Защо 2FA трябва да бъде вашият навик №1 за сигурност на имейла

Тя е изобретена през 90-те години (и широко се приписва на AT&T), но става популярна едва в средата на 2000-те. Двуфакторната автентикация (или 2FA, както е по-известна) е толкова проста идея, че е почти красива — съчетава нещо, което знаете, с нещо, което имате.

Проблемът и решението

Проблемът:

Потребителското име и паролата бяха всичко, което стоеше между нашите данни и неоторизирания достъп. Нашите акаунти по същество са неврата без наблюдение, готова да бъде пробита 24/7 без наше знание. Това не се улеснява и от факта, че потребителските имена почти винаги са шаблонни, а паролите също могат да бъдат лесни за отгатване, защото всички сме склонни към едни и същи идеи.

Например една-единствена дума би била трудна за отгатване от друг човек, но поради ограничения брой думи в английския език е изненадващо лесна за компютър. Ето защо много сайтове ни карат да подсилваме паролите си с букви и специални символи. Но с все по-усъвършенстван софтуер за хакване, а сега и с появата на AI, дори това не е достатъчно. Помнете, че тази „врата“ към акаунта ви е откриваема в ефира 24/7.

Решението:

Потвърждаване, че наистина вие влизате, чрез използване на нещо, което може (логично) да бъде само във ваше притежание. Това може да е смартфон, имейл акаунт, ключ или дори биометрични данни. Който и метод да се използва, 2FA гарантира, че опитите за неоторизирано влизане могат да бъдат блокирани и вие можете да предприемете действия за ограничаване на по-нататъшни пробиви.

Разбира се, това е нещо като проверка на самоличност — еквивалентът на това да погледнете през шпионката, преди да отворите входната врата — но изпълнението е доста гениално, ако се замислите. Количеството сигурност и осведоменост, което 2FA добавя към един акаунт, го издига над сбора на неговите части.

И така, защо тогава отне толкова дълго време да се наложи? Вероятно това е било просто комбинация от постепенно нарастване на киберпрестъпността през годините, честотата, с която хората разполагат с вторични устройства, и увеличената изчислителна мощ, с която разполагат киберпрестъпниците, което е означавало, че е трябвало да изчака своя момент да заблести. Възможно е също да е имало опасения, че вторичното устройство може да бъде изгубено.

Къде виждаме 2FA да се отличава от години

Банковите и финансовите приложения я използват вече доста години. Но ако още не сте забелязали тя да навлиза и в по-„ежедневните“ ви акаунти, вероятно скоро ще го направи. Внедряването вече е в ход, тъй като технологиите за хакване стават все по-усъвършенствани, а компаниите за данни носят все по-голяма отговорност да защитават нашите данни.

Нека разгледаме 2FA в контекста на имейл акаунтите например. Досега може би сте смятали, че е малко досадно или прекалено предпазливо да активирате 2FA за имейл акаунтите си — но ние ще ви убедим защо това наистина си заслужава, особено ако сте в бизнеса.

Защо да добавите 2FA, за да защитите имейл акаунта си?

Е, първо, имайте предвид, че вторият слой защита отвъд паролата никога не е лошо нещо. Сега спрете за момент и помислете какъв вид чувствителни данни съдържа вашият имейл акаунт:

• Банкова информация — от вида, който от години защитавате с 2FA на други места.

• Лични прикачени файлове — снимки, документи или дори творби, за които искате права върху интелектуалната собственост.

• История на покупките — и други данни, които биха могли да бъдат ценни за рекламодателите.

• Медицински данни — записи за прегледи, лекарства или дори състояния.

• Данни за недвижими имоти — покупката на къщи и подобни важни процеси често са безхартиени.

И, както споменахме, ако сте в бизнеса, тези данни почти сигурно включват и данните на вашите клиенти. Поддържането на тези данни в безопасност е законово задължение в държави с правила като GDPR. Така че защитата на имейла вече започва да звучи като нещо очевидно, а ние още дори не сме приключили!

Може би най-важната причина да пазите имейла си защитен е, че той е вход към много от другите ви акаунти. От години това е обичаен начин за нулиране на пароли. Всичко, което някой с достъп до имейла ви трябва да направи, е да прочете съобщенията ви, за да разбере в кои сайтове имате акаунти, а след това да премине през процеса „забравена парола“ в тях.

За почти всички по-малки сайтове регистрираният имейл акаунт е всичко, което стои между някого и достъпа до вашия акаунт. Това може да означава, че много от акаунтите ви са компрометирани, преди дори да разберете, че акаунтът ви е бил хакнат.

Лесно добавете 2FA към акаунта си

Добрата новина е, че е наистина лесно да добавите 2FA към повечето имейл акаунти. Бизнес или професионалните имейл акаунти е особено вероятно да предлагат тази функция. Процесът на активиране обикновено е лесен и се настройва много бързо, особено ако вече имате приложение за удостоверяване за други приложения.

Ще разгледаме Spacemail (от Spaceship като добър пример), където 2FA може да бъде активирана само с няколко щраквания.

1. Влезте в акаунта си

2. Щракнете върху зъбното колело за настройки в горния десен ъгъл на екрана.

3. Щракнете върху „Launch security center“ във второто поле.

4. Щракнете върху TWO FACTOR AUTHENTICATION в раздела.

5. Изберете един от двата поддържани типа 2FA.

Не забравяйте да затворите и другите входни точки

Добавянето на 2FA към основното влизане е чудесно, но има голяма вероятност да имате и друга задна вратичка към имейл акаунта си, ако го имате свързан с приложение (като Outlook или Gmail) на телефона си.

Протоколите, използвани за активиране на тази функция, включват IMAP, SMTP и POP3. Ако са активирани, достъпът до акаунта ви може да бъде настроен чрез приложение, заобикаляйки конфигурираната от вас 2FA. За да гарантирате сигурността, деактивирайте тези протоколи, ако е възможно.

В случая със Spacemail приложение в момента е в процес на разработка и е планирано за пускане по-късно тази година. Това ще ви позволи лесен достъп до пощата ви на устройство като смартфон, без да се прави компромис със сигурността.

Видове 2FA

Като говорим за „видове 2FA“, нека разгледаме по-отблизо какви са те и как работят в контекста на Spacemail. Най-общо казано, има три вида 2FA. Всички те използват различно нещо за удостоверяване.

„Нещо, което знаете“

Това включва неща като допълнителни PIN кодове или въпроси за сигурност. Това са части от информация, които само вие би трябвало да знаете — но в много отношения не са толкова различни от паролата. Като по-остаряла форма на 2FA, тя постепенно се премахва в полза на методите по-долу.

Може би сте чували преди няколко години съвета да изберете фалшиво „моминско име на майката“ или „първи домашен любимец“, за да избегнете хората да отгатнат или проучат отговора ви.

Поради относителната си несигурност този метод не се поддържа от Spacemail.

„Нещо, което сте“

Вече засегнахме това накратко. Този тип 2FA разчита на биометрични данни като пръстови отпечатъци, лицево разпознаване и гласово разпознаване. Това е полезно, когато вторично устройство може да не е най-добрият вариант, например в много случаи използваме смартфон, който сам по себе си е вторичното устройство.

Биометрията позволява вторично потвърждение чрез самия човек. Макар че това изисква допълнителни сензори, които обикновено се намират само в по-нови и усъвършенствани устройства.

„Нещо, което имате“

Повечето 2FA попадат в тази категория, а това важи и за двете опции, които ще намерите в Spacemail. Те изискват притежание на конкретно устройство или предмет. Има няколко начина за прилагане на този метод.

TOTP (Time-Based One-Time Password)

Код, генериран от приложение за удостоверяване, осигурява сигурно влизане. Можете да използвате приложения за удостоверяване или да изпращате еднократни кодове чрез SMS/имейл. В случая на Spaceship TOTP е разрешен само чрез приложение за удостоверяване, защото това е много по-сигурно.

U2F (Universal 2nd Factor)

U2F използва криптография с публичен ключ, което го прави по-сигурен и устойчив на phishing. Не изисква ръчно въвеждане на кодове. Просто поставяте хардуерен ключ (като YubiKey) в устройството си. Допълнителен плюс е, че ако някой открадне смартфона ви, ще е необходимо и допълнително устройство (ключът), за да получи достъп до акаунти, защитени с 2FA.

Кой метод да изберете

U2F обикновено се счита за по-сигурен, защото устройствата са устойчиви на манипулации, а криптографският процес е обвързан с конкретния уебсайт или приложение. Това гарантира, че дори ако потребителят бъде подмамен да посети фалшив сайт, удостоверяването ще се провали, тъй като фалшивият сайт не може да възпроизведе необходимата защитена връзка.

Разбира се, закупуването на U2F ключ предполага разход, но това може да си заслужава, когато става въпрос за вашата сигурност.

2FA като част от балансирана диета за сигурност…

Човек не може да живее само с 2FA. То не е заместител на добрите цялостни практики за сигурност. Нашите имейл акаунти са особено податливи на phishing и malware атаки. Иронията е, че никой не трябва да влиза в акаунта ви, за да представлява заплаха по този начин. Те просто изпращат имейл.

Ето защо акаунтите, които предлагат други защити срещу имейл заплахи, особено антиспам филтри, също са разумна инвестиция. Като ви предпазват изобщо да виждате имейли, които съдържат социално инженерни капани или malware, вие дори няма да видите най-големия риск за безопасността си.Активирайте 2FA за акаунта си още днес и ако установите, че той не я предлага, помислете дали да не преминете към такъв, който я предлага.