun barcha autentifikator dasturlari o'rnatilishidan bir muncha vaqt oldin o'rtacha foydalanuvchi yana bitta dasturni o'rnatish o'rniga bitta faktorli autentifikatsiyani tanlaydi va bu qaror xavfsizlik uchun mag'lub bo'ladi.

Siz Authenticator dasturlarini (kamida mahalliy darajada saqlanadigan urug'ni kun vaqti bilan birlashtiradigan) samolyot rejimida ishlatishingiz mumkin. Aslida, agar sizda urug 'bo'lsa, kerakli hisob -kitoblarni noutbukda qilishingiz mumkin.

"Etti alohida autentifikator dasturini o'rnatish va qo'llab-quvvatlash talabi meni bema'ni deb hisoblaydi."

Ha shunaqa. Ammo ko'pchilik 2FA saytlar uchun faqat bitta autentifikator ilovasi kerak. Men biladigan yagona istisno - bu Steam, ularning ilovasini talab qiladi.

Darhaqiqat, ikkalasi ham xavfli emas, umuman aqlli telefonlar kabi, faqat so'nggi bir necha yil ichida ushbu qurilmalarda xavfsizlik borasida jiddiy fikrlar berilgan. Buni aytib, men ikkalasini ham afzal ko'raman, men YubiKey g'oyasini yoqtiraman, bunga ikkalasiga alternativa sifatida nima deyish mumkin?

Men Yubikey yechimiga qo'shilaman, lekin u provayderlar orasida mashhur emas, chunki u aqlli telefonlarni kuzatib borish orqali reklama daromadlarini ishlab chiqarish imkoniyatiga ega emas. Menimcha, bu SMS -autentifikatsiyani rag'batlantiradigan haqiqiy motivatsiya. Siz meni ishontirmaysiz Yahoo mening mobil raqamim faqat menga qo'shimcha imtiyozlar berishini xohlaydi. Google Authenticator yig'ilgan ma'lumotlar bilan nima qiladi? Men Google bepul hech narsa qilmasligiga ishonmayman.

Autentifikator ilovalaridan katta xavotirim - telefonim yo'qolishi, o'g'irlanishi yoki o'chirilishi, men qulflanmaganligim. SMS orqali men yangi telefonga ega bo'laman va SMS -kodlarni qaytaraman.

Saytni autentifikator ilovasi bilan o'rnatganingizda, sayt sizga 10 tagacha "istalgan vaqtda, bir martalik" kodni beradi. Agar telefoningiz yo'qolgan yoki o'g'irlangan bo'lsa, siz bu hisoblarga kira olasiz. Siz ularni qanday qilib xavfsiz saqlashni tushunishingiz kerak.

Men autentifikator ilovasini afzal ko'rardim, chunki menda kod ishlab chiqaradigan va ishlamay qolsa, ishda qoladigan ikkita qurilmam bo'lishi mumkin. Agar telefon yo'qolsa, ishlamay qolsa yoki batareyasi tugagan bo'lsa, men uni tuzatguncha / zaryadlash / almashtirishga qadar yopiqman. Men buni ma'lumotlarni zaxiralashga o'xshash tushuncha deb bilaman. Ishdan bo'shatish - yaxshi narsa. Hamma bitta autentifikatorni (masalan, Google -dan) qo'llab -quvvatlay boshlasa, bu hamma hisoblar uchun emas, balki ba'zilar uchun jozibali variant bo'ladi. Men buni kodni kiritish noqulayligi bilan solishtirganda, kelishuv narxi nisbatan past bo'lgan hisoblar uchun ishlatmayman. Xavfsiz dasturdan kirishning ilova bilan bir xil kompyuterda avtomatik ravishda kiritilishi ko'proq turtki bo'ladi. Bu shuni anglatadiki, qurilmadagi asosiy parol menga kerak bo'lgan yagona narsa.

Ko'pgina 2FA tizimlari, SMS va dasturlarga asoslangan holda, xavfsiz saqlash uchun zaxira kodlarini chop etishga imkon berish kerak.

SMS-ga asoslangan avtoulovga qarshi juda katta muammo shundaki, SMS kodlarini yolg'onchi tayanch stantsiyasining hujumlari orqali ushlab qolish mumkin. SMS -lar kamdan -kam hollarda uyali aloqa operatori tomonidan shifrlangan, shuning uchun agar kimdir SDR va openBTS -ni ishga tushirsa, u sizning kodlaringizni ko'rishi mumkin.

Bu xavfli tarmoqlardan foydalanganda va hayotiy hisoblarga kirishda doimo VPN -dan foydalanishning yana bir sababidir. Shaxsiy VPN xizmatlari odatda smartfonlarda ishlaydigan ilovalarni taqdim etadi. Ba'zilarini smartfon yoqilganda avtomatik ravishda ishlaydigan qilib sozlash mumkin. Men har doim uy tarmog'imda VPN-dan foydalanaman.

Uy tarmog'ida ko'rib chiqishda VPN-dan foydalanish shunchaki trafikni yo'naltiradi, shuning uchun u sizning mahalliy ISP tarmog'ingiz o'rniga VPN-provayder tarmog'idan kelib chiqadi.

Buning uchun sizning onlayn xavfsizligingiz va xavfsizligingizni yaxshilash uchun siz mahalliy provayderingizdan ko'ra VPN provayderiga ko'proq ishonishingizga amin bo'lishingiz kerak; sizning huquqiy himoyangiz VPN provayderining serverlari joylashgan yurisdiksiyada kuchliroq ekanligi (bu turli mamlakatlar bo'lishi mumkin); VPN provayderining ilovasida xavfsizlik xatolari yo'qligi; va VPN provayderining tarmog'i hech bo'lmaganda sizning provayderingiz kabi xavfsiz ishlaydi.

Aslida, siz Internet-provayderingizga va o'z hukumatingizga bo'lgan ishonchsizlikni boshqa joylarga bo'lgan ishonchsizlik bilan savdo qilyapsiz. Ajablanarlisi shundaki, hatto Buyuk Britaniyaga o'xshash kuzatuvni yaxshi ko'radigan mamlakatda ham siz o'zingiz bilgan shaytonni yaxshiroq bilib oling ... degan asosda mahalliy xizmatdan yaxshiroq foydalanishingiz mumkin, bu erda sizning huquqlaringiz yoki ularning etishmasligi hech bo'lmaganda juda oson tushuniladi. .

Authenticator dasturi>SMS

Standart xavfsizlik muammolaridan tashqari: fishing, SIM -kartalarni almashtirish, MITM va SS7 zaifliklari ... SMS hech qachon OTP kodini 100% etkazib berish tezligini ta'minlamaydi. Ko'pgina xizmatlar aloqa operatorlariga to'g'ridan -to'g'ri ulanishni ishlatmaydigan va bir nechta tranzit yoki undan ham yomoni orqali trafikni jo'natmaydigan SMS -agregatorlarga tayanadi.

TOTP shuningdek, uyali telefon qamrovi va roumingga ishonmaydi. Agar siz chet elga sayohat qilsangiz, sizga SMS -xabar keladi. Hatto etkazib berish bilan bog'liq bir nechta muammolarga duch kelishingiz mumkin, bu erda bitta txtni 5-6 marta olasiz.

Urug'laringizni saqlash uchun yubikey yordamida TOTP (bu sizning urug'ingizga zarar bermasdan, bir nechta qurilmalarda autentifikator ilovasidan foydalanishning qo'shimcha bonusiga ega)

Android telefonlaridagi SMS mening elektron pochta qayd yozuvimda ham tugaydi. Agar sizda signal bo'lsa, SMSlarning barchasi juda yaxshi. Men 20 kun Pennine yo'li bo'ylab piyoda yurdim va 7 kun davomida uyali telefon signallari bo'lgan bir kecha bor edi. Bunday sharoitlarda autentifikator ilovasi yaxshiroqdir.

Hech qanday onlayn hisoblarga kirish uchun signal bo'lmasa, nima uchun Pennine yo'lida yurish paytida autentifikator ilovasi kerakligini bilmayman. Faqat kuzatuv.

Agar sizda umuman mobil signal bo'lmasa, men sizga 2 FA nima uchun kerak deb o'ylayman? Siz baribir yangi ma'lumotlarni olmaysiz. Misol keltiring pls.

Men SMS -ni afzal ko'raman, chunki ular hech qanday urug 'bilan bog'lanmagan, hatto hamma saytlarda Google -ga o'xshash 2FA bo'lsa, juda yaxshi bo'lardi - telefonni qulfdan chiqarganingizda, sizning identifikatoringizni tasdiqlashni so'ragan xabar paydo bo'ladi. tugmani bosing. Menimcha, bu kodlarning tasodifiy avlodiga bog'liq, faqat ular foydalanuvchi sezmagan holda ancha uzoqroq (shu bilan xavfsizroq) bo'lishi mumkin.

Ilovaga asoslangan autentifikatsiya sukut bo'yicha bo'lishi kerak deb o'ylayman. SMSga asoslangan autentifikatsiya server tomonida yaxshi bo'lishi mumkin, tasodifiy qiymatlarni yaratishi mumkin, ammo juda ko'p kamchiliklari bor. Ba'zida, bir necha yil oldin, Shri -Lankada men autentifikatsiya SMS -xabarini ertasi kuni qabul qilardim. Kirish uchun bir necha marta urinib ko'rganimda, ba'zida ishlagan. SMS har doim kechiktiriladi. Kimdir yuqorida aytib o'tganimizdek, agar SMS bir nechta server orqali uzatilsa yoki hatto uyali aloqa tarmog'i uni shifrlanmagan holda yuborsa, chunki SS7 eskirgan, bir nechta dizayn muammolari mavjud va rivojlanmagan bo'lsa, ilova yoki Yubikey-ga murojaat qilish vaqti kerak. asoslangan autentifikatsiya. Xuddi siz an'anaviy simli telefondan foydalanib, nima bo'lishidan qat'i nazar, biror narsani tasdiqlash uchun, yangi texnologiyalarning har bir yaxshi narsasiga e'tibor bermaysiz. Aytmoqchimanki, SMS kechikishi, ishonchsiz bo'lishi va rivojlanmagan texnologiyaga tayanishi mumkin.Agar bizga xavfsiz autentifikatsiyalar kerak bo'lsa, biz aniqroq autentifikatsiyalarga o'tish uchun harakat qilishimiz kerak.

SMS -kuzatuv/autentifikator ishlatilganligini tasdiqlovchi autentifikator ilovasi, foydalanish va xabarnomalarning yaxshi muvozanatini ta'minlaydi. Yoki, albatta, ikkalasini ham talab qiladi ...

Salom! Elektron pochtamni yozish uchun bu 2fadan ikkalasini ham ishlatsam bo'ladimi?, Agar telefonim signalini o'chirsa, GAuthenticator -ga o'tsam bo'ladimi? bu mumkinmi?

Faqat 30% jamoatchilik har qanday 2FA dan foydalanmoqda. SMS 2FA umuman yo'qdan yaxshiroq, shuning uchun u bir muncha vaqt saqlanib turishi kerak. Xavfsizroq variantlar foydalanuvchilar tomonidan ommaviy ravishda qabul qilinishi uchun vaqt kerak bo'ladi.

Tegishli savol, mening Bittrex hisobimda Google autentifikatori mavjud. Agar men uni binance hisobim uchun ishlatsam, bu mening telefonimdagi alohida raqam. ya'ni Google autentifikatoridagi ikkita hisobmi yoki bittami?

Authenticator-dagi har bir hisob boshqa raqamli ketma-ketlikni yaratishi kerak, chunki ularning har biri har xil "maxfiy urug '" dan boshlanishi kerak.

Ishda 2FA uchun MS Authenticator ishlatiladi. Men boradigan deyarli hamma joylar matn yoki telefon yoki hatto elektron pochtadan foydalanadi (yoki hech narsa yo'q). Asosan, sizda boshqa iloj yo'q: sayt foydalanmoqchi bo'lgan har qanday narsani ishlatishi va agar ular dasturda bo'lmasa, uni so'rib olishlari kerak. Va agar men yangi telefon olsam, yangi autentifikator ilovasi ishlamay qolishi, IT -qo'llab -quvvatlashi bilan aylanib yurishdan qo'rqaman.

Men noobman, shuning uchun savolim shu: kodni olish uchun telefonimda Authy-dan foydalanib, keyin Amazon yoki Facebook-ga kirish uchun noutbukga kiritsam bo'ladimi? 2 xil qurilmadan foydalanish xakerlarning uni buzishini qiyinlashtiradimi?

Agar firibgarlar sizni tranzaktsiyaning o'rtasidaman deb aldashlari mumkin bo'lsa, unda ular nazariy jihatdan ikkala parolingizni (uni kiritayotganda o'g'irlangan) va 2FA kodini (uni kiritishda o'g'irlangan) topshirishingiz mumkin. Shunday qilib, tizim mukammal emas - lekin faqat paroldan ko'ra xavfsizroq, chunki 2FA kodi * har safar har xil bo'ladi *. Bugun ular sizning parolingizni ushlab qolishmaydi, so'ngra bo'sh vaqtlarida uni qayta-qayta ishlatishadi.