Bez wymówek: czas włączyć uwierzytelnianie dwuetapowe

Jeśli obserwowałeś świat technologii w ciągu ostatnich kilku dni, zapoznasz się z ostatnim nieszczęściem pisarza Wired Mat Honana, który uległ dewastującemu atakowi hakerskiemu, który zniszczył jego konta iCloud, Twitter i Google i zablokował w trakcie kilku urządzeń.

W przypadku Honana atak był możliwy dzięki zhakowanym (ale publicznie dostępnym) danym osobistym, a także niepowodzeniom obsługi klienta Amazon i Apple, a nie tradycyjnemu atakowi brutalnemu lub kontaktowi ze złośliwym oprogramowaniem. Ale kluczową częścią tego, co pozwoliło atakującym na usunięcie nie tylko jego kont i urządzeń Apple, ale także jego Gmaila i Google, był fakt, że nie używał dwustopniowego uwierzytelnienia Google do ochrony swojego konta.

Historie takie jak te zawsze podkreślają znaczenie podstawowych cyfrowych środków bezpieczeństwa. Jednym z najbardziej podstawowych, ale najbardziej skutecznych kroków, które możesz podjąć, aby chronić swoje konto, jest włączenie dwóch kroków.

Czytaj dalej, aby dowiedzieć się, jak i dlaczego powinieneś to zrobić.

Co to jest uwierzytelnianie dwuetapowe?

Uwierzytelnianie dwuetapowe dodaje dodatkową warstwę bezpieczeństwa, wymagając wpisania sześciocyfrowego kodu, generowanego przez Google i wysyłanego na telefon podczas logowania na konto. Oznacza to, że nawet w przypadku złamania hasła konto powinno być nadal bezpieczne. Są szanse, że ktokolwiek próbuje z daleka włamać się na twoje konto, również nie ma twojego telefonu, więc nie może zdobyć tego dodatkowego kodu.

Możesz skonfigurować sześciocyfrowe kody weryfikacyjne, które będą wysyłane SMS-em, a jeśli jesteś użytkownikiem Androida, BlackBerry lub iPhone'a, istnieje aplikacja o nazwie Google Authenticator, której możesz użyć do natychmiastowego wygenerowania kodu. Te aplikacje działają, uzyskując dostęp do konta Google w telefonie, a następnie skanując tajny kod kreskowy na ekranie za pomocą wbudowanej kamery telefonu.

Co z urządzeniami z Androidem i niektórymi aplikacjami?

Czasami aplikacja lub urządzenie korzystające z Twojego konta Google nie może poprosić o kod weryfikacyjny lub nie jest praktyczne ani pożądane, aby poprosić o kod weryfikacyjny. Głównym przykładem są tutaj urządzenia z Androidem. Zaloguj się do jednego z włączonym uwierzytelnianiem dwuetapowym, a zamiast tego będziesz musiał użyć „hasła aplikacji”. Są to hasła, które umożliwiają dostęp do konta Google pojedynczej aplikacji lub urządzenia w dowolnym momencie. Możesz się do nich dostać, przechodząc do accounts.google.com i klikając „Bezpieczeństwo” na pasku bocznym, a następnie „Autoryzacja aplikacji i witryn”.

Tak. Ta część to ból. Ale ważne jest, aby to zrobić.

Na przykład, jeśli masz Galaxy Nexus i tablet Nexus 7, możesz utworzyć jeden dla telefonu, a drugi dla tabletu i wystarczy wprowadzić go tylko raz na urządzeniu, na którym go używasz. Jeśli z jakiegoś powodu musisz przestać mieć dostęp do konta Google, możesz po prostu nacisnąć „odwołaj” obok nazwy urządzenia. A ponieważ hasło to ma 16 znaków i może być używane tylko przez jedną aplikację lub urządzenie na raz, wszystko jest bezpiecznie wyciszone.

Nieprzewidziane wydatki

Uwierzytelnianie dwuetapowe jest dobre, ale nie jest bezbłędne - co na przykład w przypadku kradzieży telefonu? Aby upewnić się, że nie zostanie zablokowane konto w przypadku nieoczekiwanego zdarzenia, Google ma kilka sytuacji awaryjnych:

• Podczas pierwszej rejestracji w celu uwierzytelnienia dwuetapowego zostaniesz poproszony o podanie zapasowych numerów telefonów, których możesz użyć, aby uzyskać sześciocyfrowy numer weryfikacyjny na wypadek, gdyby Twój telefon podstawowy był niedysponowany.
• Otrzymasz również zestaw kodów zapasowych, z których każdy pozwala zalogować się raz. Jeśli Twój główny telefon jest niedostępny i nie możesz uzyskać dostępu do żadnego z numerów zapasowych, umożliwi to jednokrotne zalogowanie się i uporządkowanie.
• Wbrew pozorom aplikacja Google Authenticator na Androida nie wymaga do działania połączenia z Internetem. Nawet w trybie samolotowym wygeneruje działający kod weryfikacyjny.

Jak dwuetapowy mógł pomóc Mat Hona n i jak może ci pomóc

Błędy w obsłudze klienta Amazon i Apple (w połączeniu z brakiem dwustopniowego bezpieczeństwa iCloud) już zapewniły, że iPad, iPhone i Macbook Mat Honana były tosty. Jednak włączenie uwierzytelniania dwuetapowego. mógł zapisać swoje konto Google i powiązane z nim konta na Twitterze.

Załóżmy, że nie masz włączonego uwierzytelniania dwuetapowego. Jeśli chcesz spróbować odzyskać hasło (ponieważ jesteś głupi i zapomniałeś go), masz kilka opcji odzyskiwania konta. Częścią tego jest umożliwienie wysłania pomocniczego adresu e-mail na alternatywny adres e-mail, który już został powiązany, a to tylko częściowo zaciemnione na stronie odzyskiwania. W ten sposób haker dostał się na konto Mat Honana - bez dwóch kroków łatwo było odgadnąć jego adres pomocniczy m******[email protected]. Stamtąd wystarczyło wykorzystać luki w zabezpieczeniach obsługi klienta Amazon i Apple, aby przejąć to konto, a następnie wysłać wiadomość e-mail dotyczącą resetowania hasła na ten adres me.com.

Gdyby włączono uwierzytelnianie dwuetapowe, haker zobaczyłby taki komunikat, gdy próbował odzyskać hasło - natychmiastowa blokada w próbach przejęcia konta Google Honana.

Dziennikarze, zwłaszcza zajmujący się technologią, nie są normalnymi przypadkami korzystania z telefonu lub konta internetowego, więc jeśli nie rozpowszechniasz swojego nazwiska w Internecie, mniej prawdopodobne jest, że padniesz ofiarą tego rodzaju szemanów.

Niemniej jednak jest to proste i łatwe zabezpieczenie, które powinien podjąć każdy, kto ma konto Google, a zwłaszcza osoby mocno zainwestowane w ekosystem Google. W zależności od tego, jak korzystasz z Gmaila, osoba atakująca, która przejmie nad nim kontrolę, może skutecznie mieć klucze główne do Twojego cyfrowego życia. Co więcej, mogą uzyskać dostęp do wszystkich zakupów i innych treści powiązanych z Twoim kontem Google - jeśli jesteś dużym użytkownikiem Androida, może to oznaczać znaczną ilość rzeczy. Co gorsza, jeśli wyciągną wtyczkę z twojego konta, możesz stracić to wszystko.

Tak więc, pomimo drobnych, sporadycznych niedogodności, proszę włączyć uwierzytelnianie dwuetapowe na swoim koncie Google. Podziękujesz nam, gdy nikt nie zhakuje twojego gówna.