Защо трябва да спрете да използвате Google Authenticator точно сега

Много от нас са научили по трудния начин, че наличието на една парола, която защитава нашите онлайн акаунти, не е достатъчно. Сега използваме една или друга форма на двуфакторно удостоверяване. Може дори да сте решили да използвате Google Authenticator, за да осигурите този втори слой на защита. Ако сте го направили, трябва да знаете рисковете, които поемате, като го направите. За щастие има по-добри методи, които са едновременно по-безопасни и по-лесни за използване.

Основни слоеве на онлайн сигурността

Киберпрестъпниците стават все по-усъвършенствани и всички ние трябва да приемем нашата онлайн сигурност сериозно, за да защитим нашата постоянно разрастваща се онлайн идентичност. Преди да обсъдим двуфакторното удостоверяване и защо трябва да избягвате използването на Google Authenticator, нека разгледаме няколко други елемента, които трябва да имаме, за да защитим на по-плитко ниво.

Хакер, работещ с компютър с кодове

Силни пароли

За щастие Генератор на пароли за LastPass опростява създаването и поддръжката на силни пароли. Този инструмент за генериране на пароли създава сложни, почти невъзможни за разбиване пароли, състоящи се от множество цифри, букви и символи. LastPass генерира различни пароли за всяко приложение или уебсайт и работи локално на вашия компютър с Windows, Mac или Linus или на вашето iOS или Android устройство. Паролите, които инструментът създава, не се изпращат в мрежата.

Екранна снимка на раздела на страницата lastpass.com LastPass.com – Как работи

Софтуер за защита срещу вируси и зловреден софтуер

Има няколко широко разглеждани решения за киберсигурност, включително Malwarebytes и Bitdefender. Тези програми имат безплатни версии, но засилват сигурността ви, като правят малка инвестиция в платените версии.

Екранна снимка на bitdefender.com Bitdefender.com – Начална страница

Сега да се върнем към Google Authenticator и двуфакторното удостоверяване.

Двуфакторно удостоверяване

Двуфакторното удостоверяване – известно още като 2FA – е като втора парола за вашите онлайн акаунти.

Без 2FA просто въвеждате потребителското си име и парола и уебсайтът или приложението ви позволяват да влезете. Паролата е вашият единичен фактор за удостоверяване.

Натиснете бутона за въвеждане на компютъра


2FA добавя допълнителна стъпка към вашия процес на влизане. Необходимо е да имате два от три вида идентификационни данни, преди да ви пусне в акаунта. Тези типове идентификационни данни са:

  • нещо, което имате, като карта за банкомат, телефон или фоб
  • нещо, което знаете, като модел или личен идентификационен номер (ПИН)
  • нещо, което сте, като биометрично като пръстов отпечатък

Методи за биометрично удостоверяване изометричен състав

Има два основни типа 2FA. Най-често срещаният тип, базирана на времето еднократна парола (TOTP), е олицетворена от Google Authenticator, дядото на всички 2FA приложения. Другият тип, който ще бъде разгледан по-нататък в статията, е Универсален втори фактор (U2F).

И … има два вида еднократни пароли:

  1. SMS еднократни пароли
  2. Приложението генерира еднократни пароли

Със сигурност приложенията за еднократна парола, базирани на времето, като Google Authenticator, са много по-сигурни. При приложения като тези приложението за телефон ще генерира еднократен код. След това ще използвате този код, за да завършите влизането.

Google Authenticator потвърждава, че вие ​​сте този, за когото казвате, че се основавате на тайна, която вие и доставчикът споделяте онлайн. Когато влезете в уебсайт, вашето устройство генерира код въз основа на текущото време и споделената тайна. За да завършите влизането на вашия уебсайт, трябва да въведете този код ръчно на сайта, преди да изтече..

Екранна снимка на play.google.com Play.Google.com – – App Store

И така, как сървърът знае как да ви пусне вътре? Той генерира същия код, който имате, за да може да провери вашия код. Тъй като и вие, и сайтът, в който се опитвате да влезете, за да притежавате тайната и да направите заявката едновременно (тоест използвате едни и същи входни фактори), и двамата ще генерирате един и същ хеш.

Проблеми с Google Authenticator

Първо, трябва да въведете ръчно кода при влизане, като добавите още една стъпка към процеса на влизане. Също така ще трябва да предприемете допълнителни стъпки архивирайте тайната. Но услугите често предлагат резервни кодове, вместо да изискват от вас да запазите тайната. Ако влезете с един от тези кодове, ще трябва да преминете през целия процес на регистрация отново.

Тези резервни кодове се изпращат онлайн, което е една от основните слабости в сигурността. Ако хакерите получат достъп до паролите на компанията и тайната база данни, те могат да имат достъп до всеки акаунт. За съжаление, не липсват истории за уебсайтове и дори реномирани борси за криптовалута, които са били хакнати.

Хакер, който държи екрани на потребителския интерфейс с икона, статистика и данни

Друга несигурна област е самата тайна, която се показва като чист текст или QR код, а не като хеш или с криптографска сол. Следователно сървърите на компанията вероятно съхраняват тайната в открит текст. Тъй като доставчикът трябва да ви даде генерирана тайна по време на регистрацията, тайната може да бъде разкрита по това време.

Алтернативи на Google Authenticator: Yubikey и Trezor Model T

Вторият тип двуфакторно удостоверяване: Универсален втори фактор (U2F)

Универсалният втори фактор е универсален стандарт за създаване на символи за физическо удостоверяване, които могат да работят с всяка услуга. U2F е създаден от технологични гиганти, включително Google и Microsoft, за да се справи с уязвимостите на TOPT. Донякъде иронично е, че Google не оттегли старото си приложение, Google Authenticator, след като помогна за създаването на U2F.

Екранна снимка на yubico.com Yubico.com – Начална страница

Ако сте чували за Юбики—Физически USB ключ, който ви позволява да влезете в LastPass, инструмента за генериране на пароли, обсъден в началото на статията, както и някои други услуги – ще разберете концепцията за U2F. Въпреки това, за разлика от стандартния Юбики устройства, U2F е универсален стандарт.

С U2F сървърът изпраща предизвикателство и вашият личен ключ (тайната) го подписва. Сървърът може да провери съобщението, като използва публичния ключ в своята база данни.

Всички Yubikeys сравнени

YubiKey 5ci

YubiKey 5Ci

  • Най-доброто за потребители на Mac
  • USB-C и Lightning конектор
  • Водоустойчив и устойчив на смачкване

КУПИ СЕГА YubiKey 5c

YubiKey 5C

  • Най-доброто за потребители на Mac
  • USB-C конектор
  • Можете да спестите $ 20, ако не се нуждаете от конектора за мълния

КУПИ СЕГА Ключ за сигурност NFC

Ключ за сигурност NFC

  • Най-доброто за потребители, които не са LastPass
  • Бюджетна версия на 5 NFC
  • Най-доброто за потребители, които не могат да харчат много

КУПИ СЕГА yubikey fips серия

YubiKey FIPS серия

  • Най-доброто за федерални работници и изпълнители
  • Отговорете на най-високото ниво на увереност в удостоверяването от най-новите насоки на FIPS
  • Предлага се във всички версии, които е YubiKey

КУПИ СЕГА ПРОЧЕТЕТЕ ПРЕГЛЕД

Предимства на U2F

Има много предимства от използването на U2F. Ето няколко:

  • поверителност: С U2F вашият частен ключ никога няма да бъде изпратен в киберпространството, което ви позволява да се насладите на един от най-желаните статуси в мрежата: действителна поверителност. Благодарение на криптографията с публичен ключ няма да се притеснявате за споделяне на поверителна информация.

Концепция за сигурност с икони върху дървени блокове на плоска тюркоазена маса

  • Облечена с желязо сигурност: 2FA с помощта на криптография с публичен ключ предпазва от отвличане на сесии, фишинг, и различни видове зловреден софтуер. Тъй като U2F не разчита на споделена тайна, съхранявана в базата данни на доставчика, нападателят не може да открадне цяла база данни за достъп до акаунт на потребител. Вместо това той ще трябва да премине през отнемащия време и скъп път на насочване към отделен потребител и кражба на хардуера му лично.

Техникът, който ремонтира компютъра

  • Лесен за използване: U2F устройствата работят веднага, благодарение на поддръжката чрез общодостъпни браузъри и платформи; няма кодове за въвеждане или драйвери за инсталиране.

Очертайте ръка с щракащ жест с пръст

  • Рентабилен: Клиентите могат да избират измежду различни устройства на различни ценови точки, като всички те са изненадващо достъпни, предвид тяхната модерна технология.

Дървени блокове с ценова дума и жълта стрелка надолу

Недостатъци на U2F

Основното предимство на U2F е и неговият основен недостатък. С U2F често можете да архивирате вашата тайна, иначе известна като личен ключ. Това означава, че носите отговорност за собствената си сигурност. Ако загубите частния ключ, никой не може да го възстанови вместо вас. Не е необходимо обаче да се доверявате на която и да е компания, за да защити вашия частен ключ.

Trezor и Yubikey – U2F направено правилно

За щастие, има начин да се насладите на печалбата на U2F без болка, като използвате Трезор. Trezor първоначално е създаден за съхраняване на частни ключове и служи като изолирана компютърна среда. Въпреки че все още се справя възхитително в първоначалната си роля като сигурен биткойн хардуер портфейл, Trezor вече може да се използва по повече начини благодарение на широко приложимата криптография с частен / публичен ключ (асиметрична).

Екранна снимка на trezor.io Trezor.io – Защитете двуфакторно удостоверяване с Trezor

Главното сред тези разширени приложения е функцията на Trezor като хардуерен защитен маркер за U2F. За разлика от други продукти на U2F, Trezor предлага функции за архивиране и възстановяване, както и удобство.

Как U2F работи с Trezor

Когато влезете в уебсайт, обикновено инициирате процеса на удостоверяване с вашето потребителско име и парола. Ще следвате тази процедура с Trezor и U2F, но след това ще предприемете още една лесна, безболезнена стъпка: ще потвърдите данните си за вход, като щракнете върху вашето устройство Trezor.

Когато първоначално настроите вашето устройство Trezor, ще направите резервно копие на вашите семена за възстановяване. Това семе представлява всички тайни / частни ключове, генерирани от Trezor, и може да се използва за възстановяване на вашия хардуерен портфейл по всяко време. Архивирането на семената за възстановяване е еднократен процес и той запазва неограничен брой U2F самоличности.

Екранна снимка на trezor.io Trezor.io – Характеристика

Вашето семе се съхранява сигурно в Trezor. Тъй като никога не напуска устройството, вашият частен ключ е имунизиран срещу вируси и хакери.

Trezor предлага и защита срещу фишинг с проверка на екрана. Тъй като киберпрестъпниците продължават да стават все по-усъвършенствани, фишинг уебсайтовете, които те създават, наподобяват оригинални сайтове. Винаги показвайки URL адреса на уебсайта, в който влизате, и ви уведомявайки точно какво ще разрешите, Trezor ви защитава от опити за фишинг. Можете да проверите дали изпратеното в устройството е това, което сте очаквали.

Екранна снимка на trezor.io Trezor Модел T – Технически спецификации

Можете да поръчате своя Trezor One тук или Trezor Model T тук.

За Trezor

Създаден от SatoshiLabs през 2014 г., удобен за начинаещи Trezor One е златният стандарт на хардуерните портфейли. Той предлага несравнима сигурност за криптовалути и управление на пароли и служи като втори фактор при двуфакторното удостоверяване. Тези функции се комбинират с удобен за потребителя интерфейс, който дори начинаещите могат да навигират с лекота. Въвеждането на парола и възстановяването на устройството са достъпни сигурно чрез компютър или модем.

Екранна снимка на trezor.io Trezor.io – Начална страница>

Премията Trezor Модел T е хардуерният портфейл от следващо поколение. Подобно на Trezor One, Model T е подходящ както за начинаещи, така и за сложни инвеститори. Той запазва предимствата на Trezor One, но предлага по-елегантен, по-интуитивен интерфейс за подобрено потребителско изживяване и сигурност. Той разполага със сензорен екран, по-бърз процесор и усъвършенствана поддръжка на монети. Въвеждането на пропуск и възстановяването на устройството са достъпни директно на вашия Trezor Model T.

СРАВНЕНИЕ

Blockstream Jade

Blockstream Jade

  • ЕКРАН:
  • ИЗПУСКАН: 2021
  • ЦЕНА: $ 40

КУПИ СЕГА ПРОЧЕТЕТЕ ПРЕГЛЕД Trezor Модел T

Trezor Модел T

  • ЕКРАН:
  • ИЗПУСКАН: 2018 г.
  • ЦЕНА: 159 долара
  • ТЪЧ СКРИЙН:

КУПИ СЕГА ПРОЧЕТЕТЕ ПРЕГЛЕД Trezor One

Trezor One

  • ЕКРАН:
  • ИЗПУСКАН: 2013
  • ЦЕНА: $ 59

КУПИ СЕГА ПРОЧЕТЕТЕ ПРЕГЛЕД

Заключение

За инвеститорите в криптовалута сигурността е от първостепенно значение. Няма смисъл да инвестирате време и пари в изучаване на крипто и увеличаване на крипто портфолиото си, освен ако не осигурите тези активи. Наградите от криптовалутата са страхотни, но рисковете също.

Ако още не сте го направили, отстранете изтичане на сигурност, като слаби пароли и незащитени компютри и мобилни телефони. След като разгледате тези проблеми, може да помислите за използване на двуфакторно удостоверяване (2FA). Въпреки че е изкушаващо да използвате безплатни, широко достъпни методи като Google Authenticator, за да защитите вашите криптовалутни активи, Authenticator има своите уязвимости и неудобства.

Вторият тип 2FA, Universal Second Factor (U2F), е по-сигурен от Google Authenticator. Сигурен хардуерен маркер за сигурност за Universal Second Factor, Trezor, предлага много повече функции и сигурност от Authenticator. В крипто света всичко е свързано със сигурността. Не забравяйте: вие сте собствената си банка!

Тъй като вие като крипто инвеститор поемате по-голяма отговорност за сигурността, отколкото традиционен инвеститор, инвестирайте в най-доброто решение за сигурност. Осигурете за себе си или Trezor One, или Trezor Model T днес.

ЧЗВ

Каква е ползата от YubiKey?

Yubikey се използва за удостоверяване на уеб вход. Може да се включи в компютър или телефон.

За какво се използва LastPass?

LastPass е мениджър на пароли, който съхранява всичките ви пароли на едно място. Това се нарича Сейф, чрез който LastPass запомня вашата парола вместо вас.

Защо SMS е двуфакторен опасен?

Двуфакторният SMS е опасен, защото хакерите лесно отвличат текстовите ви съобщения чрез „размяна на SIM“.

Ами ако мениджърът на паролите ми бъде хакнат?

Ако хакерите получат всички данни, които има мениджърът на пароли, те пак ще трябва да изпробват всяка възможна парола за вашите данни, за да проверят дали тя работи, тъй като хакерите виждат само куп бъркани пароли.

Безопасен ли е Trezor Model T?

Ако много мотивиран и висококвалифициран нападател физически се добере до вашия Trezor Model T, вашите монети може да не са в безопасност. Тази атака обаче никога не е извършвана извън лаборатория, така че заплахата е далечна. В почти всички случаи Trezor Model T ще запази вашите монети много безопасни.

Кое е по-добре – Trezor или Ledger?

Книга е по-сигурен, ако портфейлът ви бъде намерен, но Trezor няма Bluetooth, което намалява риска от отдалечена атака на вашето устройство. Trezor също има повече функции и по-добър екран, ако го правите с Model T.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Adblock
detector