Előző bejegyzésemben az erős jelszavak fontosságáról írtam (ha nem olvastad el, akkor IDE kattintva megteheted), amiben említettem a kétfaktoros hitelesítés fontosságát is, ebben a cikkben erről lesz szó.
Manapság egyre több online szolgáltatás jön létre, egyre jobban kötődünk a használatukhoz, azonban nem csak a szolgáltatások száma, hanem a kibertámadások száma is növekedik, ezért fontos a megfelelő védelem.
Miért 2 faktor a 2 faktor?
Az első tényező általában a jelszó, amelyet a felhasználó ismer, míg a második tényező valami, amit a felhasználó birtokol, például egy okostelefon vagy egy biztonsági kulcs. Az ilyen módon biztonságosan hitelesített fiókok védelmet nyújtanak a hackerek ellen, és biztonságosabbá teszik az online tevékenységeinket.
Több féle kétfaktoros hitelesítési megoldással találkozhatunk: egy okostelefonos alkalmazás által generált véletlenszerű számsor, SMS-ben vagy emailben az online platformtól kiküldött véletlenszerűen generált számsor, a platform saját mobilos alkalmazásán keresztüli hitelesítés és hardveres hitelesítés.
Miért fontos?
Mint ahogy a korábbi bejegyzésben írtam, előfordulhat, hogy egyes szolgáltatásoknál adatszivárgás történhet, vagy maga a felhasználótól szivároghat ki jelszó, vagy lophatják el illetéktelenek különféle módszerekkel. A kétfaktoros hitelesítés használata egy plusz védelmi réteget képez, hiszen minden bejelentkezésnél a jelszó után meg kell adnunk egy számsort, és ha ez is megfelel, akkor tudunk csak bejelentkezni egy adott oldalra vagy szolgáltatásba. Tehát egy rosszindulatú fél csupán egy jelszóval nem tud belépni a fiókunkba.
Ez csak egy nyűg?!
A kétfaktoros hitelesítés használata elég kényelmetlen tud lenni, hiszen ha bárhová be akarunk jelentkezni, szükségünk van a kódra a telefonunkból vagy adott esetben szükségünk van a hardveres kulcsra. Azt mindenki döntse el magának, hogy ér-e neki egy kis plusz mozdulatsor nagyobb biztonságot az online világban.
Van néhány olyan hitelesítő alkalmazás, amelyik elérhető számítógépre és mobiltelefonra is, és szinkronizálni tudja a hozzáadott kulcsokat, ilyen például az Authy. Azonban ez is egy plusz biztonsági kockázat, hiszen az Authy fiók jelszavát is ellophatják hackerek, vagy kiolvashatják a fertőzött számítógépen lévő Authy alkalmazásból a kétlépcsős hitelesítő kódokat is. MacOS és iOS felhasználóknak viszont előny, hogy ha be van kapcsolva a két eszközön a Continuity funkció, akkor ha a felhasználó kimásol egy szöveget telefonon, azt egy sima jobb egérgomb->beillesztéssel a Mac-en be tudja másolni, ahová szeretné.
Rengeteg a kamu 2FA alkalmazás
Egyre elterjedtebb, hogy leginkább a Google Play áruházba olyan kétlépcsős hitelesítést ajánló alkalmazásokat töltenek fel, amiket azért csinálnak, hogy hozzáférjenek a felhasználók kétlépcsős hitelesítő kódjához. Például a Google is rendelkezik saját hitelesítő alkalmazással, aminek Authenticator a neve, de ezt a szót a keresőbe beírva kapunk vagy 10 másik találatot is, ugyanezzel a névvel, csupán az alkalmazás készítőjénél más lesz írva. Így fontos figyelnünk arra, hogy a Google által készített appot töltsük le a telefonunkra.
Bármilyen hihetetlen, adatvédelmi szempontból a Google Authenticator az egyik legjobb választás. Köztudott, hogy a Google szereti gyűjtögetni a felhasználó adatait, azoban több vizsgálat szerint a Google Authenticator nem gyűjt személyes, a felhasználóhoz kapcsolható adatokat, az Authy viszont igen.
Visszaállító kulcsok
A legtöbb felületen a kétlépcsős hitelesítés bekapcsolása után kapni fogunk egy úgynevezett visszaállítási kulcsot is. Ez a kulcs arra szolgál, hogy ha elhagynánk a telefonunkat, vagy az eszközünket, amin a hitelesítő alkalmazás volt, akkor is vissza tudjunk lépni a fiókunkba. Ezeket a kulcsokat érdemes egy jelszókezelő alkalmazásban (pl. Bitwarden) vagy kinyomtatva, biztonságos helyen tárolni, ahol nincs is szem előtt.
A fentieket összegezve:
Ahol lehet, használjunk kétfaktoros hitelesítést, még akkor is, ha kissé kényelmetlen.
Ha szeretnénk egy kis plusz kényelmet, akkor az Authy appot ajánlom, viszont ha számunkra fontosabb a biztonság és az adatvédelem, akkor a Google Authenticatort ajánlom. Letöltésnél pedig figyeljünk arra, hogy a megfelelő közzétevő alkalmazását töltsük le.
