Dlaczego musisz od razu przestać używać Google Authenticator

Wielu z nas przekonało się na własnej skórze, że posiadanie jednego hasła chroniącego nasze konta internetowe nie wystarczy. Używamy teraz takiej czy innej formy uwierzytelniania dwuskładnikowego. Być może nawet zdecydowałeś się użyć Google Authenticator, aby zapewnić tę drugą warstwę ochrony. Jeśli tak, musisz wiedzieć, jakie ryzyko podejmujesz w ten sposób. Na szczęście istnieją lepsze metody, które są zarówno bezpieczniejsze, jak i łatwiejsze w użyciu.

Podstawowe warstwy bezpieczeństwa online

Cyberprzestępcy stają się coraz bardziej wyrafinowani i wszyscy musimy poważnie traktować nasze bezpieczeństwo online, aby chronić naszą stale rozwijającą się tożsamość online. Zanim omówimy uwierzytelnianie dwuskładnikowe i dlaczego należy unikać korzystania z Google Authenticator, zajmijmy się kilkoma innymi elementami, które powinniśmy mieć w celu ochrony na mniejszym poziomie.

Haker pracujący przy użyciu komputera z kodami

Silne hasła

Na szczęście Generator haseł LastPass upraszcza tworzenie i obsługę plików silne hasła. To narzędzie do generowania haseł tworzy złożone, prawie niemożliwe do złamania hasła, składające się z wielu cyfr, liter i symboli. LastPass generuje różne hasła dla każdej aplikacji lub witryny i działa lokalnie na komputerze z systemem Windows, Mac lub Linus lub urządzeniu z systemem iOS lub Android. Hasła utworzone przez narzędzie nie są przesyłane przez Internet.

Zrzut ekranu sekcji strony lastpass.com LastPass.com – Jak to działa

Oprogramowanie do ochrony przed wirusami i złośliwym oprogramowaniem

Dostępnych jest kilka powszechnie uznanych rozwiązań z zakresu cyberbezpieczeństwa, w tym Malwarebytes i Bitdefender. Te programy mają darmowe wersje, ale zwiększają Twoje bezpieczeństwo, dokonując niewielkiej inwestycji w płatne wersje.

Zrzut ekranu bitdefender.com Bitdefender.com – Strona główna

Wróćmy teraz do Google Authenticator i uwierzytelniania dwuskładnikowego.

Uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe – znane również jako 2FA – jest jak drugie hasło do kont online.

Bez 2FA wystarczy wpisać swoją nazwę użytkownika i hasło, a strona internetowa lub aplikacja zezwoli na wejście. Hasło jest Twoim pojedynczym czynnikiem uwierzytelniającym.

Naciśnij przycisk Enter na komputerze


2FA dodaje dodatkowy krok do procesu logowania. Wymaga to posiadania dwóch z trzech typów poświadczeń przed wpuszczeniem Cię na konto. Te typy poświadczeń to:

  • coś, co masz, na przykład kartę bankomatową, telefon lub brelok
  • coś, co znasz, na przykład wzór lub osobisty numer identyfikacyjny (PIN)
  • czymś, czym jesteś, na przykład danymi biometrycznymi, takimi jak odcisk palca

Skład izometryczny metod uwierzytelniania biometrycznego

Istnieją dwa główne typy 2FA. Najpopularniejszy typ, jednorazowe hasło oparte na czasie (TOTP), jest uosobieniem Google Authenticator, dziadka wszystkich aplikacji 2FA. Drugi typ, który zostanie omówiony w dalszej części artykułu, to Universal Second Factor (U2F).

I… są dwa rodzaje haseł jednorazowych:

  1. Hasła jednorazowe SMS
  2. Aplikacja wygenerowała hasła jednorazowe

Z pewnością aplikacje oparte na jednorazowych hasłach, takie jak Google Authenticator, są znacznie bezpieczniejsze. W przypadku takich aplikacji aplikacja na telefonie wygeneruje jednorazowy kod. Następnie użyjesz tego kodu, aby dokończyć logowanie.

Google Authenticator weryfikuje, czy jesteś tym, za kogo się podajesz, na podstawie sekretu udostępnianego przez Ciebie i dostawcę online. Kiedy logujesz się na stronie internetowej, Twoje urządzenie generuje kod w oparciu o aktualny czas i wspólny sekret. Aby dokończyć logowanie w witrynie, musisz ręcznie wprowadzić ten kod w witrynie, zanim wygaśnie..

Zrzut ekranu play.google.com Play.Google.com – – Sklep z aplikacjami

Skąd więc serwer wie, jak Cię wpuścić? Generuje ten sam kod, który masz, dzięki czemu może sprawdzić Twój kod. Ponieważ zarówno Ty, jak i witryna, z której próbujesz się zalogować, aby posiadać sekret i jednocześnie wysyłać żądanie (czyli używać tych samych czynników wejściowych), oboje wygenerujecie ten sam skrót.

Problemy z Google Authenticator

Najpierw musisz ręcznie wprowadzić kod podczas logowania, dodając kolejny krok do procesu logowania. Musisz też podjąć dodatkowe kroki, aby utworzyć kopię zapasową tajemnica. Jednak usługi często oferują kody rezerwowe, zamiast wymagać zachowania tajemnicy. Jeśli zalogujesz się za pomocą jednego z tych kodów, będziesz musiał przejść cały proces rejestracji od nowa.

Te kody zapasowe są wysyłane online, co jest jedną z podstawowych słabości zabezpieczeń. Jeśli hakerzy uzyskają dostęp do haseł firmy i bazy danych sekretów, mogą uzyskać dostęp do każdego konta. Niestety nie brakuje historii o witrynach internetowych, a nawet renomowanych giełdach kryptowalut, które zostały zhakowane.

Haker trzymający ekrany interfejsu użytkownika z ikoną, statystykami i danymi

Innym niezabezpieczonym obszarem jest sam sekret, który pojawia się jako zwykły tekst lub kod QR, a nie jako skrót lub sól kryptograficzna. Dlatego serwery firmy prawdopodobnie przechowują sekret w postaci zwykłego tekstu. Ponieważ dostawca musi podać wygenerowany sekret podczas rejestracji, może on zostać ujawniony w tym czasie.

Alternatywy Google Authenticator: Yubikey i Trezor Model T

Drugi typ uwierzytelniania dwuskładnikowego: uniwersalny drugi czynnik (U2F)

Universal Second Factor to uniwersalny standard tworzenia tokenów uwierzytelniania fizycznego, które mogą współpracować z dowolną usługą. U2F został stworzony przez gigantów technologicznych, w tym Google i Microsoft, w celu usunięcia luk w zabezpieczeniach TOPT. To trochę ironiczne, że Google nie wycofało swojej starej aplikacji, Google Authenticator, po tym, jak pomogło stworzyć U2F.

Zrzut ekranu z yubico.com Yubico.com – Strona główna

Jeśli słyszałeś o Yubikey—Fizyczny klucz USB, na którym można się zalogować LastPass, narzędzie do generowania haseł omówione na początku artykułu, a także kilka innych usług – zrozumiesz koncepcję U2F. Jednak w przeciwieństwie do standardu Yubikey urządzeń, U2F to uniwersalny standard.

W przypadku U2F serwer wysyła wyzwanie, a Twój klucz prywatny (sekret) je podpisuje. Serwer może zweryfikować wiadomość, używając klucza publicznego w swojej bazie danych.

Porównanie wszystkich Yubikeys

YubiKey 5ci

YubiKey 5Ci

  • Najlepsze dla użytkowników komputerów Mac
  • Złącze USB-C i Lightning
  • Wodoodporny i odporny na zgniatanie

KUP TERAZ YubiKey 5c

YubiKey 5C

  • Najlepsze dla użytkowników komputerów Mac
  • Złącze USB-C
  • Możesz zaoszczędzić 20 USD, jeśli nie potrzebujesz złącza błyskawicy

KUP TERAZ Klucz bezpieczeństwa NFC

Klucz bezpieczeństwa NFC

  • Najlepsze dla użytkowników innych niż LastPass
  • Budżetowa wersja 5 NFC
  • Najlepsze dla użytkowników, którzy nie mogą dużo wydać

KUP TERAZ seria yubikey fips

Seria YubiKey FIPS

  • Najlepsze dla pracowników federalnych i wykonawców
  • Spełnij najwyższy poziom pewności uwierzytelnienia dzięki najnowszym wskazówkom FIPS
  • Jest dostępny we wszystkich wersjach, którymi jest YubiKey

KUP TERAZ PRZECZYTAJ OPINIĘ

Korzyści z U2F

Korzystanie z U2F ma wiele zalet. Tu jest kilka:

  • Prywatność: Dzięki U2F Twój klucz prywatny nigdy nie zostanie wysłany do cyberprzestrzeni, dzięki czemu możesz cieszyć się jednym z najbardziej pożądanych statusów w sieci: rzeczywistą prywatnością. Dzięki kryptografii z kluczem publicznym nie musisz się martwić o udostępnianie żadnych poufnych informacji.

Koncepcja bezpieczeństwa z ikonami na drewnianych klockach na turkusowym stole leżał płasko

  • Żelazne zabezpieczenia: 2FA wykorzystujące kryptografię klucza publicznego chroni przed przejmowaniem sesji, wyłudzanie informacji, oraz różne rodzaje złośliwego oprogramowania. Ponieważ U2F nie opiera się na wspólnym kluczu przechowywanym w bazie danych dostawcy, osoba atakująca nie może ukraść całej bazy danych, aby uzyskać dostęp do konta użytkownika. Zamiast tego będzie musiał przejść przez czasochłonną i kosztowną drogę polegającą na namierzaniu indywidualnego użytkownika i kradzieży jego sprzętu osobiście.

Technik naprawiający komputer

  • Łatwy w użyciu: Urządzenia U2F działają od razu po wyjęciu z pudełka dzięki wsparciu przez powszechnie dostępne przeglądarki i platformy; nie ma kodów do wpisania ani sterowników do zainstalowania.

Zarys dłoni z trzaskającym gestem palca

  • Ekonomiczne: Klienci mogą wybierać spośród wielu urządzeń w różnych przedziałach cenowych, z których wszystkie są zaskakująco przystępne cenowo, biorąc pod uwagę ich najnowocześniejszą technologię.

Drewniane klocki ze słowem ceny i żółtą strzałką w dół

Wady U2F

Główną zaletą U2F jest również jego poważna wada. Dzięki U2F często możesz wykonać kopię zapasową swojego tajnego klucza, znanego również jako klucz prywatny. Oznacza to, że jesteś odpowiedzialny za własne bezpieczeństwo. Jeśli zgubisz klucz prywatny, nikt nie może go za Ciebie odzyskać. Jednak nie musisz też ufać żadnej firmie, aby chronić swój klucz prywatny.

Trezor i Yubikey – U2F zrobione dobrze

Na szczęście istnieje sposób, aby cieszyć się zyskiem U2F bez bólu, używając Trezor. Trezor został początkowo stworzony do przechowywania kluczy prywatnych i służył jako izolowane środowisko komputerowe. Chociaż nadal doskonale spełnia swoją pierwotną rolę jako bezpieczny sprzęt Bitcoin portfel, Trezor może być teraz używany na więcej sposobów dzięki szeroko stosowanej kryptografii klucza prywatnego / publicznego (asymetrycznej).

Zrzut ekranu trezor.io Trezor.io – Bezpieczne uwierzytelnianie dwuskładnikowe dzięki Trezor

Głównym z tych rozszerzonych zastosowań jest funkcja Trezora jako sprzętowego tokena zabezpieczającego dla U2F. Jednak w przeciwieństwie do innych produktów U2F Trezor oferuje funkcje tworzenia kopii zapasowych i odzyskiwania, a także wygodę.

Jak działa U2F z Trezorem

Kiedy logujesz się do witryny internetowej, zwykle inicjujesz proces uwierzytelniania za pomocą swojej nazwy użytkownika i hasła. Będziesz postępować zgodnie z tą procedurą w przypadku Trezora i U2F, ale potem zrobisz kolejny łatwy i bezbolesny krok: potwierdzisz swój login, klikając urządzenie Trezor.

Podczas początkowej konfiguracji urządzenia Trezor utworzysz kopię zapasową materiału siewnego odzyskiwania. To ziarno reprezentuje wszystkie sekrety / klucze prywatne generowane przez Trezor i można go użyć do przywrócenia portfela sprzętowego w dowolnym momencie. Tworzenie kopii zapasowej materiału siewnego odzyskiwania jest procesem jednorazowym i pozwala na zapisanie nieograniczonej liczby tożsamości U2F.

Zrzut ekranu trezor.io Trezor.io – funkcje

Twoje nasiona są bezpiecznie przechowywane w Trezorze. Ponieważ nigdy nie opuszcza urządzenia, Twój klucz prywatny jest odporny na wirusy i hakerów.

Trezor oferuje również ochronę przed phishingiem z weryfikacją na ekranie. Ponieważ cyberprzestępcy stają się coraz bardziej wyrafinowani, tworzone przez nich strony phishingowe bardzo przypominają oryginalne. Trezor, zawsze wyświetlając adres URL witryny, na którą się logujesz, i informując Cię dokładnie, co zamierzasz autoryzować, chroni Cię przed próbami phishingu. Możesz sprawdzić, czy to, co zostało wysłane do urządzenia, jest zgodne z oczekiwaniami.

Zrzut ekranu trezor.io Trezor Model T – Specyfikacje techniczne

Możesz zamówić swój Trezor One tutaj lub Trezor Model T tutaj.

O firmie Trezor

Stworzony przez SatoshiLabs w 2014 roku, przyjazny dla początkujących Trezor One to złoty standard portfeli sprzętowych. Oferuje niezrównane bezpieczeństwo kryptowalut i zarządzania hasłami i służy jako drugi czynnik w uwierzytelnianiu dwuskładnikowym. Funkcje te łączą się z przyjaznym dla użytkownika interfejsem, po którym nawet nowicjusze mogą z łatwością obsługiwać. Wprowadzanie hasła i odzyskiwanie urządzenia są bezpiecznie dostępne za pośrednictwem komputera lub modemu.

Zrzut ekranu trezor.io Trezor.io – Strona główna>

Cos lepszego od podstawowej wersji Trezor Model T to portfel sprzętowy nowej generacji. Podobnie jak Trezor One, Model T jest odpowiedni zarówno dla nowicjuszy, jak i wyrafinowanych inwestorów. Zachowuje zalety Trezora One, ale oferuje elegancki, bardziej intuicyjny interfejs zapewniający lepsze wrażenia użytkownika i bezpieczeństwo. Posiada ekran dotykowy, szybszy procesor i zaawansowaną obsługę monet. Wprowadzenie hasła i odzyskiwanie urządzenia są dostępne bezpośrednio w Trezorze Model T..

PORÓWNANIE

Blockstream Jade

Blockstream Jade

  • EKRAN:
  • WYDANY: 2021
  • CENA £: 40 $

KUP TERAZ PRZECZYTAJ OPINIĘ Trezor Model T

Trezor Model T

  • EKRAN:
  • WYDANY: 2018
  • CENA £: 159 $
  • EKRAN DOTYKOWY:

KUP TERAZ PRZECZYTAJ OPINIĘ Trezor One

Trezor One

  • EKRAN:
  • WYDANY: 2013
  • CENA £: 59 $

KUP TERAZ PRZECZYTAJ OPINIĘ

Wniosek

Dla inwestorów kryptowalut bezpieczeństwo jest sprawą nadrzędną. Nie ma sensu inwestować czasu i pieniędzy w naukę o kryptowalutach i powiększanie swojego portfela kryptowalut, chyba że zabezpieczysz te aktywa. Korzyści z kryptowaluty są świetne, ale także ryzyko.

Jeśli jeszcze tego nie zrobiłeś, zlikwiduj wycieki zabezpieczeń, takie jak słabe hasła i niezabezpieczone komputery i telefony komórkowe. Po rozwiązaniu tych problemów możesz rozważyć użycie uwierzytelniania dwuskładnikowego (2FA). Chociaż kuszące jest korzystanie z bezpłatnych, powszechnie dostępnych metod, takich jak Google Authenticator, do zabezpieczania zasobów kryptowaluty, Authenticator ma swoje luki i niedogodności.

Drugi typ 2FA, Universal Second Factor (U2F), jest bezpieczniejszy niż Google Authenticator. Bezpieczny sprzętowy token bezpieczeństwa dla Universal Second Factor, Trezor, oferuje znacznie więcej funkcji i zabezpieczeń niż Authenticator. W świecie kryptowalut chodzi o bezpieczeństwo. Pamiętaj: jesteś swoim własnym bankiem!

Ponieważ Ty, jako inwestor kryptowalutowy, ponosisz większą odpowiedzialność za bezpieczeństwo niż inwestor tradycyjny, zainwestuj w najlepsze rozwiązanie zabezpieczające. Już dziś zabezpiecz dla siebie Trezor One lub Trezor Model T..

FAQ

Jaki jest pożytek z YubiKey?

Yubikey służy do uwierzytelniania logowania do sieci. Można go podłączyć do komputera lub telefonu.

Do czego służy LastPass?

LastPass to menedżer haseł, który przechowuje wszystkie hasła w jednym miejscu. Nazywa się to Skarbcem, przez który LastPass zapamiętuje twoje hasło.

Dlaczego SMS jest dwuskładnikowy niebezpieczny?

Dwuskładnikowe SMS-y są niebezpieczne, ponieważ hakerzy mogą łatwo przechwycić Twoje wiadomości tekstowe poprzez „wymianę karty SIM”.

Co się stanie, jeśli mój menedżer haseł zostanie zhakowany??

Jeśli hakerzy zdobędą wszystkie dane menedżera haseł, nadal będą musieli wypróbować każde możliwe hasło, aby sprawdzić, czy działa, ponieważ hakerzy widzą tylko kilka zaszyfrowanych haseł.

Czy Trezor Model T jest bezpieczny?

Jeśli bardzo zmotywowany i wysoko wykwalifikowany napastnik miałby fizycznie zdobyć Twój Trezor Model T, Twoje monety mogą nie być bezpieczne. Jednak ten atak nigdy nie został przeprowadzony poza laboratorium, więc zagrożenie jest niewielkie. Prawie we wszystkich przypadkach Trezor Model T zapewni bezpieczeństwo Twoim monetom.

Co jest lepsze – Trezor lub Ledger?

Księga główna jest bezpieczniejszy, jeśli Twój portfel zostanie znaleziony, jednak Trezor nie jest wyposażony w Bluetooth, co zmniejsza ryzyko zdalnego ataku na Twoje urządzenie. Trezor ma również więcej funkcji i lepszy ekran, jeśli zrobisz to z modelem T..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Adblock
detector