W walce o ochronę naszych danych hasła są pierwszą linią obrony. Niestety hasła są trudne do zarządzania.
Mówi się nam, by nie używać tych samych haseł w kółko, a my zniechęcamy do używania tych, które są łatwe do odgadnięcia, ale skomplikowane hasła, które strony internetowe i menedżerowie IT wolą - i często wymagają - są trudne do zapamiętania. Wiele osób nadal używa haseł, które są zbyt proste: pomóż Net Security w analizie 32 milionów złamanych haseł, że prawie połowa z nich była banalnie łatwa do odgadnięcia.
Powiązane linki• Czy hasła są naszą najlepszą opcją bezpieczeństwa?
• Zabezpiecz swoje dane, przestrzegając przykazań dotyczących hasła
Menedżery haseł wbudowane w przeglądarki i wtyczki typu master-password, takie jak RoboForm LastPass i Siber Systems, umożliwiają logowanie do wielu sieci i stron internetowych za pomocą jednego silnego hasła, ale programy wymagają przechowywania haseł w centralnym repozytorium online. Nawet jeśli repozytorium jest bezpieczne, dodaje kolejny potencjalny punkt dostępu dla hakerów.
(W blogu CNET Security, Lance Whitney opisuje ostatnie naruszenie danych w LastPass, które wydaje się być szybko zawężane przez firmę).
Tradycyjne, dwuskładnikowe systemy uwierzytelniania wymagają oddzielnego tokena sprzętowego, który podłączasz do komputera w celu aktywacji - tak jakbyśmy nie mieli jeszcze zbyt wielu urządzeń do śledzenia w naszym cyfrowym życiu. Google i Facebook umożliwiają teraz korzystanie z telefonu komórkowego jako urządzenia uwierzytelniającego.
Skomplikowana weryfikacja dwuetapowa Google
Zabezpieczenie mojego konta Google dwuetapowym procesem weryfikacji usługi zajęło około 30 minut - i kilka więcej niż dwa kroki. Otwórz ustawienia swojego konta i kliknij "Korzystanie z weryfikacji dwuetapowej" w sekcji Bezpieczeństwo w ustawieniach osobistych. Wybierz przycisk "Skonfiguruj weryfikację dwuetapową" w wyświetlonym oknie dialogowym, aby wybrać metodę, dzięki której odbierzesz kody weryfikacyjne.
Po zweryfikowaniu numeru telefonu, który wybrałeś, możesz wybrać metodę tworzenia kopii zapasowej. Usługa wygeneruje serię kodów zapasowych, które zostaną wydrukowane i będą używane, gdy zarejestrowany telefon nie będzie dostępny. Po potwierdzeniu wydrukowania kodów zapasowych zostaniesz poproszony o zarejestrowanie telefonu zapasowego.
Jeśli używasz aplikacji powiązanych z kontem Google, ale nie obsługujesz autoryzacji dwuetapowej, pojawi się prośba o utworzenie haseł specjalnie dla tych aplikacji, które musisz wprowadzić tylko raz. Po wykonaniu tego kroku zostanie wyświetlony monit o sprawdzenie ustawień i aktywowanie usługi, która wyloguje Cię z konta na wszystkich urządzeniach.
Po ponownym zalogowaniu się na konto zostaniesz poproszony o wpisanie kodu weryfikacyjnego, który został wysłany pod podany numer, za pośrednictwem wiadomości tekstowej lub połączenia głosowego. Otrzymałem kod za pomocą tekstu na mój numer Google Voice w ciągu kilku sekund. Możesz wybrać opcję zachowania autoryzacji przez następne 30 dni.
Aby przejrzeć ustawienia autoryzacji lub wyłączyć tę funkcję, wróć do ustawień konta, kliknij "Weryfikacja dwuetapowa" i wprowadź wymagane zmiany.
Prostsze podejście Facebooka do jednorazowych haseł
Po tym, jak przeskoczyłem tę długą serię obręczy, aby chronić swoje konto Google, odkryłem, że podejście Facebooka zapewnia odświeżanie prostych loginów, ale działa tylko w USA. Pierwszą opcją jest napisanie "otp" na 32665 w celu otrzymania tymczasowego hasła na telefonie komórkowym powiązanym z Twoim kontem na Facebooku. Hasło działa tylko raz i wygasa po 20 minutach.
Możesz również uniemożliwić dostęp do swojego konta z nieautoryzowanych komputerów i urządzeń. Rozpocznij, otwierając Ustawienia konta w menu rozwijanym Konto i wybierając Zabezpieczenia konta. Zaznacz opcję w obszarze Zatwierdzenia logowania i kliknij Zapisz.
Inne opcje zabezpieczeń konta umożliwiają aktywację bezpiecznego przeglądania (https), otrzymywanie wiadomości tekstowych lub e-mail za każdym razem, gdy nierozpoznany komputer lub urządzenie próbuje uzyskać dostęp do konta, przeglądać ostatnią aktywność na koncie i zdalnie wylogowywać się z aktywnych kont.
Ograniczenia autoryzacji dwuczynnikowej mobilnej
Żadna technika zabezpieczenia danych nie jest w 100 procentach skuteczna sama w sobie. Korzystanie z telefonu komórkowego w ramach procesu autoryzacji dwuskładnikowej pozostawia Cię podatnym na ataki typu "pośrednik", w których zły facet przekierowuje Cię do fałszywej witryny wyglądającej jak prawdziwa i przekazuje twoje dane logowania do legalna strona.
Te informacje służą do wysyłania prawdziwego kodu autoryzacji witryny. Po złapaniu kodu złoczyńca ma nieskrępowany dostęp do Twojego konta. Jedynym sposobem, aby zapobiec takiemu atakowi, jest używanie aktualnej ochrony przed złośliwym oprogramowaniem w czasie rzeczywistym i regularne skanowanie systemu w poszukiwaniu wirusów. Trzymanie kciuków nie zaszkodzi - chociaż spowolni pisanie.
Zostaw Swój Komentarz