Pengesahan dua faktor, dalam bahasa mudah
Apa yang sebenarnya diberikan oleh 2FA, tiga jenis utama, dan cara memilih yang sesuai untuk setiap akaun.
Pengesahan dua faktor adalah tetapan keselamatan tunggal yang paling berkesan yang kebanyakan orang tidak gunakan. Nombor yang diterbitkan oleh Microsoft mengatakan ia menghalang lebih daripada 99% pengambilalihan akaun automatik. Namun ia mempunyai reputasi sebagai sesuatu yang menyusahkan — sebahagiannya kerana tiga jenis biasa ("kod SMS", "aplikasi pengesah", "kunci keselamatan") dibincangkan seolah-olah ia boleh ditukar ganti. Sebenarnya tidak. Ini versi praktikalnya.
Apa yang sebenarnya dilakukan oleh 2FA
Kata laluan bocor secara berterusan. Pelambakan pangkalan data, halaman pancingan data, perisian hasad pelayar, penggunaan semula kata laluan — terdapat terlalu banyak cara untuk salah satu kata laluan anda berakhir dalam hamparan seseorang. 2FA menambah pemeriksaan kedua yang terikat dengan sesuatu yang anda miliki, bukan hanya sesuatu yang anda tahu. Penyerang yang mencuri kata laluan anda juga perlu mencuri faktor kedua itu, dalam masa nyata, pada peranti yang sama — jauh lebih sukar.
SMS 2FA
Kod enam digit tiba melalui teks. Anda menaip masuk. Ia paling mudah digunakan kerana setiap telefon sudah memilikinya, dan itulah sebabnya ia adalah paras keselamatan yang boleh diterima paling rendah: cukup untuk menghentikan bot credential-stuffing, tetapi terdedah kepada serangan SIM-swap (penyerang memujuk pengendali untuk memindahkan nombor anda) dan pemintasan SMS senyap pada rangkaian yang lebih lemah.
Baik untuk: akaun bernilai rendah di mana anda lebih suka tidak memasang aplikasi lain. Forum, laman belanja, senarai mel.
Tidak baik untuk: emel, perbankan, portal kerajaan, apa-apa yang mengawal akaun lain.
Aplikasi pengesah (TOTP)
Aplikasi seperti Google Authenticator, 1Password, Bitwarden, dan Authy menjana kod enam digit baru setiap 30 saat, diperoleh daripada rahsia yang disimpan hanya pada peranti anda. Tiada SMS, tiada pengendali yang terlibat — kod berfungsi secara luar talian. Serangan pancingan data yang menangkap kata laluan anda dan satu kod masih boleh berfungsi, tetapi SIM-swap tidak lagi relevan.
Petua tetapan: apabila laman menunjukkan anda kod QR, simpan benih tekstual bersamanya (kebanyakan aplikasi pengesah mengeksportnya). Jika anda kehilangan telefon tanpa benih dan tanpa kod pemulihan, anda perlu menetapkan semula setiap akaun dari awal.
Baik untuk: hampir semuanya. Kebanyakan penyedia emel, platform sosial, bursa kripto dan alat pembangun menyokong TOTP, dan ia percuma.
Kunci keselamatan (FIDO2 / WebAuthn / passkeys)
Kunci USB atau NFC (YubiKey, Titan, baru-baru ini juga "passkeys" yang dibina ke dalam gantungan kunci iOS dan Android) yang menandatangani cabaran log masuk secara kriptografi. Yang penting, ia terikat dengan domain laman — halaman pancingan data yang kelihatan sama dengan yang sebenar tidak akan mendapat tandatangan. Ini adalah satu-satunya kaedah 2FA biasa yang mengalahkan pancingan data yang dibina dengan baik.
Baik untuk: emel utama, pengurus kata laluan, apa-apa yang anda tidak boleh kehilangan. Beli dua kunci; daftarkan kedua-duanya; simpan satu dalam laci.
Di mana nombor sementara sesuai
Nombor SMS sementara sangat baik untuk langkah pendaftaran awal, tetapi tidak sesuai untuk SMS 2FA berterusan — pada masa anda perlu menerima kod, nombor telah dikembalikan ke kolam. Amalan terbaik: daftar dengan nombor sementara, segera tetapkan TOTP dalam tetapan keselamatan akaun, dan simpan kod pemulihan di tempat yang selamat. Kemudian nombor sementara boleh hilang.
Kod pemulihan patut disebut
Hampir setiap skrin tetapan 2FA menawarkan anda senarai kod pemulihan sekali guna. Cetak atau simpan dalam pengurus kata laluan anda. Itulah cara anda boleh masuk semula jika anda kehilangan setiap peranti. Jangan langkau langkah ini — pemulihan akaun tanpa kod tersebut selalunya memerlukan dokumen identiti yang mengambil masa beberapa minggu.
Cadangan ringkas
- Emel dan pengurus kata laluan: kunci keselamatan dahulu, TOTP sebagai sandaran.
- Bank, broker, bursa: apa sahaja tahap tertinggi yang mereka tawarkan.
- Sosial, alat pembangun, SaaS kerja: TOTP.
- Forum rawak yang menuntut nombor telefon: SMS sementara, kemudian TOTP selepas pendaftaran.
Raih 10% atas setiap pesanan daripada sesiapa yang anda jemput
Tiada had, tiada tamat tempoh. Kongsi pautan anda, kutip komisen sepanjang hayat setiap akaun yang mendaftar melaluinya.
Artikel berkaitan
Bila anda tidak patut menggunakan nombor telefon sementara
Lapan kategori akaun di mana nombor sementara adalah idea buruk — kadangkala atas sebab undang-undang, kadangkala kerana anda akan mengunci diri sendiri keluar, selalunya kedua-duanya.
Menambah baki jiema.my anda dengan USDT pada TRC-20
Cara mendeposit USDT ke jiema.my, mengapa kami menggunakan TRC-20, dan cara mengelakkan tiga kesilapan biasa.
Apakah nombor SMS sementara, dan bila anda patut menggunakannya?
Penerangan mudah tentang nombor telefon bayar-per-kod — bagaimana ia berfungsi, untuk apa ia sesuai, dan di mana ia tidak sesuai.