Xác thực hai yếu tố chính xác là gì?
Làm thế nào để Geek đọc Jordan viết với một câu hỏi thẳng về phía trước:
I’m hearing more and more about two-factor authentication. I vaguely remember Google making a big deal about it last year, my bank recently offered a free key-ring thing for valued customers, and my roommate even has some sort of app on his phone to keep his Diablo III account from getting hacked. I get that it’s some sort of security tool but what exactly is it and should I be using it?
Để hiểu xác thực hai yếu tố là gì, trước tiên, hãy xem xét xác thực một yếu tố là gì và so sánh nó với cả mô hình bảo mật thực và ảo.
Khi bạn đi làm về, rút chìa khóa và mở khóa cửa sau, bạn đang tham gia vào xác thực một yếu tố đơn giản. Cánh cửa và tổ hợp khóa không quan tâm nếu người giữ chìa khóa là bạn, hàng xóm của bạn, hoặc một tên tội phạm đã nhấc chìa khóa của bạn lên. Điều duy nhất mà khóa quan tâm là chìa khóa phù hợp (bạn không cần hai khóa, chìa khóa và vân tay, hoặc bất kỳ sự kết hợp kiểm tra nào khác). Chìa khóa vật lý là xác nhận duy nhất mà người cầm nó được phép mở cửa.
Cùng một mức độ xác thực một yếu tố xảy ra khi bạn đăng nhập vào một trang web hoặc dịch vụ đơn giản chỉ yêu cầu thông tin đăng nhập và mật khẩu của bạn. Bạn cắm thông tin đó vào và nó tồn tại như là kiểm tra duy nhất mà bạn đang có, trên thực tế, bạn.
Giả sử không ai đánh cắp chìa khóa hoặc vết nứt của bạn / đánh cắp mật khẩu của bạn, bạn đang ở trong tình trạng tốt. Trong khi các khóa của bạn bị đánh cắp là một rủi ro khá thấp, bảo mật ảo phức tạp hơn (và không giống như các vi phạm an ninh trực tuyến), người quản lý phức hợp căn hộ của bạn sẽ không bao giờ vô tình sao chép tất cả các khóa và để chúng với tên và địa chỉ của bạn trên một góc phố ).
Vi phạm an ninh, các cuộc tấn công tinh vi và những điều không may khác nhưng tất cả các khía cạnh quá thực tế khi làm việc và chơi trong không gian ảo đòi hỏi phải thực hiện các biện pháp bảo mật được cải thiện bao gồm nhiều mật khẩu phức tạp và đa dạng.
Xác thực hai yếu tố là gì và nó trông như thế nào đối với bạn, người dùng cuối? Khi xác thực hai yếu tố tối thiểu yêu cầu hai trong số ba biến xác thực được phê duyệt theo quy định, chẳng hạn như:
- Nội dung bạn biết (như mã PIN trên thẻ ngân hàng hoặc mật khẩu email của bạn).
- Một cái gì đó bạn có (thẻ ngân hàng thực hoặc một mã xác thực).
- Một cái gì đó bạn đang có (sinh trắc học như ngón tay của bạn in hoặc mô hình iris).
Nếu bạn đã từng sử dụng thẻ ghi nợ, bạn đã sử dụng một hình thức xác thực hai yếu tố đơn giản: không đủ để biết mã PIN hoặc thực tế có thẻ, bạn cần sở hữu cả hai để truy cập tài khoản ngân hàng của mình qua máy ATM.
Xác thực hai yếu tố có thể có nhiều dạng khác nhau và vẫn đáp ứng yêu cầu 2 trong 3. Có thể có một mã thông báo vật lý, chẳng hạn như mã thông báo được sử dụng rộng rãi trong ngân hàng, trong đó mã không dây được tạo cho bạn. Để đăng nhập, bạn cần tên người dùng, mật khẩu và mã duy nhất (hết hạn sau mỗi 30 giây). Các công ty khác bỏ qua tuyến đường phần cứng tùy chỉnh và cung cấp các ứng dụng điện thoại di động (hoặc mã được gửi SMS) cung cấp chức năng tương tự. Mặc dù không đặc biệt phổ biến, bạn cũng có thể sử dụng xác thực hai yếu tố dựa trên sinh trắc học (chẳng hạn như bảo mật tệp được mã hóa thông qua mật khẩu và vân tay).
Tại sao tôi nên sử dụng nó và tôi có thể tìm thấy nó ở đâu?
Xác thực hai yếu tố bất cứ lúc nào có sẵn cho một hệ thống và hệ thống bị xâm nhập sẽ gây ra sự đau khổ đáng kể, bạn nên bật nó. Việc email của bạn bị xâm phạm sẽ mở ra cho bạn các dịch vụ khác bị xâm nhập như máy chủ email dưới dạng khóa chính để truy cập vào đặt lại mật khẩu và các yêu cầu khác. Nếu ngân hàng của bạn cung cấp trình xác thực di động hoặc công cụ khác, hãy tận dụng lợi thế của nó. Ngay cả đối với những thứ như bạn cùng phòng Diablo III, người chơi dành hàng trăm giờ để xây dựng nhân vật của mình và thường chi tiền mua hàng trong trò chơi, mất tất cả công sức và dụng cụ đó là một đề xuất khủng khiếp, tát người xác thực vào tài khoản của bạn!
Không phải mọi dịch vụ đều cung cấp xác thực hai yếu tố. Cách tốt nhất để tìm hiểu là tìm hiểu thông qua các tệp Câu hỏi thường gặp / hỗ trợ và / hoặc liên hệ với nhân viên hỗ trợ cho dịch vụ được đề cập. Điều đó nói rằng, nhiều công ty đang hát về việc áp dụng các chương trình xác thực đa yếu tố.
Google có xác thực hai yếu tố cho cả SMS và ứng dụng di động tiện dụng - hãy đọc hướng dẫn cài đặt và định cấu hình ứng dụng dành cho thiết bị di động của chúng tôi tại đây.
LastPass cung cấp nhiều hình thức xác thực đa yếu tố bao gồm sử dụng Google Authenticator. Chúng tôi có hướng dẫn để định cấu hình tại đây.
Facebook có hệ thống hai yếu tố được gọi là "phê duyệt đăng nhập" sử dụng SMS để xác nhận danh tính của bạn.
SpiderOak, một Dropbox giống như dịch vụ lưu trữ, cung cấp xác thực hai yếu tố.
Blizzard, công ty đứng sau các trò chơi như World of War Craft và Diablo, có một người xác thực miễn phí.
Ngay cả khi có vẻ như, dựa trên việc đọc tệp Câu hỏi thường gặp của công ty được đề cập, họ không có xác thực hai yếu tố, hãy gửi email cho họ và hỏi. Càng nhiều người hỏi về hai yếu tố, cơ hội cao hơn công ty sẽ thực hiện nó.
Mặc dù xác thực hai yếu tố không thể tấn công (một cuộc tấn công trung gian tinh vi hoặc ai đó ăn cắp mã thông báo xác thực phụ của bạn và đánh bạn bằng một đường ống có thể phá vỡ nó), nó hoàn toàn an toàn hơn là dựa vào mật khẩu thông thường và chỉ đơn giản là có một hệ thống hai yếu tố được kích hoạt khiến bạn trở thành một mục tiêu kém hấp dẫn hơn nhiều.
Biết một dịch vụ, lớn hay nhỏ, cung cấp xác thực hai yếu tố? Âm thanh trong các ý kiến để cảnh báo độc giả đồng nghiệp của bạn.
