您的位置:首页 >科技 >

SecurityWatch:如何不通过双因素身份验证锁定

2019-04-14 20:13:40来源:

考虑设置双因素身份验证但担心如果丢失安全密钥,您可能会失去对帐户的访问权限?安全专家Max Eddy告诉您如何在不影响数据的情况下避免这种2FA陷阱。

安全工具通常会产生一定程度的焦虑。如果丢失密码会怎样?或者如果我的防病毒软件删除了我的东西?双因素身份验证的出现为熟悉的焦虑带来了新的变化:如果我不能使用我的第二个因素并被锁定在我的账户之外会发生什么?

来自开普敦的杰里米写了一些关于2FA的担忧。我为了简洁而编辑了他的信。

亲爱的先生,

我不太技术,并且想要一个双因素身份验证设备,在设置或访问Yubikey时不会遇到棘手的复杂问题。我最担心的是将自己锁定在Gmail之外。

购买两把钥匙更好,一把钥匙作为备用钥匙吗?

此致

杰里米

如果您还没有听说过双因素身份验证或2FA,那么这就是要点:2FA是您输入密码以验证身份后所采取的第二个操作。这个想法是攻击者可能拥有您的密码,但他们没有您的安全密钥,身份验证器应用程序或SMS代码。2FA我有一个完整的理论和实践,但我不鼓励你阅读更多内容,并尽可能地启用2FA。

Jeremy对2FA的关注很好。我认识的许多精通技术和安全意识的人继续避免双因素保护,因为他们害怕被锁定,并且可能永远无法访问他们的东西。这是一个真实有效的问题。

读者,它发生在我身上

事实上,我之前被锁定在2FA保护帐户之外。不止一次。回到当天,首批提供双因素身份验证的公司之一是暴雪。魔兽世界的玩家首先获得了访问权,因为他们需要保护他们来之不易的战利品。你可能会想起人们走来走去,在LCD上显示数字变化的WoW钥匙链。暴雪后来将这种体验改进为移动应用程序,并向所有Battle.net用户推出了2FA。

作为我的偏执者,我使用特殊的暴雪认证器应用程序在我的暴雪帐户上启用了2FA。我立刻忘记了我已经这样做了,在这几个月里,我从手机上删除了应用程序并忘记了密码。幸运的是,暴雪拥有出色的客户服务。他们快活的工作人员发来的几封电子邮件让我在几天内回到了网上。不过,这仍然令人伤脑筋。我已经习惯于能够处理我自己的密码重置,而且作为该过程的一部分,必须与实际生活的人交往的想法感觉非常奇怪。

我已经习惯了这种体验,并且我已经学会了保持身份验证员的安全。我仍然设法反复被封锁在Battle.net之外,以及Steam和其他服务。

根据公司如何配置其2FA产品,您可能会发现自己不得不向后弯腰以控制您的帐户。听起来很烦人,它实际上意味着服务正在运行。如果你没有验证器,你应该跳过很多箍。如果它对你来说很容易,那对坏人来说就容易了。

乘以你的因素

幸运的是,有一种简单的方法可以防止被2FA锁定:使用多个2FA选项。如果您无法访问其他2FA选项,这些可以作为备份。例如,我在我的Google帐户中使用了YubiKey 5 NFC,但我还启用了在手机上点击验证推送通知。如果我没有我的Yubikey,我会使用它。

添加更多多因素设备确实会增加您的帐户遭受入侵的风险。现在有两种方法可以进入您的帐户,而不只是一种。我相信,不会被锁定在您帐户之外的回报大大超过了您被抢劫的极不可能的情况,而且perp会拿走您的钱包,钥匙和安全密钥,并且还会写出您的密码。

使用多个2FA设备的最佳认可来自Google,它在其Titan Key捆绑包中提供了两个密钥。这些内容专门用于与Google的高级保护系统配合使用,该系统要求您注册两个单独的安全密钥。你每天都使用一个,然后在紧急情况下把另一个拿走。因此,直接回答Jeremy的问题:为您的帐户设置两个密钥并不是一个坏主意。

不幸的是,并非所有网站都允许您注册多个多因素选项。如果是这种情况,我建议使用您认为最可靠的2FA选项。

建立你的身份验证器阿森纳

如果您选择购买多个硬件2FA密钥,我建议使用Yubico的编辑选择安全密钥(亚马逊)27.00美元或谷歌的Titan Key捆绑包。Yubico的安全密钥每个只需20美元,或两个36美元。谷歌的捆绑包售价50美元,包括两个设备:一个USB密钥和一个电池供电的蓝牙适配器。

多年来,使用2FA的最常用方法是通过短信将一次性代码发送到您的手机。您可能仍需要在银行使用此功能,因为金融机构倾向于更慢地采用新技术。有趣的是,如果您想使用任何其他2FA系统,Google仍然需要您启用短信代码。对于Jeremy的问题,这意味着当您向Google注册新的安全密钥时,您必须以SMS代码的形式启用第二个2FA选项。

另一种选择是使用Google身份验证器或类似的应用程序,例如LastPass身份验证器。这些移动应用程序每30秒生成六位数的密码。只需打开应用程序,复制代码,然后就可以了。这些作为备用2FA选项特别方便,因为即使没有移动服务或Wi-Fi,该应用也能正常工作。

如果所有这些看起来令人担忧,您可以使用我的首选方法:物理备份代码。您可能在创建帐户或注册2FA时看到过这些内容。这是一个由几个数字组成的网格,您可以使用它来代替密码和2FA令牌。它们只生成一次,如果你重新生成它们,旧的它们就被抛弃了。理想情况下,您可以将它们保存在加密文件库中,或者更好地保存在隐藏在安全位置的纸上。

在创建高级保护计划时,Google选择了多个硬件密钥,因为我上面列出的所有其他选项(包括备份代码)都可能通过精心制作的网上诱骗网页捕获。欺骗安全密钥要困难得多。