Hvad er multifaktorgodkendelse, og hvordan skal jeg bruge det?

Databrud er ved at blive almindelige i både små og store teknologivirksomheder. Det seneste offer var det australske teleselskab Optus, hvilket resulterede i uautoriseret adgang til omkring 10 millioner menneskers identitetsdata.

For at øge ofrenes elendighed udløste dette cyberangreb yderligere et væld af efterfølgende phishing- og svindelforsøg ved brug af data, der blev opnået fra dette brud.

At have strengere sikkerhedsforanstaltninger, når du logger ind, kan hjælpe med at beskytte dine konti og reducerer betydeligt sandsynligheden for mange automatiserede cyberangreb.

Multi-factor authentication (MFA) er en sikkerhedsforanstaltning, der kræver, at brugeren angiver to (også kendt som to-trins verifikation eller to-trins autentificering) eller flere identitetsbeviser for at få adgang til digitale tjenester. Dette kræver typisk en kombination af noget, brugeren kender (nål, hemmeligt spørgsmål), noget du har (kort, token) eller noget du er (fingeraftryk eller andet biometrisk).

For eksempel har det australske skattekontor for nylig strammet nogle regler for digitale tjenesteudbydere om påbudt brug af multi-faktor autentificering. Hvis du bruger visse tjenester, er du allerede bekendt med MFA.

Men ikke alle MFA-løsninger er ens, med nyere undersøgelser, der viser enkle måder at undergrave mere almindelige metoder, som bruges til at indgive cyberangreb.

Desuden foretrækker folk også forskellige MFA-muligheder afhængigt af deres behov og niveau af teknologisk viden.

Så hvad er de tilgængelige muligheder i øjeblikket, deres fordele og ulemper, og hvem er de egnede til?

Der er fire hovedmetoder til multifaktorgodkendelse

SMS :I øjeblikket den mest almindelige mulighed, der involverer en engangsadgangskode (såsom en kode), der sendes via sms. Selvom den er ret populær og nem at bruge, kan adgangskoden eller koden, der sendes til dig, ofte blive hacket af ondsindede apps på telefonen eller ved at omdirigere SMS'en til en anden telefon. Metoden fejler også, hvis din smartphone ikke har service eller er slukket.

Authenticator-baseret :En anden almindelig metode, hvor en applikation installeret på din smartphone (såsom Google Authenticator) genererer engangsadgangskoder, der er gyldige i et meget kort tidsrum, f.eks. 30 sekunder. Selvom det er mere sikkert end tekstbeskeder, kan ondsindede apps stadig stjæle disse engangsadgangskoder. Metoden fejler også, hvis din smartphone er løbet tør for strøm.

Mobilapp :Svarer til autentificeringsapps, men en bruger får tilsendt en bekræftelsesprompt i stedet for en engangsadgangskode. Dette kræver, at din smartphone har en aktiv internetforbindelse og er tændt.

Fysisk sikkerhedsnøgle :Den mest sikre mekanisme; den bruger en hardwaresikkerhedsnøgle (såsom YubiKey, VeriMark eller Feitian FIDO), der skal tilsluttes enheden for at bekræfte identiteten - mange af disse ligner meget USB-hukommelsessticks. Det er den nuværende førende metode, der understøttes af virksomheder som Google, Amazon og Microsoft, såvel som offentlige myndigheder verden over.

Hver af disse fire metoder varierer i brugervenlighed og sikkerhed. For eksempel, på trods af at fysiske sikkerhedsnøgler tilbyder det højeste sikkerhedsniveau, er adoptionsraten den laveste, med tal, der kun tyder på en optagelse på 10 %.

Præferencer er vigtige

Ikke nok med at forskellige multifaktorautentificeringstyper varierer i sikkerhed, de har også forskellige niveauer af popularitet. Dette resulterer i en uoverensstemmelse mellem de mest pålidelige MFA-metoden (den fysiske sikkerhedsnøgle) og hvad der faktisk er den mest udbredte (SMS).

Vores team fra Deakin Universitys Center for Cyber ​​Security Research and Innovation gennemførte for nylig en undersøgelse om indførelse af MFA-teknologier. Vi undersøgte mere end 400 deltagere, der tilhører forskellige aldersgrupper, uddannelsesbaggrunde og erfaring med MFA.

Resultater fra vores undersøgelse indikerer, at folks præferencer ikke kun påvirkes af deres sikkerhedsbehov, men også af brugervenlighed. De fleste brugere bekymrede sig mest om enkelheden af MFA-metoden – dette forklarer tydeligt, hvorfor SMS-baserede løsninger stadig dominerer landskabet, selvom der er sikrere alternativer.

I vores opfølgende undersøgelse fik brugerne de mest populære fysiske sikkerhedsnøgler i en måned, for at teste uden opsyn. Foreløbige resultater tyder på, at de fleste brugere fandt de fysiske nøgler effektive og intuitive at bruge.

Imidlertid skabte manglen på platformunderstøttelse og opsætningsinstruktioner en opfattelse at disse nøgler var vanskelige og komplekse at installere og bruge, hvilket resulterede i en manglende vilje til at adoptere.

Én størrelse passer ikke alle

Vi mener, at der skal være omhyggelige overvejelser, før nogen statslig institution eller virksomhed giver MFA mandat, med et par vigtige trin at overveje.

Forskellige mennesker og organisationer vil have forskellige behov, så i nogle tilfælde kunne en kombination af metoder fungere bedst. For eksempel kan en SMS-baseret løsning bruges sammen med en fysisk sikkerhedsnøgle til adgang til kritiske infrastruktursystemer, der har behov for højere sikkerhedsniveauer.

Derudover er brugeruddannelse og bevidsthed afgørende. Mange mennesker er ikke klar over vigtigheden af ​​MFA og ved ikke, hvilke metoder der er de sikreste.

Ved at tage noget personligt ansvar og bruge yderst effektive metoder såsom fysiske sikkerhedsnøgler til at beskytte vores mest sårbare konti, kan vi alle gøre vores del for at gøre nettet til et mere sikkert sted. + Udforsk yderligere

Google opdaterer sin Titan Security Key-serie med USB-A og en USB-C versioner

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel.