Haupt Software Erleichtern Sie die Zwei-Faktor-Authentifizierung mit einer App
Software

Erleichtern Sie die Zwei-Faktor-Authentifizierung mit einer App

VonGlenn Fleischmann,Leitender Mitarbeiter, 29.10.2014 20:03 PDT

Ich habe in meinen ersten Kolumnen hier bei Private I die Zwei-Faktor-Authentifizierung (2FA) oder die Zwei-Schritt-Verifizierung betont, weil ich glaube, dass die meisten Leute diesen zusätzlichen Schutz für ihre Konten aufgrund der Aufregung und der Verwaltung vermeiden und möglicherweise denken, dass sie dadurch vom Zugriff ausgeschlossen werden oder einen zusätzlichen Schritt erfordern, wenn dies nicht erforderlich ist.

Aber 2FA ist kein Hindernislauf mit bodenlosen Gruben. Es ist eher eine Grippeimpfung. Wenn Sie sich nicht krank fühlen und keine Angst haben, krank zu werden, können Sie die Impfung überspringen. Das tut dir sehr gut, wenn du zwei Wochen lang mit Fieber und einer der Belastungen, die von der aktuellen Impfung abgedeckt werden, eingesperrt bist – und alle deine Kollegen angesteckt hast.

Ebenso wie bei Backups fühlt sich die Vorsichtsmaßnahme überhaupt nicht gut an – nur wenn Sie Ihr Konto hätten knacken lassen können und es nicht getan haben, spüren Sie die süße Erleichterung. Wenn Sie eine Reihe von Nachrichten zum Zurücksetzen des Passworts erhalten, in der Gewissheit, dass ohne diesen zweiten Faktor niemand in Ihr Konto gelangen kann? Wenn Sie von einer Flut von Passwort-Cracks hören und nicht betroffen sind? Es ist ein Balsam.



So ändern Sie Start-Apps auf dem Mac

Moderne 2FA-Systeme, die sich an Verbraucher und kleine Unternehmen richten, und viele für Unternehmen, vermeiden die Verwendung von Schlüsselanhängern und anderen Hardwareschlüsseln – diese Doodads mit sich herumschleppen zu müssen, ist sicherlich ein Grund, warum Leute 2FA in der Vergangenheit vermieden haben. Unter anderem brauchten Sie normalerweise eine pro Website oder Firma! Ich habe immer noch eBay/PayPal- und Aktienhandels-Doohickeys, und obwohl ich sie nicht verloren habe, muss ich sie im Auge behalten und sicher aufbewahren. Stattdessen erfordern die meisten Dienste die Verwendung einer Authentifizierungs-App, die einen Code mit eingeschränkter Verwendung erstellt, oder bieten sie als Option an.

Apps übertrumpfen SMS

Google bot eine der ersten weit verbreiteten Apps dieser Art an, Google Authenticator , um es durchschnittlichen Menschen zu ermöglichen, 2FA zu nutzen, ohne sich auf die SMS-Übertragung zu verlassen. SMS gilt nicht als sehr sicher: Es gibt eine Reihe von Möglichkeiten für Personen oder Institutionen, SMS abzufangen, sei es drahtlos oder über zentrale Systeme. (ICH

Die App von DuoSec kann sowohl Sicherheitstokens mit dem weit verbreiteten Protokoll von Google generieren als auch direkte Authentifizierungsnachrichten mit seinem eigenen System weitergeben.

Diese Risiken sind für die meisten (nicht alle) von uns minimal oder nicht vorhanden, aber SMS hat viele Grenzen und Macken. Ich habe manchmal gesehen, dass Nachrichten 30 Minuten, nachdem ein Dienst sie anscheinend gesendet hat, oder nie angezeigt wurden. Wenn Sie außerhalb Ihres Heimatlandes oder Ihrer Mobilfunkregion reisen, zahlen Sie möglicherweise ein kleines Vermögen für jede SMS oder können überhaupt keine SMS empfangen. Vielleicht sind Sie irgendwo auf dem Land mit Internet-Service und ohne Mobilfunknetz, was mir im Urlaub überraschend oft passiert ist. Authentifizierungs-Apps sind aus all diesen Gründen eine gute Alternative.

Jede Site scheint ein anderes Verfahren zum Einrichten von 2FA mit einer Authentifizierungs-App zu haben, und viele Sites bieten die Wahl zwischen einem App-basierten Code oder SMS. Manche erlauben beides. Twitter ist der eine Sonderling, der entweder die Verwendung von SMS oder seiner selbst entwickelten Twitter-App anbietet, jedoch keine Apps von Drittanbietern. (Die zweistufige Verifizierung von Apple erfordert eine SMS-fähige Telefonnummer sowie vertrauenswürdige Geräte und führt die Authentifizierung mit eigenen proprietären Mitteln durch, sei es in iCloud, in iOS oder in Mac OS X.)

eine Website in der Vergangenheit ansehen

Code-Master

Google-Authentifikator, Authy, und DuoSec-Sicherheit alle unterstützen das Standard-Token-Protokoll von Google, mit dem Sie einen Seed-Schlüssel von einer Site akzeptieren können, die Sie mit einer zweistufigen Überprüfung sichern, und dann leiten die Apps einen sechsstelligen Code mit dem Schlüssel und entweder der aktuellen Uhrzeit oder einem inkrementellen Zähler ab. Nach meiner Erfahrung habe ich nur die zeitbasierten Codes gesehen, die sich alle 30 Sekunden umdrehen. Zählerstände können einmal verwendet werden; zeitbasierte Codes sind nur in einem engen Fenster gültig. (Google Authenticator ist kostenlos; Software der anderen ist für den einfachen oder persönlichen Gebrauch kostenlos, und sie verdienen ihr Geld mit Klein- und Großunternehmen.)

Auch die Facebook-eigene App kann Codes generieren.

Viele, viele Seiten unterstützen das Google-Protokoll und damit jede kompatible Authentifizierungs-App. Bekannte Unternehmen sind Amazon Web Services, Dropbox, Facebook, Hover, LastPass, Linode und Tumblr, um nur einige zu nennen.

Um den Code zu setzen, generieren Websites in der Regel einen QR-Code – ein 2D-Tag, das Informationen codiert und über das viele Witze gemacht wurden. (In Japan sind sie groß!) Aber es ist eine effiziente Möglichkeit, eine Reihe zufälliger Zeichen oder Zahlen von einem Bildschirm in ein Telefon zu übertragen. Einige Websites bieten auch den Code in ASCII-Buchstaben und -Zahlen an. (Der dargestellte Schlüssel ist 80 Bit lang.) Die Apps verlassen sich auf die Sicherheit Ihrer Geräte und haben standardmäßig keine sekundären Sicherheitsmechanismen aktiviert. Nur Authy lässt einen Passcode oder eine Touch ID zu, um die App zu sichern, aber Sie müssen dies aktivieren.

Unterschied zwischen MacBook Air und MacBook Pro

Sie melden sich mit Ihrem Passwort an, werden nach dem zweiten Faktor gefragt, starten die App und geben den entsprechenden Code ein. Auf vielen Websites können Sie, nachdem Sie eine Authentifizierungs-App eingerichtet und zur Validierung Ihrer Anmeldung verwendet haben, Browser oder Geräte entweder für immer oder für einen bestimmten Zeitraum, normalerweise 30 Tage, als vertrauenswürdig markieren. Auf den meisten Sites mit 2FA jeglicher Art können Sie alle vertrauenswürdigen Geräte oder Browser mit einem Klick in den Sicherheitseinstellungen der Site widerrufen oder abmelden, falls Sie befürchten, dass Sie kompromittiert wurden oder jemand Zugriff auf einen Computer oder ein Mobiltelefon erlangt hat, von dem Sie dachten, dass es unter Ihrem steht Steuerung. (Dies gilt unabhängig davon, ob Sie eine Authentifizierungs-App verwenden oder nicht.)

Nachteile

Das Hauptproblem bei diesen Authentifizierungs-Apps? Verlieren Sie die Schlüssel, mit denen Sie die Codes generieren können! Ich habe dies auf die harte Tour herausgefunden, nachdem ich zum ersten Mal Google Authenticator verwendet und mein Telefon wiederherstellen musste. Obwohl ich ein vollständiges Backup hatte, speichert Authenticator Schlüssel nicht auf eine Weise, die wiederhergestellt werden kann, auch nicht mit einem vollständigen iTunes-passwortgeschützten iOS-Backup. Sie müssen Ihre Schlüssel erneut eingeben.

Authy

Apps wie Authy funktionieren mit einer Reihe von Websites und sogar plattformübergreifend.

Authy verhindert dieses Problem, indem es Daten zwischen Geräten synchronisiert, die für dasselbe Konto registriert sind, und die Schlüssel und andere Einstellungen in der Cloud sichert. Dies ist praktisch und stellt ein bemerkenswert geringes zusätzliches Risiko dar, selbst wenn ihre Sicherheitsmaßnahmen irgendwie überwunden werden sollten. Weil Sie nur einen einzigen Faktor synchronisieren – ein weiterer Vorteil von 2FA. (Jemand könnte möglicherweise Ihr Authy-Passwort wiederherstellen, aber dann würde er auch eines Ihrer vertrauenswürdigen Geräte benötigen, das Sie mit einer separaten PIN oder einem Fingerabdruck schützen könnten. Die Wahrscheinlichkeit dafür ist ziemlich gering.)

Unabhängig von Authy müssen Sie sicherstellen, dass Sie über einen separaten Backup-Plan verfügen. Abhängig von dem von Ihnen verwendeten Dienst werden Ihnen ein Wiederherstellungscode, einmalige Anmeldecodes oder eine Möglichkeit zum Speichern des ursprünglichen Schlüssels angeboten. Stellen Sie sicher und verschlüsseln Sie diese, damit jemand, der Zugang zu einem Passwort oder Ihrem Computer erhält, auch nicht auf Ihre 2FA-Wiederherstellungsdetails zugreifen kann! Ich verwende Yojimbo und 1Password, die beide über starke Verschlüsselungsoptionen verfügen, und ich habe einzigartige, starke Passwörter ausgewählt.

Wenn Sie das Einschalten von 2FA aufgrund der Aufregung verzögert haben, hoffe ich, dass diese Authentifizierungs-Apps Ihnen das Vertrauen geben, einen weiteren Faktor hinzuzufügen. Es fühlt sich an, als würden Sie Ihre Medizin schlucken, aber es ist der sicherste Weg, Ihre persönliche Sicherheitsimmunität zu erhöhen – nicht perfekt, aber eine solide Verbesserung – und Ihre Konten für sich zu behalten.