Lar Securitywatch Securitywatch: como não ficar bloqueado com autenticação de dois fatores | max eddy

Securitywatch: como não ficar bloqueado com autenticação de dois fatores | max eddy

Índice:

Vídeo: bloqueio facebook: como não ser bloqueado no facebook (perfil blindado 2019) (Novembro 2024)

Vídeo: bloqueio facebook: como não ser bloqueado no facebook (perfil blindado 2019) (Novembro 2024)
Anonim

As ferramentas de segurança geralmente criam uma certa quantidade de ansiedade. O que acontece se eu perder minha senha? Ou se meu antivírus excluir minhas coisas? O advento da autenticação de dois fatores criou uma nova reviravolta em uma ansiedade familiar: o que acontece se eu não puder usar meu segundo fator e ficar bloqueado na minha conta?

Jeremy, de Capetown, escreveu com algumas preocupações sobre o 2FA. Eu editei sua carta por questões de concisão.

Prezado Senhor, Não sou muito técnico e quero um dispositivo de autenticação de dois fatores que não tenha complicações complicadas ao configurar ou acessar como você encontrou com o Yubikey. Meu maior medo é me trancar fora do meu Gmail.

É melhor comprar duas chaves, uma como chave de backup?

Atenciosamente, Jeremy

Caso você não tenha ouvido falar em autenticação de dois fatores, ou 2FA, aqui está a essência: 2FA é uma segunda ação que você executa depois de inserir sua senha para verificar sua identidade. A idéia é que um invasor possa ter sua senha, mas não terá sua chave de segurança, aplicativo autenticador ou código SMS. Há uma teoria e prática no 2FA que não abordarei aqui, mas encorajo você a habilitar o 2FA onde puder.

Jeremy está em boa companhia em sua preocupação com a 2FA. Conheço muitas pessoas tecnicamente esclarecidas e conscientes da segurança que continuam a evitar a proteção de dois fatores porque têm medo de ficar trancadas e talvez perdendo o acesso a essas coisas para sempre. É uma preocupação real e válida.

Leitor, aconteceu comigo

Na verdade, eu fui bloqueado de contas protegidas por 2FA antes. Mais de uma vez. Naquela época, uma das primeiras empresas a oferecer autenticação de dois fatores foi a Blizzard. Os jogadores de World of Warcraft obtêm acesso primeiro, pois precisam proteger seu saque, conquistado com muito esforço. Você pode se lembrar de pessoas andando com chaveiros WoW que exibiam dígitos alterados em um LCD. Mais tarde, a Blizzard refinou a experiência em um aplicativo móvel e lançou o 2FA para todos os usuários do Battle.net.

Sendo a pessoa paranóica que eu sou, ativei o 2FA na minha conta Blizzard usando o aplicativo Blizzard Authenticator especial. Eu esqueci imediatamente que tinha feito isso e, nos meses seguintes, excluí o aplicativo do meu telefone e esqueci minha senha. Felizmente, a Blizzard tem um excelente serviço ao cliente. Alguns emails com sua equipe jovial me colocaram online novamente em alguns dias. Ainda era estressante, no entanto. Eu estava acostumado a ser capaz de lidar com minhas próprias redefinições de senha, e a ideia de ter que me envolver com um ser humano vivo real como parte desse processo parecia, bem, muito estranha.

Desde então, me acostumei com a experiência e aprendi a ser mais inteligente em manter meu autenticador seguro. Eu ainda consegui ficar trancado fora do Battle.net repetidamente, bem como o Steam e outros serviços.

Dependendo de como uma empresa configura sua oferta 2FA, você pode ter que se virar para trás para recuperar o controle de sua conta. Por mais irritante que isso pareça, na verdade significa que o serviço está funcionando. Você deve passar por muitos obstáculos se não tiver o autenticador. Se fosse fácil para você, seria fácil para um bandido.

Multiplique seus fatores

Felizmente, existe uma maneira fácil de impedir o bloqueio do 2FA: use várias opções 2FA. Eles podem funcionar como backup, caso você não tenha acesso a uma opção 2FA diferente. Por exemplo, eu uso um NFC YubiKey 5 com minhas contas do Google, mas também habilitei o toque em uma notificação por push de verificação no meu telefone. Se eu não tenho meu Yubikey, eu o uso.

Adicionar mais dispositivos multifatoriais aumenta o risco de comprometimento da sua conta. Agora, existem duas maneiras de acessar sua conta, em vez de apenas uma. Acredito que as recompensas de não ser bloqueado em sua conta superam muito o cenário improvável em que você é assaltado e o criminoso pega sua carteira, chaves e chave de segurança e também escreve sua senha.

O pacote Chave de segurança do Google Titan.

A melhor recomendação para o uso de mais de um dispositivo 2FA vem do Google, que fornece duas chaves em seu pacote Titan Key. Eles foram criados especificamente para funcionar com o sistema de proteção avançada do Google, que exige o registro de duas chaves de segurança separadas. Você usa um todos os dias e guarda o outro para emergências. Portanto, para responder diretamente à pergunta de Jeremy: Não é uma má idéia ter duas chaves para sua conta.

Infelizmente, nem todos os sites permitem a inscrição de mais de uma opção multifator. Se for esse o caso, recomendo usar a opção 2FA que achar mais confiável.

Construindo seu arsenal autenticador

Se você optar por comprar várias chaves 2FA de hardware, recomendo a nossa Chave de segurança Choice do editor da Yubico ou o pacote Titan Key do Google. A chave de segurança do Yubico custa apenas US $ 20 cada, ou US $ 36 para dois. O pacote do Google custa US $ 50 e inclui dois dispositivos: uma chave USB e um dongle Bluetooth alimentado por bateria.

A chave de segurança de Yubico

Durante anos, a maneira mais comum de usar o 2FA era enviar códigos únicos enviados ao seu telefone via mensagem de texto. Você provavelmente ainda precisará usar isso com seu banco, pois as instituições financeiras tendem a adotar novas tecnologias mais lentamente. Curiosamente, o Google ainda exige que você ative os códigos SMS se desejar usar outros sistemas 2FA. Para a pergunta de Jeremy, isso significa que, quando você for registrar sua nova chave de segurança no Google, já precisará habilitar uma segunda opção 2FA na forma de códigos SMS.

Outra opção é usar o Google Authenticator, ou um aplicativo semelhante, como o LastPass Authenticator. Esses aplicativos móveis geram senhas de seis dígitos a cada 30 segundos. Basta abrir o aplicativo, copiar o código e você está dentro. Estes são especialmente úteis como uma opção 2FA de backup, porque o aplicativo funciona mesmo sem serviço de celular ou Wi-Fi.

Se tudo isso parecer preocupante, você pode usar o meu método preferido: códigos de backup físico. Você pode ter visto isso ao criar contas ou ao se inscrever no 2FA. É uma grade de vários números que você pode usar em vez de uma senha e tokens 2FA. Eles são gerados apenas uma vez e, se você os gerar novamente, os antigos são descartados. Idealmente, você as protegerá em um cofre de arquivos criptografados ou, melhor ainda, em um pedaço de papel dobrado em um local seguro.

Quando criou o programa Advanced Protection, o Google optou por várias chaves de hardware, porque todas as outras opções listadas acima - incluindo códigos de backup - poderiam ser capturadas com uma página de phishing bem feita. Falsificar uma chave de segurança é muito mais difícil.

  • Autenticação de dois fatores: quem o possui e como configurá-lo Autenticação de dois fatores: quem o possui e como configurá-lo
  • Por que você não está usando autenticação de dois fatores? Por que você não está usando autenticação de dois fatores?
  • Google: ataques de phishing que podem vencer dois fatores estão em ascensão Google: ataques de phishing que podem vencer dois fatores estão em ascensão

Lembre-se de que nem todos os sites oferecem suporte a todo tipo de autenticador. O LastPass, por exemplo, permite usar chaves de segurança, mas apenas chaves que suportam códigos de acesso únicos. Descobrir quais autenticadores usar geralmente é uma função de quais opções são suportadas.

Seus primeiros passos para autenticação de dois fatores

Dito isso, recomendo que qualquer pessoa iniciante no 2FA experimente primeiro um sistema que não seja as chaves de segurança. Se você não está acostumado a ter essa segunda coisa para fazer login, é mais provável que você estrague algo tão desconhecido quanto uma chave de segurança. Em vez disso, tente usar notificações push, códigos enviados por mensagem de texto, Duo ou Google Authenticator (ou gerador de código semelhante). Eles usam os dispositivos que você já possui, então não há custo para entrar. Quando você estiver familiarizado com o funcionamento do 2FA e começar a parecer uma segunda natureza, pense em dedicar o dinheiro a uma chave (s) de segurança.

Um recurso de segurança é valioso apenas se você realmente o usar. Portanto, ative o 2FA, mas permita-se brincar com ele e encontrar um método que funcione para você.

Securitywatch: como não ficar bloqueado com autenticação de dois fatores | max eddy