Miksi sinun on lopetettava Google Authenticatorin käyttö nyt
Monet meistä ovat oppineet kovan tavan, että yhden salasanan suojaaminen verkkotilejä ei riitä. Käytämme nyt yhtä tai toista kahden tekijän todennuksen muotoa. Olet ehkä jopa päättänyt käyttää Google Authenticatoria tämän toisen suojaustason tarjoamiseen. Jos teit niin, sinun on tiedettävä tekemäsi riskit. Onneksi on olemassa parempia menetelmiä, jotka ovat sekä turvallisempia että helpompia käyttää.
Verkkoturvan peruskerrokset
Verkkorikolliset ovat yhä kehittyneempiä, ja meidän kaikkien on otettava verkkoturvallisuutemme vakavasti suojellaksemme jatkuvasti laajenevaa verkkotunnustamme. Ennen kuin keskustelemme kaksivaiheisesta todennuksesta ja siitä, miksi sinun pitäisi välttää Google Authenticatorin käyttöä, käsittelemme muutamia muita asioita, jotka meillä pitäisi olla suojattaviksi matalammalla tasolla.
Vahvat salasanat
Onneksi LastPass Password Generator yksinkertaistaa järjestelmän luomista ja ylläpitoa vahvat salasanat. Tämä salasanan luontityökalu luo monimutkaisia, lähes mahdotonta murtaa salasanoja, jotka koostuvat useista numeroista, kirjaimista ja symboleista. LastPass luo erilaiset salasanat kullekin sovellukselle tai verkkosivustolle, ja se toimii paikallisesti Windows-, Mac- tai Linus-tietokoneellasi tai iOS- tai Android-laitteellasi. Työkalun luomia salasanoja ei lähetetä verkossa.
LastPass.com – Kuinka se toimii
Virusten ja haittaohjelmien torjuntaohjelmistot
Saatavilla on useita laajalti arvostettuja kyberturvallisuusratkaisuja, mukaan lukien Malwarebytes ja Bitdefender. Näillä ohjelmilla on ilmaisia versioita, mutta kiristä tietoturvaa tekemällä pieni sijoitus maksettuihin versioihin.
Bitdefender.com – Kotisivu
Palataan nyt Google Authenticatoriin ja kaksivaiheiseen todennukseen.
Kaksitekijäinen todennus
Kaksitekijäinen todennus – joka tunnetaan myös nimellä 2FA – on kuin toinen salasana verkkotileillesi.
Ilman 2FA: ta syötät vain käyttäjänimesi ja salasanasi, ja verkkosivusto tai sovellus antaa sinulle pääsyn. Salasana on yksi todentamistekijä.
2FA lisää ylimääräisen vaiheen kirjautumisprosessiin. Se edellyttää, että sinulla on kaksi kolmesta tunnistetyypistä, ennen kuin päästät sinut tiliisi. Tämäntyyppiset valtakirjat ovat:
- jotain mitä sinulla on, kuten pankkiautomaattikortti, puhelin tai fob
- jotain mitä tiedät, kuten kuvio tai henkilötunnus (PIN)
- jotain olet, kuten biometrinen tunniste kuten sormenjälki
2FA: ta on kahta päätyyppiä. Yleisimmän tyypin, Time-based One-time Password (TOTP), edustaa Google Authenticator, kaikkien 2FA-sovellusten isoisä. Toinen tyyppi, josta keskustellaan myöhemmin artikkelissa, on Universal Second Factor (U2F).
Ja… on olemassa kahdenlaisia kertaluonteisia salasanoja:
- SMS-kertakäyttöiset salasanat
- Sovellus loi kertaluonteiset salasanat
Varmasti aikapohjaiset kertasalasanaohjelmat, kuten Google Authenticator, ovat paljon turvallisempia. Tällaisilla sovelluksilla puhelinsovelluksesi luo kertakoodin. Sitten käytät kyseistä koodia sisäänkirjautumisen viimeistelyyn.
Google Authenticator varmistaa, että olet se, jonka sanot olevasi, salaisuuden perusteella, jonka sinä ja palveluntarjoaja jakat verkossa. Kun kirjaudut verkkosivustolle, laite luo koodin nykyisen ajan ja jaetun salaisuuden perusteella. Suorita verkkosivustosi sisäänkirjautuminen kirjoittamalla tämä koodi manuaalisesti sivustolle ennen sen vanhenemista..
Play.Google.com – – Sovelluskauppa
Joten miten palvelin tietää, kuinka päästää sinut sisään? Se luo saman koodin kuin sinulla, jotta se voi tarkistaa koodisi. Koska sekä sinä että sivusto, johon yrität kirjautua, sinulla on salaisuus ja pyyntö samaan aikaan (ts. Käytät samoja syöttökertoimia), luot molemmat saman hashin.
Ongelmia Google Authenticatorissa
Ensin sinun on syötettävä koodi manuaalisesti sisäänkirjautumisen yhteydessä, lisäämällä uusi vaihe kirjautumisprosessiin. Sinun on myös tehtävä lisätoimenpiteitä varmuuskopioida salaisuus. Mutta palvelut tarjoavat usein varakoodeja sen sijaan, että vaatisivat salaisuuden tallentamista. Jos kirjaudut sisään jollakin näistä koodeista, joudut käymään läpi koko rekisteröintiprosessin uudestaan.
Nämä varmuuskopiokoodit lähetetään verkossa, mikä on yksi turvallisuuden heikkouksista. Jos hakkereilla on pääsy yrityksen salasanoihin ja salaisuustietokantaan, he voivat käyttää kaikkia tilejä. Valitettavasti ei ole pulaa tarinoista verkkosivustoista ja jopa hyvämaineisista kryptovaluutanvaihdoista, jotka on hakkeroitu.
Toinen epävarma alue on itse salaisuus, joka näkyy yksinkertaisena tekstinä tai QR-koodina, ei hashina tai salaussuolana. Siksi yrityksen palvelimet tallentavat salaisuuden todennäköisesti tekstimuodossa. Koska palveluntarjoajan on annettava sinulle luotu salaisuus rekisteröinnin aikana, salaisuus voidaan paljastaa tuolloin.
Google Authenticator -vaihtoehdot: Yubikey ja Trezor Model T
Toinen kahden tekijän todennuksen tyyppi: Universal Second Factor (U2F)
Universal Second Factor on universaali standardi fyysisten todennustunnusten luomiseen, jotka voivat toimia minkä tahansa palvelun kanssa. U2F: n ovat luoneet tekniset jättiläiset, mukaan lukien Google ja Microsoft, TOPT: n haavoittuvuuksien korjaamiseksi. On melko ironista, että Google ei poistanut vanhaa sovellustaan, Google Authenticatoria, autettuaan luomaan U2F: ää.
Yubico.com – Kotisivu
Jos olet kuullut Yubikey—Fyysinen USB-avain, jonka avulla voit kirjautua sisään LastPass, artikkelin alussa käsitelty salasananluontityökalu sekä jotkut muut palvelut – ymmärrät U2F: n käsitteen. Toisin kuin tavallinen Yubikey U2F on yleinen standardi.
U2F: n avulla palvelin lähettää haasteen, ja yksityinen avain (salaisuus) allekirjoittaa sen. Palvelin voi vahvistaa viestin käyttämällä tietokannassaan olevaa julkista avainta.
Kaikki Yubikeys verrattuna
YubiKey 5Ci
- Paras Mac-käyttäjille
- USB-C- ja Lightning-liitin
- Veden- ja murskautumaton
YubiKey 5C
- Paras Mac-käyttäjille
- USB-C-liitin
- Voit säästää 20 dollaria, jos et tarvitse salamaliitintä
Suojausavain NFC
- Paras muille kuin LastPass-käyttäjille
- 5 NFC: n budjettiversio
- Paras käyttäjille, jotka eivät voi kuluttaa paljon
YubiKey FIPS -sarja
- Paras liittovaltion työntekijöille ja urakoitsijoille
- Täytä korkein todentajan varmuusaste viimeisimmän FIPS-ohjauksen avulla
- On saatavana kaikissa versioissa, jotka YubiKey on
U2F: n edut
U2F: n käytöstä on monia etuja. Tässä on muutama:
- Yksityisyys: U2F: n avulla yksityistä avainta ei koskaan lähetetä kyberavaruuteen, joten voit nauttia yhdestä verkon halutuimmista tiloista: todellisesta yksityisyydestä. Julkisen avaimen salauksen ansiosta sinun ei tarvitse huolehtia luottamuksellisten tietojen jakamisesta.
- Rautapäällysteinen turvallisuus: 2FA, joka käyttää julkisen avaimen salausta, suojaa istunnon kaappaukselta, tietojenkalastelu, ja erilaisia haittaohjelmia. Koska U2F ei luota palveluntarjoajan tietokantaan tallennettuun jaettuun salaisuuteen, hyökkääjä ei voi varastaa koko tietokantaa päästäksesi käyttäjän tilille. Sen sijaan hänen on käytävä aikaa vievää ja kallista tapaa kohdistaa yksittäinen käyttäjä ja varastaa heidän laitteistonsa henkilökohtaisesti.
- Helppokäyttöinen: U2F-laitteet toimivat heti alusta alkaen yleisesti saatavilla olevien selainten ja alustojen tuen ansiosta; kirjoitettavia koodeja tai asennettavia ohjaimia ei ole.
- Kustannustehokas: Asiakkaat voivat valita useista laitteista eri hintapisteillä, jotka kaikki ovat yllättävän edullisia, ottaen huomioon heidän huipputeknologiansa.
U2F: n haitat
U2F: n tärkein etu on myös sen suuri haittapuoli. U2F: n avulla voit usein varmuuskopioida salaisuuden, joka tunnetaan myös nimellä yksityinen avain. Tämä tarkoittaa, että olet vastuussa omasta turvallisuudestasi. Jos kadotat yksityisen avaimen, kukaan ei voi palauttaa sitä sinulle. Sinun ei kuitenkaan tarvitse luottaa kenenkään yrityksen suojaamaan yksityistä avainta.
Trezor ja Yubikey – U2F oikein
Onneksi on olemassa tapa nauttia U2F: n vahvistuksesta ilman kipua käyttämällä Trezor. Trezor luotiin alun perin yksityisten avainten tallentamiseen ja eristetyksi laskentaympäristöksi. Vaikka se toimii edelleen erinomaisesti alkuperäisessä roolissaan turvallisena Bitcoin-laitteistona lompakko, Trezoria voidaan nyt käyttää monin tavoin laajalti sovellettavan yksityisen / julkisen avaimen (epäsymmetrisen) salauksen ansiosta.
Trezor.io – Suojaa kaksivaiheinen todennus Trezorilla
Tärkein näistä laajennetuista käyttötavoista on Trezorin toiminta laitteiston suojaustunnuksena U2F: lle. Toisin kuin muut U2F-tuotteet, Trezor tarjoaa varmuuskopiointi- ja palautustoimintoja sekä mukavuutta.
Kuinka U2F toimii Trezorin kanssa
Kun kirjaudut verkkosivustolle, aloitat todennuksen yleensä käyttäjänimelläsi ja salasanallasi. Noudatat tätä menettelyä Trezorin ja U2F: n kanssa, mutta sen jälkeen otat toisen helpon ja kivuttoman vaiheen: vahvistat kirjautumistunnuksesi napsauttamalla Trezor-laitettasi.
Kun asetat Trezor-laitteesi alun perin, varmuuskopioit palautussiemenet. Tämä siemen edustaa kaikkia Trezorin luomia salaisuuksia / yksityisiä avaimia, ja sitä voidaan käyttää laitteiston lompakon palauttamiseen milloin tahansa. Palautussiementin varmuuskopiointi on kertaluonteinen prosessi, ja se tallentaa rajoittamattoman määrän U2F-identiteettejä.
Trezor.io – ominaisuudet
Siemeniä säilytetään turvallisesti Trezorissa. Koska se ei koskaan jätä laitetta, yksityinen avain on immuuni viruksille ja hakkereille.
Trezor tarjoaa myös tietojenkalastelusuojauksen näytön vahvistuksella. Verkkorikollisten kehittyessä edelleen, heidän asettamansa tietojenkalastelusivustot muistuttavat läheisesti alkuperäisiä sivustoja. Näyttämällä aina kirjautuneen verkkosivuston URL-osoitteen ja ilmoittamalla tarkalleen, mitä aiot valtuuttaa, Trezor suojaa sinua tietojenkalasteluyrityksiltä. Voit tarkistaa, että laitteeseen lähetetty on odotettua.
Trezor-malli T – tekniset tiedot
Voit tilata Trezor Yksi täällä tai Trezor-malli T täällä.
Tietoja Trezorista
Perustaja SatoshiLabs vuonna 2014, aloittelijoille ystävällinen Trezor Yksi on laitteistolompakoiden kultastandardi. Se tarjoaa vertaansa vailla olevan suojauksen kryptovaluutoille ja salasanojen hallinnalle ja toimii toisena tekijänä kaksitekijän todennuksessa. Nämä ominaisuudet yhdistyvät käyttäjäystävälliseen käyttöliittymään, jossa jopa aloittelijat voivat navigoida helposti. Salasanan syöttö ja laitteen palautus ovat turvallisesti saatavilla tietokoneen tai modeemin kautta.
Trezor.io – Kotisivu>
Palkkio Trezor-malli T. on seuraavan sukupolven laitteistolompakko. Kuten Trezor One, malli T soveltuu aloittelijoille ja hienostuneille sijoittajille. Se säilyttää Trezor Onen edut, mutta tarjoaa tyylikkään ja intuitiivisen käyttöliittymän parantamaan käyttökokemusta ja turvallisuutta. Siinä on kosketusnäyttö, nopeampi prosessori ja edistyksellinen kolikoiden tuki. Salasanan syöttö ja laitteen palautus ovat saatavilla suoraan Trezor Model T -laitteellasi.
VERTAILU
Blockstream Jade
- NÄYTTÖ:
- Vapautettu: 2021
- HINTA: 40 dollaria
Trezor-malli T.
- NÄYTTÖ:
- Vapautettu: 2018
- HINTA: 159 dollaria
- KOSKETUSNÄYTTÖ:
Trezor Yksi
- NÄYTTÖ:
- Vapautettu: 2013
- HINTA: 59 dollaria
Johtopäätös
Kryptovaluutta-sijoittajille turvallisuus on ensisijainen huolenaihe. Ei ole mitään syytä sijoittaa aikaa ja rahaa salauksen oppimiseen ja salaussalkun kasvattamiseen, ellet suojaa kyseisiä varoja. Salausvaluutan edut ovat suuria, mutta niin ovat myös riskit.
Jos et ole vielä tehnyt niin, kytke tietovuodot, kuten heikot salasanat, suojaamattomat tietokoneet ja matkapuhelimet. Kun olet ratkaissut nämä ongelmat, voit harkita kahden tekijän todennuksen (2FA) käyttöä. Vaikka on houkuttelevaa käyttää ilmaisia, laajalti saatavilla olevia menetelmiä, kuten Google Authenticator, suojaamaan salausvaluuttasi, Authenticatorilla on haavoittuvuutensa ja haittansa..
Toinen 2FA-tyyppi, Universal Second Factor (U2F), on turvallisempi kuin Google Authenticator. Trezorin Universal Second Factor -laitteen turvallinen laitteistoturvakoodi tarjoaa paljon enemmän ominaisuuksia ja suojausta kuin Authenticator. Salausmaailmassa on kyse turvallisuudesta. Muista: olet oma pankkisi!
Koska sinä salaussijoittajana otat enemmän vastuuta tietoturvasta kuin perinteinen sijoittaja, sijoita parhaaseen tietoturvaratkaisuun. Varmista itsellesi joko Trezor One tai Trezor Model T tänään.
UKK
Mikä on YubiKeyn käyttö?
Yubikeyä käytetään verkkotunnusten todentamiseen. Se voidaan kytkeä tietokoneeseen tai puhelimeen.
Mihin LastPassia käytetään?
LastPass on salasanojen hallinta, joka tallentaa kaikki salasanasi yhteen paikkaan. Tätä kutsutaan holviksi, jonka kautta LastPass muistaa salasanasi puolestasi.
Miksi tekstiviestit ovat vaarallisia??
Kahden tekijän tekstiviesti on vaarallinen, koska hakkereiden on helppo kaapata tekstiviestisi SIM-vaihdon kautta.
Entä jos salasananhallinta hakkeroidaan?
Jos hakkerit saavat kaikki salasananhallinnalla olevat tiedot, heidän on silti kokeiltava kaikkia mahdollisia salasanoja tietojesi selvittämiseksi, toimivatko ne, koska hakkerit näkevät vain joukon salattuja salasanoja.
Onko Trezor-malli T turvallinen?
Jos hyvin motivoitunut ja erittäin ammattitaitoinen hyökkääjä saisi fyysisesti Trezor-mallisi T, kolikkosi eivät välttämättä ole turvallisia. Tätä hyökkäystä ei kuitenkaan ole koskaan tehty laboratorion ulkopuolella, joten uhka on vähäinen. Lähes kaikissa tapauksissa Trezor-malli T pitää kolikot erittäin turvallisina.
Mikä on parempi – Trezor tai Ledger?
Ledger on turvallisempi, jos lompakkosi löytyy, mutta Trezorissa ei ole bluetoothia, mikä vähentää laitteesi etähyökkäyksen riskiä. Trezorilla on myös enemmän ominaisuuksia ja parempi näyttö, jos teet mallin T kanssa.