YubiKey är ett exempel på en fysisk nyckel som du kan ansluta till din enhet för att verifiera din identitet. Kredit:Formatoriginal/Shutterstock
Dataintrång blir vanliga i både små och stora teknikföretag. Det senaste offret var det australiensiska telekommunikationsföretaget Optus, vilket resulterade i obehörig åtkomst till identitetsuppgifter för ungefär 10 miljoner människor.
För att öka offrens elände släppte denna cyberattack ytterligare en uppsjö av efterföljande nätfiske- och bedrägeriförsök med hjälp av data som erhölls från detta intrång.
Att ha strängare säkerhetsåtgärder när du loggar in kan hjälpa till att skydda dina konton och minskar avsevärt sannolikheten för många automatiserade cyberattacker.
Multi-factor authentication (MFA) är en säkerhetsåtgärd som kräver att användaren tillhandahåller två (även känd som tvåstegsverifiering eller tvåstegsautentisering) eller fler identitetsbevis för att få tillgång till digitala tjänster. Detta kräver vanligtvis en kombination av något användaren känner till (nål, hemlig fråga), något du har (kort, token) eller något du är (fingeravtryck eller annan biometrisk).
Till exempel har det australiensiska skattekontoret nyligen skärpt vissa regler för digitala tjänsteleverantörer om obligatorisk användning av multifaktorautentisering. Om du använder vissa tjänster är du redan bekant med MFA.
Men alla MFA-lösningar är inte desamma, med nyare studier som visar enkla sätt att undergräva vanligare metoder som används för att bekämpa cyberattacker.
Dessutom föredrar människor också olika MFA-alternativ beroende på deras behov och nivå av teknisk kunskap.
Så vilka alternativ finns för närvarande tillgängliga, deras för- och nackdelar, och vem är de lämpade för?
Det finns fyra huvudsakliga metoder för multifaktorautentisering
SMS :För närvarande det vanligaste alternativet som involverar ett engångslösenord (som en kod) skickat via textmeddelande. Även om det är ganska populärt och lätt att använda, kan lösenordet eller koden som skickas till dig vanligtvis hackas av skadliga appar på telefonen eller genom att omdirigera SMS:et till en annan telefon. Metoden misslyckas också om din smartphone inte har service eller är avstängd.
Autentiseringsbaserad :En annan vanlig metod, där en applikation installerad på din smartphone (som Google Authenticator) genererar engångslösenord som är giltiga under en mycket kort tidsperiod, till exempel 30 sekunder. Även om det är säkrare än textmeddelanden, kan skadliga appar fortfarande stjäla dessa engångslösenord. Metoden misslyckas också om din smartphone är strömlös.
Mobilapp :Liknar autentiseringsappar, men en användare får en verifieringsuppmaning snarare än ett engångslösenord. Detta kräver att din smartphone har en aktiv internetanslutning och är påslagen.
Fysisk säkerhetsnyckel :Den säkraste mekanismen; den använder en hårdvarusäkerhetsnyckel (som YubiKey, VeriMark eller Feitian FIDO) som måste anslutas till enheten för att verifiera identiteten – många av dessa ser mycket ut som USB-minnen. Det är den nuvarande ledande metoden som stöds av företag som Google, Amazon och Microsoft, såväl som statliga myndigheter över hela världen.
Var och en av dessa fyra metoder varierar i användbarhet och säkerhet. Till exempel, trots att fysiska säkerhetsnycklar erbjuder den högsta säkerhetsnivån, är användningsgraden den lägsta, med siffror som endast tyder på ett utnyttjande på 10 %.
Preferenser är viktiga
Inte bara olika typer av multifaktorautentisering varierar i säkerhet, de har också olika nivåer av popularitet. Detta resulterar i en diskrepans mellan de mest pålitliga MFA-metoden (den fysiska säkerhetsnyckeln) och vad som faktiskt är den mest använda (SMS).
Vårt team från Deakin Universitys Center for Cyber Security Research and Innovation genomförde nyligen en studie om införandet av MFA-teknologier. Vi undersökte mer än 400 deltagare som tillhör olika åldersgrupper, utbildningsbakgrund och erfarenhet av MFA.
Resultat från vår studie visar att människors preferenser inte bara påverkas av deras säkerhetsbehov, utan också av användbarhet. Majoriteten av användarna brydde sig mest om enkelheten av MFA-metoden – detta förklarar tydligt varför SMS-baserade lösningar fortfarande dominerar landskapet, även om det finns säkrare alternativ.
I vår uppföljningsstudie fick användare de mest populära fysiska säkerhetsnycklarna under en månad för att testa utan tillsyn. Preliminära resultat tyder på att de flesta användare tyckte att de fysiska nycklarna var effektiva och intuitiva att använda.
Men bristen på plattformsstöd och installationsinstruktioner skapade en uppfattning att dessa nycklar var svåra och komplicerade att installera och använda, vilket resulterade i en bristande vilja att använda.
En storlek passar inte alla
Vi anser att det måste vara noggrant övervägande innan någon statlig myndighet eller företag bemyndigar MFA, med några viktiga steg att överväga.
Olika människor och organisationer kommer att ha olika behov, så i vissa fall kan en kombination av metoder fungera bäst. Till exempel kan en SMS-baserad lösning användas tillsammans med en fysisk säkerhetsnyckel för åtkomst till kritiska infrastruktursystem som behöver högre säkerhetsnivåer.
Dessutom är användarutbildning och medvetenhet avgörande. Många människor är inte medvetna om vikten av MFA och vet inte vilka metoder som är de säkraste.
Genom att ta ett visst personligt ansvar och använda mycket effektiva metoder som fysiska säkerhetsnycklar för att skydda våra mest sårbara konton, kan vi alla göra vår del för att göra webben till en säkrare plats. + Utforska vidare
Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.