Mnoge online usluge nude autentifikaciju s dva faktora, što povećava sigurnost jer zahtijeva više od samo zaporke za prijavu. Postoji mnogo različitih vrsta dodatnih metoda provjere autentičnosti koje možete koristiti.
Različite usluge nude različite metode autentifikacije s dva faktora, au nekim slučajevima možete odabrati i nekoliko različitih opcija. Evo kako rade i kako se razlikuju.
Mnoge usluge omogućuju vam da se prijavite za primanje SMS poruke kad god se prijavite na svoj račun. Ta će SMS poruka sadržavati kratki jednokratni kod koji ćete morati unijeti. S ovim sustavom vaš se mobilni telefon koristi kao druga metoda provjere autentičnosti. Netko ne može samo pristupiti vašem računu ako ima zaporku - trebaju vašu zaporku i pristup telefonu ili SMS porukama.
To je prikladno jer ne morate ništa učiniti, a većina ljudi ima mobitele. Neke će usluge čak nazvati telefonski broj i imati automatizirani sustav koji govori kôd, što vam omogućuje upotrebu fononskog telefonskog broja koji ne može primati tekstne poruke.
Međutim, postoje velike poteškoće s potvrdom SMS-a. Napadači mogu koristiti SIM swap napade kako bi dobili pristup vašim sigurnim kodovima ili ih presreli zahvaljujući nedostatcima u mobilnoj mreži. Ako je moguće, preporučujemo vam da koristite SMS poruke. Međutim, SMS poruke su još uvijek sigurnije od toga da uopće ne koriste autentifikaciju s dva faktora!
Također možete imati svoje kodove koje aplikacija generira na vašem telefonu. Najpoznatija aplikacija koja to čini jest Google Autentifikator, koji Google nudi za Android i iPhone. Međutim, preferiramo Authy, što sve čini Google Autentifikator - i još mnogo toga. Unatoč imenu, te aplikacije upotrebljavaju otvoreni standard. Na primjer, u aplikaciju Google autentifikator možete dodati Microsoftove račune i mnoge druge vrste računa.
Instalirajte aplikaciju, skenirajte kôd prilikom postavljanja novog računa i ta će aplikacija generirati nove kodove približno svakih 30 sekundi. Morat ćete unijeti trenutni kôd prikazan u aplikaciji na telefonu kao i zaporku prilikom prijave na račun.
To uopće ne zahtijeva stanični signal, a "sjeme" koje aplikaciji omogućuje da generiraju one vremenski ograničene kodove pohranjuje se samo na vašem uređaju. To znači da je mnogo sigurnije, jer čak i netko tko dobije pristup vašem telefonskom broju ili presreće vaše tekstne poruke neće znati vaše kodove.
Neke usluge - na primjer, Blizzard's Battle.net Authenticator - također imaju svoje vlastite aplikacije za generiranje koda.
Tipke za fizičku provjeru autentičnosti još su jedna mogućnost koja počinje postati popularnija. Velike tvrtke iz tehnoloških i financijskih sektora kreiraju standard poznat kao U2F, a već je moguće koristiti fizički tok U2F kako bi osigurali Google, Dropbox i GitHub račune. Ovo je samo mali USB ključ koji ste stavili na vaš ključ. Kad god se želite prijaviti na svoj račun s novog računala, morat ćete umetnuti USB ključ i pritisnite gumb na njemu. To je to - nema tipkovničkih kodova. U budućnosti, ovi bi uređaji trebali raditi s NFC-om i Bluetoothom za komunikaciju s mobilnim uređajima bez USB priključaka.
Ovo rješenje funkcionira bolje od SMS potvrde i jednokratnih kodova jer se ne može presresti i neuredno. Također je jednostavnije i prikladnije za upotrebu. Na primjer, web lokacija za krađu identiteta može vam pokazati lažnu stranicu za prijavu na Google i snimiti svoj jednokratni kôd pri pokušaju prijave. Korištenje tog koda mogli bi se prijaviti na Google. No, s fizičkim ključem za autentifikaciju koji radi zajedno s vašim preglednikom, preglednik može osigurati da komunicira sa stvarnom web-lokacijom i da kôd ne može uhvatiti napadač.
Očekujte da ćete vidjeti puno više toga u budućnosti.
Neke mobilne aplikacije mogu pružiti autentifikaciju s dva faktora pomoću same aplikacije. Na primjer, Google sada nudi autentifikaciju s dva faktora bez koda ako imate instaliranu Googleovu aplikaciju na telefonu. Kad god se pokušate prijaviti na Google s drugog računala ili uređaja, samo trebate dodirnuti gumb na svom telefonu, a nije potreban kôd. Google provjerava imate li pristup svojem telefonu prije nego što se pokušate prijaviti.
Appleova potvrda u dva koraka funkcionira na sličan način, iako ne koristi aplikaciju - koristi sam operativni sustav iOS-a. Kad god se pokušate prijaviti s novog uređaja, možete primiti jednokratni kod koji se šalje registriranom uređaju, primjerice vašem iPhoneu ili iPadu. Mobilna aplikacija Twittera ima sličnu značajku koja se zove i potvrda prijave. A Google i Microsoft dodali su ovu značajku aplikacijama za pametne telefone tvrtke Google i autentičnosti tvrtke Microsoft Authenticator.
Ostale se usluge oslanjaju na vaš račun e-pošte kako bi vam autentičnu provjeru. Na primjer, ako omogućite Steam Guard, Steam će od vas zatražiti da unesete kod za jednokratnu uporabu šalju na vašu e-poštu svaki put kada se prijavite s novog računala. To barem osigurava da napadač treba zaporku za Steam račun i pristup vašem računu e-pošte kako bi dobio pristup tom računu.
Ovo nije tako sigurno kao i druge metode potvrde u dva koraka jer može lako pristupiti vašem računu e-pošte osobito ako niste upotrebljavali potvrdu u dva koraka! Izbjegnite potvrdu putem e-pošte ako možete upotrijebiti nešto jače. (Thankfully, Steam nudi autentifikaciju na temelju aplikacije na svojoj mobilnoj aplikaciji.)
Kodovi oporavka pružaju sigurnosnu mrežu u slučaju da izgubite metodu provjere autentičnosti s dva faktora. Kada postavite autentifikaciju s dva faktora, obično ćete dobiti kodove za oporavak koji biste trebali zapisati i spremati na neko sigurno mjesto.Trebat će vam ih ako ikada izgubite metodu potvrde u dva koraka.
Pobrinite se da negdje imate kopiju kodova za oporavak ako upotrebljavate autentifikaciju u dva koraka.
Nećete naći mnogo mogućnosti za svaki vaš račun. Međutim, mnoge usluge nude više metoda potvrde u dva koraka koje možete odabrati.
Postoji i mogućnost korištenja više metoda dvostrukog provjere autentičnosti. Na primjer, ako postavite aplikaciju koja generira kôd i fizički sigurnosni ključ, možete pristupiti računu putem aplikacije ako ikada izgubite fizički ključ.