安全工具通常会造成一定程度的焦虑。如果我丢失了密码怎么办?或者我的杀毒软件删除了我的东西?双因素认证的出现给一个熟悉的焦虑带来了新的变化:如果我不能使用我的第二个因素,并被锁定在我的账户之外,会发生什么?
来自开普敦的杰里米写了一些关于2FA的担忧。为简洁起见,我对他的信进行了编辑。
亲爱的先生,
我不太懂技术,想要一个双因素认证设备,在设置或访问Yubikey时不会遇到棘手的问题。我最害怕的就是把自己锁在我的Gmail外面。
买两把钥匙,留一把作为备用钥匙更好吗?
真诚地,
杰里米
如果您没有听说过双因素身份验证(2FA),要点如下:2FA是在输入密码后验证身份的第二个操作。这个想法是,攻击者可能有你的密码,但他们不会有你的安全密钥、验证程序或短信代码。关于2FA的整个理论和实践,我不会在这里详细介绍,但我鼓励你去了解阅读更多并尽可能启用2FA.
杰里米对2FA的担忧并不亚于其他人。我认识的许多精通技术和有安全意识的人继续避免双重保护,因为他们害怕被锁在外面,可能永远无法访问他们的东西。这是一个真实而合理的担忧。
读者,这发生在我身上
事实上,我以前也被2FA保护的账户锁住过。不止一次。回想当年,最早提供双因素认证的公司之一是暴雪。《魔兽世界》的玩家首先进入,因为他们需要保护自己辛苦赚来的战利品。你可能还记得有人拿着《魔兽世界》的钥匙链走来走去,钥匙链上的液晶显示器上显示着不断变化的数字。暴雪后来将这一体验完善为移动应用,并向所有战网用户推出了2FA。
作为一个偏执的人,我在我的暴雪账户上使用了特殊的暴雪认证应用程序启用了2FA。我立即忘记了我做过这件事,在接下来的几个月里,我从手机上删除了这个应用程序,忘记了我的密码。幸运的是,暴雪拥有出色的客户服务。几天后,我和他们快乐的员工发了几封电子邮件,就重新上网了。不过,这仍然令人伤脑筋。我已经习惯了自己处理密码重置,而在这个过程中不得不与一个活生生的人打交道的想法,感觉非常奇怪。
从那以后,我更加习惯了这种经历,我学会了更聪明地保护我的身份验证器的安全。我仍然多次被Battle.net、Steam和其他服务拒之门外。
根据公司如何配置其2FA产品,你可能会发现自己不得不竭尽全力才能重新控制你的账户。尽管这听起来很烦人,但它实际上意味着服务正在工作。你应该如果你没有验证器,就得跳过很多环节。如果这对你来说很容易,那对坏人来说也很容易。
倍增因素
幸运的是,有一个简单的方法可以防止被2FA锁定:使用多个2FA选项。这些可以作为备份,以防您无法访问不同的2FA选项。例如,我使用aYubiKey 5 NFC我的谷歌账户,但我也启用了点击手机上的验证推送通知。如果我没有Yubikey,我就用它来代替。
添加更多的多因素设备确实会增加您的帐户被泄露的风险。现在有两种方法进入你的账户,而不是只有一种。我相信,你的账户不被锁定的回报远远超过了你被抢劫,罪犯拿走了你的钱包、钥匙和安全钥匙,还让你写下密码的可能性很小的情况。
使用多个2FA设备的最佳背书来自谷歌,它在其Titan Key bundle.这些是专门为谷歌的高级保护系统而创建的,该系统要求您注册两个单独的安全密钥。你每天都用一只,另一只留着应急用。所以,直接回答杰里米的问题:在你的账户上有两把钥匙不是一个坏主意。
不幸的是,并不是所有的网站都允许你注册一个以上的多因素选项。如果是这种情况,我建议您使用您认为最可靠的2FA选项。
构建验证器库
如果您选择购买多个硬件2FA密钥,我推荐我们的编辑选择安全钥匙由Yubico设计(亚马逊售价25.00美元)(在新窗口打开)或者谷歌的Titan Key包。Yubico的安全钥匙每把只要20美元,两把36美元。谷歌的捆绑包售价50美元,包括两个设备:一个USB密钥和一个电池供电的蓝牙加密狗。
多年来,使用2FA最常见的方式是通过短信向你的手机发送一次性代码。您可能仍然需要与您的银行使用这种方式,因为金融机构采用新技术的速度往往较慢。有趣的是,如果你想使用任何其他2FA系统,谷歌仍然需要你启用SMS代码。对于Jeremy的问题,这意味着当你用谷歌注册你的新安全密钥时,你已经必须以短信代码的形式启用第二个2FA选项。
另一种选择是使用谷歌Authenticator或类似的应用程序,如LastPass身份.这些移动应用程序每30秒生成6位密码。只要打开应用程序,复制代码,就可以了。作为备份2FA选项,这款应用尤其方便,因为即使没有移动电话服务或Wi-Fi,它也能运行。
如果所有这些看起来都令人担忧,您可以使用我喜欢的方法:物理备份代码。您可能在创建帐户或注册2FA时看到过这些。这是一个由几个数字组成的网格,您可以使用它来代替密码和2FA令牌。它们只生成一次,如果你重新生成它们,旧的就会被丢弃。理想情况下,你会把它们放在一个加密的文件库中,或者更好的是放在一张纸上,藏在一个安全的地方。
当它创建高级保护程序时,谷歌选择了多个硬件键因为我上面列出的所有其他选项(包括备份代码)都有可能被一个制作精良的钓鱼页面捕获。欺骗安全密钥是多困难。
请记住,并非所有站点都支持每种验证器。例如,LastPass允许您使用安全密钥,但只能使用支持一次性密码的密钥。确定使用哪个身份验证器通常取决于所支持的选项。
双因素身份验证的第一步
说,我建议任何新的2 fa试试系统以外的安全密钥。如果您不习惯使用第二种登录工具,则更有可能使用安全密钥这样不熟悉的东西。相反,尝试使用推送通知、通过文本消息发送的代码、Duo或谷歌Authenticator(或类似的代码生成器)。它们使用的是你已经拥有的设备,所以没有进入成本。一旦你熟悉了2FA的工作原理,并开始觉得它是第二天性,你可以考虑花钱买一个安全密钥。
安全特性只有在实际使用时才有价值。所以,一定要启用2FA,但要允许自己尝试一下,找到适合自己的方法。