Gdzie uwierzytelnianie dwuskładnikowe nie wystarcza

Projektanci stron internetowych są nieustannie bombardowani poradami dotyczącymi bezpieczeństwa. Jesteśmy informowani o najlepszych praktykach, lukach w zabezpieczeniach i wymaganych poprawkach. To wystarczy, żeby zakręciło ci się w głowie.

Oczywiście to wszystko jest ważne i ma dobre intencje. Bezpieczeństwo w sieci to stale zmieniający się cel, na który podatni są nawet najwięksi gracze. Dlatego to od nas zależy, czy będziemy na bieżąco z najnowszymi osiągnięciami.

Uwierzytelnianie dwuskładnikowe (2FA) jest jedną z najbardziej reklamowanych technologii zapewniających bezpieczeństwo kont internetowych. Widzisz, że jest wdrażany wszędzie, od bankowości po media społecznościowe. Można go również łatwo zainstalować na własnej stronie internetowej.

Chociaż 2FA może skutecznie zapobiegać nieautoryzowanemu dostępowi do naszych kont, ma również potencjalnie poważne wady. Niedawno doświadczyłem tego na własnej skórze. Poniżej znajduje się spojrzenie na to, co się wydarzyło i bałagan, który pomogło stworzyć.

Różne implementacje u dostawców — z jednym wspólnym wątkiem

Podobnie jak w przypadku każdej innej technologii, uwierzytelnianie dwuskładnikowe można wdrożyć na wiele sposobów. Użytkownicy mogą uwierzytelniać się za pomocą wiadomości SMS, e-mail lub kodu weryfikacyjnego z aplikacji takiej jak Google Authenticator. Mogą również wybrać zaufane zdjęcie, które będzie wyświetlane przy każdym logowaniu, upewniając się, że nie znajdują się na stronie phishingowej.

Czasami usługodawca daje wybór. Ale dość często jesteś skazany na jakąkolwiek metodę, którą oferują. Im więcej kont chronisz za pomocą 2FA, tym bardziej to wszystko się komplikuje.

Na przykład wiele miejsc wykorzystuje wiadomości SMS w telefonie. Ale z drugiej strony niektórzy będą również wymagać tej aplikacji uwierzytelniającej. Jeszcze inni będą mieli inne podejście. Wyzwanie polega na próbie śledzenia, kto używa danej technologii i upewnieniu się, że masz pod ręką odpowiednie narzędzia.

Wydaje się jednak, że większość metod ma jedną wspólną cechę: opierają się na urządzeniu mobilnym. To na pewno jest wygodne. A jeśli coś się stanie z tym urządzeniem?

Awaria telefonu prowadzi do chaosu

To jest sytuacja, w której się znalazłem, ponieważ połączenie mobilnej transmisji danych na moim telefonie z Androidem zepsuło się. Wiadomości tekstowe były opóźnione o kilka godzin lub w ogóle nie były dostarczane. Członek rodziny mieszkający w tym samym domu i w tej samej sieci otrzymał swoje wiadomości w porządku. To doprowadziło mnie do wniosku, że to jakaś awaria sprzętu.

Jak to się dzieje w tej sytuacji, wypróbowałem kilka środków zaradczych. Obejmowało to przerażającą „opcję jądrową” resetowania telefonu do ustawień fabrycznych. Warto spróbować, prawda?

Problem był dwojaki. Po pierwsze, nie naprawiono problemu z wiadomościami tekstowymi. Jeszcze gorsze jest to, że wylogował mnie ze wszystkich moich różnych kont. Google, Facebook, Twitter itp. zostały zniszczone. Może to jest lepsze dla mojego zdrowia psychicznego, ale prawdopodobnie nie tak dobre dla pracy/zabawy.

Próba ponownego zalogowania się na każde z tych kont nie była taka łatwa. Czemu? Oczywiście z powodu 2FA.

Google był szczególnie trudny, ponieważ jedyne dwie opcje, które mi dał, były związane z moim telefonem. Chciał wysłać mi SMS-a – ale to nie zadziałało. Pozwolili również na kod Google Authenticator. Byłoby świetnie, ale wymagało bym zalogowania się na moje konto Google, aby, no wiesz, uzyskać dostęp do kodu.

Rozwiązaniem było w końcu uruchomić komputer stacjonarny i tymczasowo wyłączyć 2FA dla Google ( naprawdę im się to nie podobało). Słodka ulga, odzyskałem Gmaila.

Dla jeszcze większej zabawy musiałem powtórzyć podobny proces z kilkoma innymi kontami. Jak na ironię, nie mogę uzyskać dostępu do swojej bankowości internetowej za pośrednictwem komputera, ponieważ opiera się ona na weryfikacji SMS-em. Mogę się jednak do niego dostać na telefonie, bo nie ma takiego wymogu. Samo myślenie o tym wprawia mnie w zimny pot.

Oczywiście moja sytuacja nie jest wyjątkowa. Każdy, kto nie ma dostępu do swojego urządzenia mobilnego, może z łatwością znaleźć się na tej samej łodzi.

Zdobyta wiedza

Frustracje związane z 2FA mogą być przydatne jako moment, w którym można się nauczyć. Ci z nas, którzy budują witryny internetowe na życie, poklepują się po plecach w celu zwiększenia bezpieczeństwa – i słusznie. Jednak wdrożenie tej technologii samo w sobie nie jest końcem naszej misji.

Zamiast tego wymaga poważnego przemyślenia. Oto kilka rzeczy, o których należy pamiętać przed dodaniem uwierzytelniania dwuskładnikowego do swojej witryny:

2FA niekoniecznie musi być wymogiem

Kuszące jest zmuszanie użytkowników do korzystania z uwierzytelniania dwuskładnikowego. A w pewnych sytuacjach wysokiego ryzyka ma to sens.

Jednak w przypadku większości witryn możesz zamiast tego rozważyć rygorystyczne wymagania dotyczące haseł. Na przykład, jeśli prowadzisz witrynę członkowską, która nie zawiera niczego tajnego, 2FA może być opcjonalne. Ale być może prosisz użytkowników o zmianę hasła co sześć miesięcy.

Jest to nieco mniej kłopotliwe dla użytkowników i, miejmy nadzieję, mniej wsparcia dla Ciebie. I nie zapomnij o dostępności. Wbrew przypuszczeniom nie każdy ma dostęp do wielu urządzeń.

Zapewnij alternatywy

Chociaż może to być trudne z punktu widzenia konserwacji, oferowanie więcej niż jednej metody 2FA może być korzystne. Użytkownicy mogą wybrać smak, który najbardziej im odpowiada. Lub, w mgnieniu oka, mogą nawet zmienić to, z czego korzystają, jeśli ich urządzenie mobilne stanie się niedostępne.

Poza tym przynajmniej zaoferuj ludziom łatwy sposób na skontaktowanie się z Tobą, jeśli napotkają problemy. To niezwykle frustrujące, gdy nie możesz uzyskać dostępu do swojego konta i nie ma nikogo, kto mógłby Ci pomóc.

Spodziewaj się wyzwań

Można zrobić wszystko dobrze i nadal trafiać na użytkowników, którzy mają problemy z logowaniem. Na przykład niektóre implementacje 2FA oferują jednorazowe kody zapasowe. Świetnie sprawdzają się w sytuacjach, gdy wybrana metoda uwierzytelniania nie działa.

Jednak nie każdy poświęci czas na zapisanie lub wydrukowanie tych kodów (ja na pewno nie). Dlatego ważne jest, aby przygotować się na nieuniknione problemy, które się pojawią.

Uwierzytelnianie dwuskładnikowe jest pomocne, ale dalekie od doskonałości

Podsumowując, istnieje wiele powodów, aby polubić 2FA. Może być dość prosty do wdrożenia i pomaga zapobiegać nieautoryzowanemu dostępowi do danych użytkownika. Dostępnych jest wiele różnych metod.

Nie jest to jednak pozbawione wad. Jak się dowiedziałem, niepewny telefon może przysporzyć wielu problemów. Brak możliwości zalogowania się na najważniejsze konta stawia Twoje życie w martwym punkcie. Wyobraź sobie, że nie możesz uzyskać dostępu do swojego konta bankowego, a nawet dostawcy telefonu komórkowego.

Dlatego dodaj uwierzytelnianie dwuskładnikowe do swoich witryn i aplikacji. Ale planuj z wyprzedzeniem i postaraj się, aby proces był bezbolesny dla użytkowników. Możesz oczekiwać bezpieczniejszego środowiska – po prostu nie oczekuj cudów.