Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Autentificarea în doi pași: Ce este – și de ce aveți nevoie de ea?

2016-04-05

De-a lungul ultimilor doi ani, multe servicii online au început să ofere “autentificarea în doi pași” – o măsură suplimentară de securitate, care necesită adesea un cod dintr-o aplicație sau un SMS, precum și o parolă.

Pentru utilizatorii de PC-uri care sunt deja obosiți să-și amintească zeci de parole, acest lucru ar putea părea ca ultimul lucru de care au nevoie – dar poate însemna diferența dintre a fi o victimă a infractorilor cibernetici și a fi în siguranță.

Twitter, Google, LinkedIn și Dropbox, precum și multe altele oferă acum serviciul, ca o garanție opțională “extra” add-on.

Twitter și LinkedIn au adăugat sistemul după un hack la nivel înalt – și alte site-uri, cum ar fi Evernote au adăugat sisteme în cursul anului trecut, după cum a prezentat We Live Security .

Sistemele variază dar, de obicei, implică fie un mesaj SMS automat sau o aplicație care generează coduri. După ce introduceți parola, vi se va cere codul – sau, în unele cazuri, veți utiliza o aplicație (separat de navigator) pentru a introduce codul.

Un clip video realizat de ESET explică ce este autentificarea în doi pași și cum funcționează, aici.

Sistemele de autentificare în doi pași sunt mult mai sigure decât parolele – multe hack-uri de nivel înalt, cum ar fi cele împotriva conturilor de Twitter ale organizațiilor mass-media de anul trecut, nu s-ar fi întâmplat în cazul în care un sistem de autentificare în doi pași ar fi fost în vigoare. Chiar dacă un hacker plasează un cod malware pe un PC și fură o parolă, acesta este încă blocat.

Dar este important să ne amintim că nu există nici un sistem protejat 100% – autentificarea în doi pași este mai bună decât parolele și mai simplă decât elementele biometrice integrate, dar hackerii pot face și găsi modalități în jurul lor.

Ceea ce sistemele asigură este faptul că hackerii trebuie să lucreze mult mai mult– de exemplu, un atac recent împotriva World of Warcraft a implicat infractori care au construit o replică falsă a popularului site Curse, unde fiecare descărcare conținea un cod malware, după cum a fost relatat de We Live Security, aici. Cu alte cuvinte, “munca” este mult mai dificilă pentru infractori – dar este o veste bună.

ESET Senior Research Fellow, David Harley relatează: “Faptul trist constă în faptul că parolele statice sunt o soluție ieftină, dar în mod conceptual sunt o soluție nesatisfăcătoare la o problemă foarte dificilă, mai ales în cazul în care acestea nu sunt protejate prin tehnici suplimentare. Parole cu un singur factor de autentificare și token-urile sunt mult mai sigure, mai ales atunci când sunt implementate în hardware, ca o măsură de autentificare în doi pași.”

Cum pot să activez sistemul?

Multe site-uri –  inclusiv Twitter, Gmail și Dropbox – oferă deja sisteme în doi pași, gratuit, deși trebuie activate manual de dvs. – pot fi de obicei găsite în secțiunile Setări sau Confidențialitate și cele mai multe site-uri îți explică procesul. Merită să activați acest sistem dacă păstrați informații sensibile pe aceste conturi – și în special în cazul în care stocați informații comerciale sensibile. Autentificarea în doi pași face mult mai dificilă – deși nu este 100% sigură – pătrunderea infractorilor cibernetici în conturile asociate site-urilor precum Twitter și Dropbox. În prezent însă, sistemul este “opt-in” – trebuie să mergeți la setări și să adăugați metoda de autentificare manual.

Am nevoie pe fiecare site?

Răspuns scurt – nu. În mod ideal, ar trebui să utilizați acest tip de autentificare pentru conturile dvs. cele mai valoroase, pe care nu vi le permiteți să fie compromise în niciun caz. Cei mai mulți utilizatori de calculatoare au credențiale pentru zeci sau chiar sute de site-uri – dacă adresă de e-mail este folosită pentru înregistrarea pe un site pe care veți intra o singură dată, autentificarea în doi pași nu este relevantă dacă nu folosiți site-ul în mod frecvent.

Este 100% sigur?

Nu – dar este un strat suplimentar util de protecție care te transformă într-o țintă mai mică pentru infractorii cibernetici. Unele secvențe malware – cum ar fi Hesperbot – este construit pentru “a trece peste” astfel de sisteme, păcălind utilizatorii să descarce o aplicație falsă în loc de cea reală, dar în cele mai multe cazuri, sistemele de autentificare în doi pași oferă un strat suplimentar de protecție a consumatorilor sau a afacerii.

Poate un utilizator web mediu beneficia cu adevărat de acest sistem?

Da. Pe Dropbox în special, multe familii stochează cantități uriașe de informații valoroase – și nu utilizează securitate opțională cu doi factori. Este disponibilă – utilizați-o. Dacă utilizați Facebook, Twitter și LinkedIn pentru job-ul dvs., ar fi bine să utilizați acest sistem – dacă sunteți deturnați, reputația dvs. ar putea fi deteriorată.

Ar putea ajuta afacerea mea de dimensiuni reduse?

Răspuns scurt – da. Un raport recent a constatat că două treimi din companiile care au permis “să se lucreze de la domiciliu”, nu au reușit să asigure un acces securizat la rețelele companiilor, expunând informațiile private ale companiei. Sistemele de autentificare în doi pași pot ajuta întreprinderile mici, permițând lucrul de acasă – reducând costurile generale, cum ar fi spațiul birourilor.

 

ROB WAUGH
CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *