2단계 인증이 부족한 경우
게시 됨: 2021-01-26웹 디자이너는 끊임없이 보안 조언을 받고 있습니다. 모범 사례, 보안 허점 및 필수 패치에 대한 정보를 받습니다. 고개를 갸웃거리게 하기에 충분합니다.
물론 이것은 모두 중요하고 의미가 있습니다. 온라인 보안은 가장 큰 기업도 취약한 끊임없이 움직이는 표적입니다. 따라서 최신 개발을 따라가는 것은 우리에게 달려 있습니다.
이중 인증(2FA)은 온라인 계정을 안전하게 유지하기 위해 가장 널리 알려진 기술 중 하나입니다. 은행에서 소셜 미디어에 이르기까지 모든 곳에서 구현되고 있습니다. 또한 자신의 웹사이트에도 쉽게 설치할 수 있습니다.
2FA는 계정에 대한 무단 액세스를 차단하는 데 효과적일 수 있지만 잠재적으로 몇 가지 주요 단점도 있습니다. 최근에 나는 이것을 직접 경험했다. 다음은 무슨 일이 일어났는지, 그리고 그것이 만들어낸 혼란을 살펴봅니다.
하나의 공통 스레드를 사용하여 공급자 간 다양한 구현
다른 모든 기술과 마찬가지로 2단계 인증은 여러 가지 방법으로 구현할 수 있습니다. 사용자는 SMS 메시지, 이메일 또는 Google Authenticator와 같은 앱의 인증 코드를 통해 인증할 수 있습니다. 또한 로그인할 때마다 표시되는 신뢰할 수 있는 사진을 선택하여 피싱 사이트에 있지 않도록 할 수도 있습니다.
때때로 서비스 제공자가 귀하에게 선택권을 줄 것입니다. 그러나 꽤 자주 당신은 그들이 제공하는 방법이 무엇이든간에 붙어 있습니다. 2FA를 통해 보호하는 계정이 많을수록 이 모든 것이 더 복잡해집니다.
예를 들어 많은 장소에서 휴대전화에 SMS 메시지를 사용합니다. 그러나 다시 일부는 해당 인증 앱이 필요합니다. 여전히 다른 사람들은 다른 생각을 할 것입니다. 문제는 누가 어떤 기술을 사용하는지 추적하고 적절한 도구를 보유하고 있는지 확인하는 것입니다.
그러나 대부분의 방법에는 단일 공통점이 있는 것 같습니다. 작동하려면 모바일 장치에 의존합니다. 확실히 편리합니다. 그래도 해당 장치에 문제가 발생하면 어떻게 될까요?
고장난 전화는 혼돈으로 이어집니다
이것은 내 Android 휴대 전화의 모바일 데이터 연결이 엉망이 된 상황에서 내가 처한 상황입니다. 문자 메시지가 몇 시간 지연되거나 전혀 배달되지 않았습니다. 같은 집과 같은 네트워크에 거주하는 가족 구성원은 메시지를 잘 받았습니다. 그 결과 이것이 일종의 하드웨어 오류라고 믿게 만들었습니다.
이 곤경에서와 마찬가지로 나는 여러 가지 구제책을 시도했습니다. 여기에는 전화기를 공장 초기화하는 두려운 "핵 옵션"이 포함되었습니다. 시도해 볼 가치가 있습니다. 맞죠?
여기서 문제는 두 가지였습니다. 첫째, 문자 메시지 문제가 해결되지 않았습니다. 더 나쁜 것은 모든 다양한 계정에서 나를 로그아웃했다는 것입니다. 구글, 페이스북, 트위터 등은 모두 핵무기였다. 그게 내 정신 건강에는 더 좋을지 모르지만 일/놀이에는 그다지 좋지 않을 것입니다.
이러한 각 계정에 다시 로그인하는 것은 쉽지 않았습니다. 왜요? 물론 2FA 때문입니다.
구글은 내게 주어진 두 가지 옵션이 휴대폰에 묶여 있었기 때문에 특히 어려웠다. 그것은 나에게 문자를 보내고 싶었지만 그것은 작동하지 않을 것입니다. 그리고 그들은 또한 Google OTP 코드를 허용했습니다. 이렇게 하면 좋았을 텐데 코드에 액세스하려면 Google 계정에 로그인해야 했습니다.
해결책은 마침내 내 데스크톱 컴퓨터를 부팅하고 일시적으로 Google용 2FA를 끄는 것이 었 습니다(그들은 이것을 좋아하지 않았습니다). 다행이도 Gmail을 되찾았습니다.
더 많은 재미를 위해 다른 여러 계정에서도 비슷한 과정을 반복해야 했습니다. 아이러니하게도 SMS 인증에 의존하기 때문에 데스크탑을 통해 온라인 뱅킹에 액세스할 수 없습니다. 그러나 그러한 요구 사항이 없기 때문에 내 전화로 액세스할 수 있습니다. 생각만 해도 식은땀이 난다.
물론 내 상황이 특별한 것은 아니다. 모바일 장치에 액세스할 수 없는 사람은 누구나 쉽게 같은 배를 탈 수 있습니다.
교훈
2FA와 관련된 좌절은 가르칠 수 있는 순간으로 유용할 수 있습니다. 생계를 위해 웹사이트를 구축하는 사람들은 보안을 강화하기 위해 등을 두드리고 있습니다. 그러나 이 기술을 구현하는 것 자체가 우리 임무의 끝은 아닙니다.
대신 진지한 생각이 필요합니다. 다음은 웹 사이트에 이중 인증을 추가하기 전에 염두에 두어야 할 몇 가지 사항입니다.
2FA가 반드시 요구 사항일 필요는 없습니다.
사용자에게 2단계 인증을 사용하도록 강요하고 싶은 유혹이 있습니다. 그리고 특정 고위험 상황에서는 이것이 의미가 있습니다.
그러나 대부분의 사이트에서는 대신 엄격한 암호 요구 사항을 고려할 수 있습니다. 예를 들어 비밀 정보가 포함되지 않은 회원 사이트를 운영하는 경우 2FA는 선택 사항일 수 있습니다. 그러나 사용자에게 6개월마다 암호를 변경하도록 요청할 수 있습니다.
사용자의 번거로움이 약간 줄어들고 지원 작업이 줄어들기를 바랍니다. 그리고 접근성을 잊지 마세요. 가정에도 불구하고 모든 사람이 여러 장치에 액세스할 수 있는 것은 아닙니다.
대안 제공
유지 관리 측면에서 어려울 수 있지만 2FA의 단일 방법 이상을 제공하는 것이 유리할 수 있습니다. 사용자는 자신에게 가장 잘 맞는 맛을 선택할 수 있습니다. 또는 상황에 따라 모바일 장치를 사용할 수 없게 되면 사용 중인 항목을 변경할 수도 있습니다.
그 외에는 문제가 발생했을 때 사람들이 쉽게 연락할 수 있는 방법을 제공해야 합니다. 계정에 액세스할 수 없고 도움을 줄 사람이 없을 때 정말 답답합니다.
몇 가지 도전을 기대하십시오
모든 작업을 올바르게 수행하면서도 여전히 로그인 문제가 있는 사용자를 만날 수 있습니다. 예를 들어, 일부 2FA 구현은 일회성 백업 코드를 제공합니다. 선택한 인증 방법이 작동하지 않을 때 유용합니다.
그러나 모든 사람이 이 코드를 저장하거나 인쇄하는 데 시간을 들이지는 않을 것입니다(그렇지 않았습니다). 따라서 앞으로 발생할 불가피한 문제에 대비하는 것이 중요합니다.
2단계 인증은 유용하지만 완벽하지는 않습니다.
2FA를 좋아하는 데에는 여러 가지 이유가 있습니다. 구현이 매우 간단할 수 있으며 사용자 데이터에 대한 무단 액세스를 방지하는 데 도움이 됩니다. 그리고 다양한 방법을 사용할 수 있습니다.
하지만 단점이 없는 것은 아닙니다. 내가 알다시피, 불안정한 전화는 많은 문제를 일으킬 수 있습니다. 가장 중요한 계정에 로그인할 수 없으면 삶이 정지됩니다. 은행 계좌나 휴대전화 제공업체에 액세스할 수 없다고 상상해 보십시오.
따라서 반드시 웹사이트와 앱에 이중 인증을 추가하십시오. 그러나 미리 계획하고 사용자가 프로세스를 쉽게 수행할 수 있도록 하십시오. 더 안전한 환경을 기대할 수 있습니다. 기적을 기대하지 마십시오.