Pierwszą rzeczą do rozważenia jest to, czym jest uwierzytelnianie i co robi. Najwyraźniejszym przykładem, jaki mamy, jest to, że dziś wiele firm ma metody podpisywania nowego prawa przez nasz rząd. Kiedy wykonujemy czynność „wskazywania”, to, co robimy z fizyczną kartą, kodem na klawiaturze, z elementami biometrycznymi, takimi jak odcisk palca czy tęczówka, tak naprawdę robimy naszą autentyczność, czyli w systemie, który są tam. Jak możesz sobie wyobrazić, istnieje wiele metod uwierzytelniania, które zobaczymy poniżej.
Metody uwierzytelniania
W informatyce należy pamiętać o wielu rzeczach, metody uwierzytelniania można podzielić na różne grupy:
Coś, co mamy fizycznie
Jak wspomniano wcześniej byłyby to np. karty magnetyczne, karty inteligentne, gdzie głównymi zaletami korzystania z tych systemów byłby niski koszt, oferowany przez nie wskaźnik bezpieczeństwa oraz szybkość ich użytkowania. Mają jednak również szereg wad, takich jak możliwość zgubienia lub sklonowania.
Coś, co wiemy
Najbardziej oczywistym przykładem jest hasło, jest to jeden z najczęściej używanych sposobów uwierzytelniania przez użytkowników, jego zaletą jest to, że jest łatwe do utworzenia, ale jego dużą wadą jest to, że można je ujawnić nie zdając sobie z tego sprawy. Dobra polityka haseł jest niezbędna, a pierwszą rzeczą jest zawsze: zrób słowo de idzie w siłę dla różnych zarejestrowanych przez nas usług online.
Coś, czym jesteśmy
W tej sekcji kluczem jest biometria, w naszym ludzkim ciele mamy różne „klucze”, których możemy użyć do certyfikacji siebie, takie jak oczy, odciski palców, głos, twarz, podpis czy pismo odręczne. Jednak te systemy, które na przykład stają się coraz modniejsze w telefonach komórkowych, mają wiele wad, takich jak obecnie drogie we wdrożeniu, czasami bardzo zawodne i wtedy pojawia się kwestia prywatności, dane biometryczne muszą być przechowywane w bazach danych, które uczyń nas wyjątkowymi i innymi. Producenci zazwyczaj przechowują dane biometryczne na samym urządzeniu i nie „przesyłają” ich automatycznie do chmury.
Po przyjrzeniu się różnym metodom uwierzytelniania, które można znaleźć, jasne jest, że żaden system nie jest w 100% całkowicie bezpieczny, dlatego coraz częściej stosuje się uwierzytelnianie dwuskładnikowe.
Uwierzytelnianie dwuskładnikowe – Połączenie dwóch metod uwierzytelniania
Uwierzytelnianie dwuskładnikowe łączy dwa różne typy uwierzytelniania, czyli kombinację „ coś co wiemy Z ” coś, co mamy ”. Możemy również łączyć ” coś, czym jesteśmy Z ” coś, co mamy ”. Na co dzień, gdy masz dostęp np. do poczty e-mail, portali społecznościowych lub innych usług, aby uzyskać dostęp do tej usługi, musimy użyć metody weryfikacji „coś, co wiesz”, tj. hasła.
Zdecydowana większość serwisów takich jak Google, Microsoft, Facebook, Twitter, Instagram i wiele innych korzysta z uwierzytelniania dwuskładnikowego w celu użycia hasła (coś, co znamy) oraz kodu, który otrzymujemy SMS-em lub tworzymy za pomocą naszego smartfona (mamy coś). Na przykład na forach ADSLZone mamy możliwość włączenia uwierzytelniania dwuskładnikowego za pomocą kodu wygenerowanego przez aplikację uwierzytelniającą. W niektórych przypadkach to dwuetapowe uwierzytelnianie opiera się na rozmowie telefonicznej, a w innych opiera się na tym, że jeśli mamy już urządzenie zsynchronizowane z usługą taką jak iCloud, to automatycznie wysyła powiadomienie na inne urządzenia. aby zezwolić na ten okres uruchamiania. Jeśli nie posiadamy innego urządzenia do zatwierdzenia połączenia, wyślij nam SMS z kodem,
Jak widać, w zasadzie systemy uwierzytelniania i uwierzytelniania wyglądają na bardzo bezpieczne i wymagają dwóch kroków, dlatego zaleca się ich włączenie. Jednak może to być również niepewne podczas pracy z obydwoma systemami weryfikacji. Słabością uwierzytelniania dwuskładnikowego może być lokalizacja drugiego urządzenia, w przypadku gdy drugi agent jest przez SMS lub połączenie, jeśli nasz telefon nie ma zasięgu, nie otrzyma kodu z tego powodu (a także dlatego, że Używanie SMS-ów nie jest bezpieczne ), zaleca się korzystanie z aplikacji kodeków na smartfonie.
Aplikacje uwierzytelniające na Androida i iOS
Poniższe aplikacje uwierzytelniające pozwolą nam generować tymczasowe hasła do różnych usług. Niektóre aplikacje są dostępne na Androida i iOS. Najważniejszą rzeczą, którą należy wiedzieć o tych aplikacjach, jest to, że w niektórych przypadkach „plakietka” jest przechowywana lokalnie, a zatem jeśli zresetujesz telefon do ustawień fabrycznych, stracisz go i będziesz musiał ponownie włączyć uwierzytelnianie we wszystkich częściach. o jeden, co sprawia, że usługi TOTP oparte na chmurze są wysoce zalecane, ponieważ „tokeny” będą pobierane do chmury usługi, dzięki czemu po połączeniu mamy już dostęp do uwierzytelniania drugiego poziomu.
Korzystanie z uwierzytelniania dwuskładnikowego przez SMS nie jest zalecane, ponieważ nie jest uważane za bezpieczną metodę. Zaleca się korzystanie z aplikacji uwierzytelniających, które generują hasła tymczasowe.
Zatrzask
Latch to jedna z najbardziej polecanych aplikacji, opracowana przez ElevenPaths, dział bezpieczeństwa Telefóniki, pozwala nam „blokować” różne usługi, ale także rejestrować różne usługi w naszym TOTP. Synchronizacja odbywa się w chmurze, więc jeśli zresetujemy telefon, nie stracimy dostępu do różnych usług. Za pomocą tej aplikacji możemy zarejestrować dowolną usługę w TOTP, a także możemy zarządzać „Zatrzaskiem”, jeśli którykolwiek z Twoich serwisów to obsługuje.
Zatrzask
Programista: Telefonica Digital España SLU
„Zatrzask” autorstwa ElevenPaths
Programista: Telefonica Digital Espaanaa SLU
Google Authenticator
Ta aplikacja google pozwala nam przechowywać token TOTP lokalnie w naszym terminalu, nie ma synchronizacji w chmurze, więc jeśli zresetujemy telefon, stracimy dostęp do różnych usług i będziemy musieli go ponownie włączyć.
Google Authenticator
Programista: Google LLC
Google Authenticator
Programista: Google LLC
autentyczny
Ta aplikacja pozwala nam przechowywać token TOTP w naszym terminalu, ale mamy opcjonalną synchronizację w chmurze, więc jeśli zresetujemy telefon, stracimy dostęp do różnych usług i będziemy musieli go ponownie włączyć.
Uwierzytelnianie dwuskładnikowe Twilio Authy
Programista: Authy
autentyczny
Programista: Authy Inc.
Uwierzytelnianie LastPass
Ta aplikacja pozwala nam przechowywać token TOTP w naszym terminalu, ale mamy opcjonalną synchronizację w chmurze, więc jeśli zresetujemy telefon, stracimy dostęp do różnych usług i będziemy musieli go ponownie włączyć.
Uwierzytelnianie LastPass
Programista: LogMeIn, Inc.
Do tej pory opracowaliśmy ten kompletny artykuł wyjaśniający, czym jest uwierzytelnianie dwuskładnikowe i które aplikacje uwierzytelniające są najbardziej zalecane do użytku z systemami Android i iOS.