Винаги съм се отнасял към двуфакторната автентикация (2FA) като към

Винаги съм се отнасял към двуфакторната автентикация (2FA) като към досадно нещо: обвързване, което би трябвало да извършвам при всяко влизане. Използвах SMS кодове и приложения за засвидетелствуване. Смятах, че това са сигурни разновидности, до момента в който не разбрах, че 2FA не е толкоз сигурна, колкото си мислех – една хитра фишинг офанзива, замяна на SIM карта или човек по средата може да открадне тези кодове за броени секунди. Това ме накара да тествам хардуерно 2FA и доста скърбя, че не го направих по-рано.

Настройката не беше толкоз комплицирана, колкото си мислех. Беше единствено един дребен стик, няколко кликвания и внезапно тотално опазих сметките си от офанзиви, за които не знаех, че са вероятни. Не се изискваше прекопирване на бързо изменящи се кодове или SMS-и, а в действителност безпроблемна и незабавна инспекция.

Какво в действителност съставлява хардуерното 2FA

Нека да се спрем по-подробно на това по какъв начин ключовете за сигурност трансферират удостоверяването на физическо равнище.

Винаги съм считал, че хардуерният ключ за сигурност е комплицирано решение за обезпечаване на цифровата сигурност – нещо, от което се нуждаят единствено систематичните админи. Но в реалност това е простичко решение за сигурност, което прибавя физически детайл – хардуерен ключ – към вашите пароли, преди да бъде доказана достоверността.

Хардуерното 2FA генерира неповторима двойка публичен/частен ключ за всеки уеб уебсайт, в който сте го задействали. Хардуерният ключ съхранява и пази частния ключ, до момента в който общественият ключ се изпраща на уеб страницата. Всеки път, когато се опитате да влезете в този уеб уебсайт, той дава отговор със специфична поръчка, че вашият предпазен ключ се подписва със съответния частен ключ. След това уеб уеб сайтът употребява обществения ключ, съхраняван за вашия акаунт, с цел да ревизира подписа.

Това е извънредно сигурна инспекция, защото процесът на инспекция е обвързван с домейна, което прави невероятно подправен или фишинг уебсайт да измами вашия хардуерен ключ да подпише поръчката или да даде годен автограф.

Докато SMS кодовете могат да бъдат прихванати посредством замяна на SIM картите, а кодовете на приложенията могат да бъдат подправени, хардуерните ключове са на практика неподатливи на отдалечено компрометиране. Те последователно се трансфораха в една от най-силните и необятно признати варианти за обезпечаване на втори фактор.

Настройване на моя първи ключ за сигурност

Процесът от няколко стъпки се оказа по-прост от предстоящото.

Процесът на настройване е елементарен. Настроих ключа за сигурност (USB-C + NFC) първо в моя акаунт в Microsoft, само че макар че точните стъпки ще бъдат малко по-различни в другите услуги, ще има сходства:

Влезте в профила си в Microsoft.

Кликнете върху менюто Security (Сигурност), след което щракнете върху бутона за Manage how I sign in (Управление на метода на влизане). Изберете опцията Add a new way to sign in or verify (Добавяне на нов метод за влизане или проверка) и изберете някоя алтернатива, която включва Security Key (Ключ за сигурност). В Microsoft това е опцията Face (Лице), fingerprint (Пръстов отпечатък), PIN (ПИН), security key (Ключ за сигурност). Поставете ключа, когато бъдете подканени, след което създайте и потвърдете ПИН кода на ключа за сигурност. В този миг ще бъдете подканени да докоснете ключа, с цел да завършите регистрацията, след което следвайте идващия подкана и дайте име на ключа си.

Тази конфигурация лиши по-малко от три минути, а по-късно влизането в системата е елементарно: въвеждате паролата си, докосвате ключа и сте подготвени. Можете също по този начин да зададете ПИН код за вашия ключ за сигурност, с цел да предотвратите достъпа до него, в случай че бъде загубен или откраднат. Въпреки че устройствата YubiKey постоянно работят най-безпроблемно и оферират мощна отбрана от фишинг, те са на по-висока цена. Можете също по този начин да превърнете един общоприет USB стик в ключ за сигурност, като употребявате специфичен програмен продукт. Това обаче е безвъзмезден метод от вида „ направи си самичък “, който заключва единствено локалния ви компютър и не включва предпазен детайл, нито поддържа протоколите FIDO/WebAuthn, нужни за онлайн влизане в акаунт.

Защо ключът за сигурност е по-добър от 2FA, основан на приложения

По-малко благоприятни условия за офанзиви, нула кодове за прекопирване и успокоение, което се усилва.

Гугъл Authenticator, Authy и други приложения за засвидетелствуване на достоверността оферират много положително равнище на сигурност, само че хардуерните ключове за сигурност обезпечават по-добра отбрана. Приложенията генерират кодове въз основа на споделена загадка и в случай че тази загадка изтече или бъде излъгана, нападателят може да генерира годни кодове.

Тъй като обаче хардуерните ключове за сигурност употребяват криптография, обвързана с произхода, домейнът на уеб страницата се трансформира в страна, участваща в опита за влизане в системата, което разрешава единствено същинският уебсайт да бъде вярно подписан с ключа. Перфектните клонинги на домейна ще се провалят, защото няма да подхождат на съхранения обществен ключ на домейна.

Процесът на потребление на приложение за засвидетелствуване на достоверност включва достъп до телефона, намиране на изменящия се код на телефона и въвеждането му преди приключването на неговия период. Хардуерният ключ понижава стъпките, нужни за засвидетелствуване – просто го включете и докоснете. Ключът е повсеместен за всички услуги, които поддържат FIDO2/U2F (съвременните стандарти за защитни ключове, устойчиви на фишинг), тъй че вместо няколко приложения за автентикатор, на всички места употребявате еднакъв фактор – „ владеене “.

Избор на верния вид ключ за сигурност

Съобразете ключа с устройствата си за най-хубаво потребление.

Съществуват няколко формата за връзка, свързани с хардуерните ключове за сигурност, и би трябвало да изберете устройство въз основа на формата за връзка, който употребявате най-често. USB-C би трябвало да е най-подходящ за Android телефоните, таблетите и модерните преносими компютри, до момента в който USB-A е по-добър за обичайните лични компютри. По-новите хардуерни ключове обаче могат да разполагат и с двата конектора.

NFC ключовете са чудесни за мобилното улеснение, защото можете просто да докоснете телефона си, с цел да удостоверите достоверността си. За iPhone и iPad, Lightning, USB-C (с адаптер) или NFC вариантите ще са съвършени. Само ключовете Bluetooth Low Energy (BLE) може да костват повече и да се нуждаят от зареждане, защото множеството общоприети ключове за сигурност са пасивни и черпят сила от устройството.

Въпреки това би трябвало да се уверите, че без значение от това кой хардуерен ключ ще изберете, той поддържа стандартите FIDO2 и U2F, защото това подсигурява по-широка междуплатформена съгласуемост. Дори когато сменяте устройствата или екосистемите, вашият ключ остава настоящ.

Един дребен ключ – голяма смяна в сигурността

Използването на хардуерен ключ за сигурност трансформира метода, по който мисля за онлайн отбраната. Той попада в постната категория на инструментите, които покачват сигурността без в допълнение обременяване. Вече не върша непрекъснати инспекции на кода и не очаквам SMS-и. С едно допиране удостоверявам самоличността си, като в това време съм резистентен против фишинг, кражба на идентификационни данни и отдалечено навлизане.

Физическата, криптографска инспекция е бъдещето на сигурността на сметките, а ключовете за достъп и хардуерните ключове са водещи в тази смяна. Хардуерните ключове се усещат не толкоз като спомагателна стъпка, колкото като основна последна стъпка.