Sommario:
- Lettore, mi è successo
- Moltiplica i tuoi fattori
- Costruisci il tuo autenticatore Arsenal
- I tuoi primi passi per l'autenticazione a due fattori
Video: Azione Bloccata Instagram e Limiti: le soluzioni (Settembre 2024)
Gli strumenti di sicurezza creano spesso una certa ansia. Cosa succede se perdo la mia password? O se il mio antivirus cancella le mie cose? L'avvento dell'autenticazione a due fattori ha creato una nuova svolta su un'ansia familiare: cosa succede se non riesco a utilizzare il mio secondo fattore e rimanere bloccato dal mio account?
Jeremy di Capetown ha scritto con alcune preoccupazioni sulla 2FA. Ho curato la sua lettera per brevità.
Caro Signore, Non sono troppo tecnico e voglio un dispositivo di autenticazione a due fattori che non si imbatta in complicazioni complicate quando si configura o si accede come hai incontrato con Yubikey. La mia più grande paura è bloccarmi fuori da Gmail.
È meglio acquistare due chiavi, con una come chiave di backup?
Cordiali saluti, Jeremy
Nel caso in cui non si abbia sentito parlare dell'autenticazione a due fattori o 2FA, ecco l'essenza: 2FA è una seconda azione che si esegue dopo aver inserito la password per verificare la propria identità. L'idea è che un utente malintenzionato potrebbe disporre della password, ma non avrà la chiave di sicurezza, l'app di autenticazione o il codice SMS. C'è un'intera teoria e pratica in 2FA che non entrerò qui, ma ti incoraggio e abilito 2FA dove puoi.
Jeremy è in buona compagnia nella sua preoccupazione per 2FA. Molte persone tecnicamente esperte e attente alla sicurezza che conosco continuano a evitare la protezione a due fattori perché hanno paura di essere bloccati e forse perdono l'accesso alle loro cose per sempre. È una preoccupazione reale e valida.
Lettore, mi è successo
In effetti, in precedenza sono stato bloccato fuori dagli account protetti da 2FA. Più di una volta. All'epoca, una delle prime aziende a offrire l'autenticazione a due fattori era Blizzard. I giocatori di World of Warcraft hanno ottenuto prima l'accesso, poiché avevano bisogno di proteggere il loro bottino guadagnato duramente. Puoi ricordare le persone che camminano con portachiavi WoW che mostrano cifre modificabili su un display LCD. Blizzard ha successivamente perfezionato l'esperienza in un'app mobile e ha distribuito 2FA a tutti gli utenti di Battle.net.
Essendo la persona paranoica che sono, ho abilitato 2FA sul mio account Blizzard usando l'app speciale Blizzard Authenticator. Ho immediatamente dimenticato di averlo fatto e, nei mesi successivi, ho eliminato l'app dal mio telefono e ho dimenticato la mia password. Fortunatamente, Blizzard ha un eccellente servizio clienti. Alcune e-mail con il loro personale gioviale mi hanno riportato online in pochi giorni. Tuttavia, era ancora snervante. Ero così abituato a gestire i miei ripristini di password, e l'idea di dover interagire con un vero essere umano vivente come parte di quel processo sembrava, beh, molto strana.
Da allora mi sono abituato maggiormente all'esperienza e ho imparato ad essere più intelligente nel mantenere il mio autenticatore al sicuro. Sono ancora riuscito a rimanere bloccato fuori da Battle.net ripetutamente, così come Steam e altri servizi.
A seconda di come un'azienda configura la sua offerta 2FA, potresti ritrovarti a doverti piegare all'indietro per ottenere il controllo del tuo account. Per quanto fastidioso possa sembrare, in realtà significa che il servizio funziona. Dovresti saltare un sacco di cerchi se non hai l'autenticatore. Se fosse facile per te, allora sarebbe facile per un cattivo.
Moltiplica i tuoi fattori
Fortunatamente, esiste un modo semplice per evitare di essere bloccato da 2FA: utilizzare più opzioni 2FA. Questi possono fungere da backup nel caso in cui non si abbia accesso a un'altra opzione 2FA. Ad esempio, utilizzo un NFC YubiKey 5 con i miei account Google, ma ho anche abilitato toccando una notifica push di verifica sul mio telefono. Se non ho il mio Yubikey, lo uso invece.
L'aggiunta di più dispositivi a più fattori aumenta il rischio che il tuo account possa essere compromesso. Ora ci sono due modi per accedere al tuo account, invece di uno solo. Credo che i vantaggi di non essere esclusi dal tuo account siano di gran lunga superiori allo scenario altamente improbabile in cui sei rapinato e il criminale prende il tuo portafoglio, chiavi e chiave di sicurezza e ti fa anche scrivere la tua password.
La migliore approvazione dell'utilizzo di più di un dispositivo 2FA proviene da Google, che fornisce due chiavi nel suo pacchetto Titan Key. Questi sono stati creati appositamente per funzionare con il sistema di protezione avanzata di Google, che richiede la registrazione di due chiavi di sicurezza separate. Ne usi uno ogni giorno e metti l'altro via per le emergenze. Quindi, per rispondere direttamente alla domanda di Jeremy: non è una cattiva idea avere due chiavi per il tuo account.
Sfortunatamente, non tutti i siti ti consentono di iscrivere più di un'opzione multifattore. In tal caso, ti consiglio di utilizzare l'opzione 2FA che ritieni più affidabile per te.
Costruisci il tuo autenticatore Arsenal
Se decidi di acquistare più chiavi hardware 2FA, ti consiglio di utilizzare la nostra chiave di sicurezza Scelta dell'editore di Yubico o il pacchetto Titan Key di Google. La chiave di sicurezza di Yubico costa solo $ 20 ciascuno, o $ 36 per due. Il bundle di Google costa $ 50 e include due dispositivi: una chiave USB e un dongle Bluetooth alimentato a batteria.
Per anni, il modo più comune di utilizzare 2FA è stato l'invio di codici una tantum al telefono tramite SMS. Probabilmente dovrai ancora utilizzarlo con la tua banca, poiché gli istituti finanziari tendono ad adottare le nuove tecnologie più lentamente. Google, interessante, richiede comunque di abilitare i codici SMS se si desidera utilizzare altri sistemi 2FA. Alla domanda di Jeremy, ciò significa che quando vai a registrare la tua nuova chiave di sicurezza con Google, dovrai già abilitare una seconda opzione 2FA sotto forma di codici SMS.
Un'altra opzione è quella di utilizzare Google Authenticator o un'app simile come LastPass Authenticator. Queste app mobili generano passcode a sei cifre ogni 30 secondi. Basta aprire l'app, copiare il codice e il gioco è fatto. Questi sono particolarmente utili come opzione di backup 2FA, perché l'app funziona anche senza servizio cellulare o Wi-Fi.
Se tutti questi sembrano preoccupanti, puoi usare il mio metodo preferito: i codici di backup fisici. Potresti averli visti durante la creazione di account o la registrazione a 2FA. È una griglia di più numeri che è possibile utilizzare al posto di una password e token 2FA. Vengono generati una sola volta e se li rigenerate, i vecchi vengono eliminati. Idealmente, li proteggerai in un archivio file crittografato, o meglio ancora su un pezzo di carta nascosto in un luogo sicuro.
Quando ha creato il suo programma di protezione avanzata, Google ha optato per più chiavi hardware perché tutte le altre opzioni che ho elencato sopra, inclusi i codici di backup, potrebbero potenzialmente essere catturate con una pagina di phishing ben fatta. Lo spoofing di una chiave di sicurezza è molto più difficile.
- Autenticazione a due fattori: chi ce l'ha e come configurarla Autenticazione a due fattori: chi ce l'ha e come configurarla
- Perché non stai usando l'autenticazione a due fattori? Perché non stai usando l'autenticazione a due fattori?
- Google: Gli attacchi di phishing che possono battere due fattori sono in aumento Google: Gli attacchi di phishing che possono battere due fattori sono in aumento
Tieni presente che non tutti i siti supportano ogni tipo di autenticatore. LastPass, ad esempio, ti consente di utilizzare le chiavi di sicurezza, ma solo le chiavi che supportano passcode monouso. Capire quali autenticatori usare è spesso una funzione di quali opzioni sono supportate.
I tuoi primi passi per l'autenticazione a due fattori
Detto questo, consiglio a chiunque sia nuovo di 2FA di provarlo prima con un sistema diverso dalle chiavi di sicurezza. Se non sei abituato ad avere quella seconda cosa in giro per accedere, è più probabile che sbagli qualcosa di non familiare come una chiave di sicurezza. Prova invece a utilizzare le notifiche push, i codici inviati tramite SMS, Duo o Google Authenticator (o un generatore di codice simile). Questi utilizzano i dispositivi che già possiedi, quindi non ci sono costi di iscrizione. Una volta che hai familiarità con il funzionamento di 2FA e inizia a sembrare una seconda natura, puoi pensare di pianificare i soldi per una o più chiavi di sicurezza.
Una funzione di sicurezza è preziosa solo se la si utilizza effettivamente. Quindi abilita 2FA, ma concediti l'autorizzazione per giocarci e trovare un metodo che funzioni per te.
