Ето защо използвам ключ за сигурност: за да защитя най-важните си акаунти
Оригиналът е на Digvijay Kumar
Само една сполучлива хакерска офанзива може да докара до загуба на всичко – на данните, акаунта и спокойствието ви. Ето за какво се отхвърлих от текстовите SMS-и и удостоверителните кодове и прекосих към по-безопасна опция.
Бързи и лесни логвания
Преминаването към ключ за сигурност изцяло промени метода, по който влизам в системата – това е доста по-бързо и елементарно. Двуфакторното засвидетелствуване на достоверността (2FA) беше толкоз досадно. Трябваше да взема телефона си, да намеря текстовия код (или да отворя някое приложение за удостоверяване) и да въведа шестцифрения код, преди той да изтече. Но в този момент, благодарение на ключа за сигурност, всичко това към този момент е в предишното.
Сега просто се свързвам с компютъра си или се свързвам безжично посредством NFC (Near Field Communication), с цел да удостоверя влизането си. Това е извънредно несъмнено и стремително, тъй че към този момент не очаквам закъснели SMS-и и не се тормозя, че ще въведа неверен код. Само едно бързо допиране или кликване и съм вътре. Дори съм го настроил за голям брой сметки: имейл, Instagram, X и други. Това е като да имаш един ключ, който отключва всичките ми цифрови порти.
Най-сигурният способ за 2FA
Двуфакторното засвидетелствуване (2FA) прибавя в допълнение равнище на сигурност към профила ви, макар че не всички 2FA варианти са идентични. SMS кодовете могат да бъдат прихванати, а удостоверяващите устройства с приложения (макар и по-сигурни) към момента разчитат на програмен продукт, който може да бъде злепоставен, в случай че телефонът ви бъде загубен, откраднат или хакнат.
Ключовете за сигурност обаче употребяват съществено криптиране и споделят единствено с законни уеб уеб сайтове. Създадени въз основата на стандартите FIDO U2F и FIDO2, те употребяват криптография, с цел да подсигуряват, че влизате в същински уебсайт, а не във подправен, предопределен да открадне информацията ви. Ако хакер ви измами с подправена фишинг страница за логване, вашият ключ няма да реагира. Това равнище на отбрана от фишинг е нещо, което не може да се съпостави с никой различен 2FA способ.
Големи имена като Фейсбук, X и Microsoft всеобщо употребяват ключове за сигурност. Apple към този момент ги поддържа за Apple ID и двуфакторното засвидетелствуване, а Гугъл ги употребява за вътрешна отбрана на сметките на чиновниците. Експертите по киберсигурност и организации като NIST и ENISA назовават физическите ключове за сигурност златния стандарт за отбрана на сметките.
Може и да не съм огромна цел, само че знанието, че употребявам същата отбрана, на която се доверяват експертите в региона на киберсигурността, ми дава същинско успокоение.
Работи офлайн – не е нужен телефон
Другото нещо, което ми харесва в ключа за сигурност, е, че работи напълно офлайн – не е нужен телефон. Дори в случай че телефонът ми бъде загубен или откраднат, аз не преставам да имам достъп до всичко, тъй като ключът не е обвързван с него. Спомням си по какъв начин един път, когато пътувах, батерията на телефона ми се изтощи. С елементарното 2FA щях да бъда блокиран, само че с ключа за отбрана това към този момент не е проблем. Той не се нуждае от сигнал или интернет, с цел да си свърши работата.
Стига да имам ключа, мога да вляза в системата от всяко устройство, без значение дали съм на доста километри над земята и употребявам самолетен Wi-Fi, или се разхождам в средата на нищото без обсег. Това е най-хубавото аварийно средство за обезпечаване на сигурността на всички места и когато и да е. Няма приложения, които да инсталирате, няма кодове, с които да боравите, и няма акумулатори, за които да се притеснявате. Ключът за сигурност самичък се грижи за всичко.
Защитава от фишинг измамите
Фишинг имейлите и подправените страници за логване са на всички места и даже интелигентните консуматори от време на време се подвеждат. При елементарното двуфакторно засвидетелствуване, в случай че въведете кода си във подправен уебсайт, нападателят може незабавно да го употребява. Ключовете за сигурност обаче са основани, с цел да предотвратят този призрачен сюжет. Те употребяват функционалност, наречена обвързване на произхода, което значи, че работят единствено с законни уеб уеб сайтове. Така че, в случай че свържа ключа си с подправен уебсайт, представящ се за моята банка, той няма да проработи, защото ключът знае, че нещо не е наред, и отхвърля да влезе в този уебсайт.
Големите компании са приели защитните ключове, с цел да спрат фишинга, освен това с огромен триумф. Така да вземем за пример, съгласно Кребс on Security, компанията Гугъл е предиздвикала всички чиновници да ги употребяват и от този момент не е имало нито един фишинг случай в служебните сметки. Cloudflare, друга огромна софтуерна компания, се е сблъскала с усъвършенствана фишинг офанзива, която е подмамила някои чиновници, само че нападателите не са могли да получат достъп до сметките, тъй като ключовете за сигурност са ги блокирали.
Тези образци от действителния живот покачват увереността ми. Ако един елементарен ключ за $25 като USB-C Yubikey може да блокира фишинг офанзивите, от които се тормозят даже огромните софтуерни компании, това е задоволително, с цел да ме защищити от ежедневните измами. Използването на ключа е като да имаш фишинг щит, който е постоянно включен. Чувствам се доста по-сигурен, когато влизам в чувствителни сметки като имейл или онлайн банкиране, където една фишинг неточност може да се окаже величествен проблем.
Имунитет против заканите от замяна на SIM картите
Освен от фишинг, ключовете за сигурност ме защищават и от офанзивите за промяна на SIM картите. В общи линии подмяната на SIM картите се прави, когато лъжец подлъже мобилния ви оператор да трансферира вашия номер на неговата SIM карта. След като получат номера ви, те могат да прихванат вашите SMS кодове и позвънявания, което им дава достъп до сметките, които употребяват 2FA посредством SMS известия.
Има известни случаи, като този, при който акаунтът на основния изпълнителен шеф на Twitter Джак Дорси беше хакнат посредством замяна на SIM картата. Някои вложители в криптовалути също са изгубили огромни суми, откакто телефонните им номера са били откраднати. Като чух тези истории, ме побиха тръпки – стана ясно, че сигурността, основана на SMS, не е толкоз сигурна, колкото си мислех преди време.
Ключовете за сигурност обаче са изцяло ваксинирани против замяна на SIM картите. Тъй като моят ключ не е обвързван с телефонния ми номер и мобилния оператор, хакерът няма какво да пренасочи. Измамникът не може да се обади на моя снабдител и да трансферира моя ключ, както може да го направи със SIM картата. Те би трябвало безусловно да откраднат устройството, а даже и тогава ще им е нужна моята ключова дума или ПИН кода на ключа.
Ето за какво специалистите по киберсигурност споделят, че най-хубавият метод да се преборите с телефонните офанзиви е да не разчитате на телефона си. А ключът за сигурност прави тъкмо това.
Гугъл непосредствено споделя в своя уебсайт, че ключовете за сигурност могат да се употребяват за потвърждаването в две стъпки, с цел да ви оказват помощ да не допускате хакери до профила си в Гугъл. И още:
„ Можете да управлявате ключовете си за сигурност от настройките за потвърждаването в две стъпки. Там ще намерите лист с добавените от вас ключове, изброени от най-новите към най-старите. Ще намерите и още информация, като да вземем за пример името на ключа, датата на прибавянето му и датата на последното потребление. По подразбиране името на ключа е „ Ключ за сигурност “, в случай че не го персонализирате “.
За разлика от паролите ключовете за достъп могат да съществуват единствено на устройствата ви. Те не могат да бъдат записани, нито инцидентно да бъдат предоставени на злонамерено лице.
Apple от своя страна споделя по този мотив, че ключовете за сигурност за вашата Apple регистрация е спомагателна функционалност за сигурността, основана за хора (като звезди, публицисти и членове на правителства), които желаят спомагателна отбрана от целенасочени офанзиви върху регистрацията си, в това число фишинг и измами в обществените мрежи.
