Ključevima za višefaktorsku autentifikaciju protiv phishing napada
Google je nedavno pružio primer koji pokazuje kako sigurnosni ključevi pružaju veću sigurnost od bilo kojeg drugog načina za višefaktorsku autentifikaciju.
Naime, od kako je od svojih 85 hiljada zaposlenih tražio da koriste fizičke sigurnosne ključeve, a umesto jednokratnih kodova, Google nije zabeležio ni jedan phishing napad. Ovakvi ključevi, poput onog koji proizvodi Yubikey, omogućavaju lako logovanje na neki web-sajt, a preko ubacivanja USB ključa, te klika na dugme. Tako se od korisnika ne zahteva da unose lozinke, te generisane kodove. Iako i ovaj sistem ima određene slabosti, budući da se oslanja na fizički ključ koji lako može da se izgubi, smatra se bezbednijim od dvofaktorske autentifikacije, a posebno od one za koju korisnik dobija kod preko SMS poruke, budući da hakeri mogu da presretnu poruku koja se šalje na telefon, te na taj način dobiju pristup nalogu.
Na žalost, Universal 2nd Factor (U2F) – tip višefaktorske autentifikacije za koju se koristi fizički ključ, još uvek ima ograničenu podršku, te je podržan na Chrome-u, ali za Firefox, na primer, zahteva ručnu aktivaciju, a preko “about:config.” Microsoft podršku za U2F na Edge pretraživaču planira za kraj 2018, a Apple još uvek nije objavio da li će Safari ikada podržati ovaj standard za autentifikaciju. Sa druge strane, tek nekoliko sajtova podržava U2F, uključujući Facebook, te menadžere za lozinke poput Keepass i LastPass.
Ostaje da se vidi da li će pozitivno iskustvo kompanije Google uticati na to da se standard prihvati na svim nivoima, a radi se o dragocenom svedočanstvu o tome kako se najbolje štite osetljivi nalozi.
Izvor: Engadget