تقدم Google خدمات مصادقة متعددة لاعب Postman. إذا كنت تتردد بين تطبيق الهاتف المحمول والمفتاح الفعلي لتأمين هويتك الرقمية ، فإليك شيء لتغذية اختيارك.
تم الإعلان عنها قبل عام للولايات المتحدة ، Titan Key من Googleهبطتفي فرنسا في بداية أغسطس. يتيح لك إضافة طبقة وقائية إضافية عند الوصول إلى حساباتك الرقمية ...تماما مثل Google Authenticator، وهو تطبيق أطلقت شركة ماونتن فيو في عام 2010.
ولكن لماذا تقدم Diable Google منتجين يتم استخدامهما أكثر أو أقل لنفس الشيء؟ يملأ كل من مفتاح Titan و Google Authenticator نفس النوع من العملية:مصادقة عوامل متعددة("MFA" لمصادقة متعددة العواملأو "2FA" عندما يكون هناك عاملان فقط).
يتكون MFA في سؤال المستخدم عن العديد من المعلومات التي تسمح بتحديدها ، بدلاً من كلمة مرور بسيطة. هذا على سبيل المثال هو الحال عندما يرسل لنا مصرفنا الرسائل القصيرة لتأكيد الدفع. إذا كانت وزارة الخارجية دائمًا أفضل من لا شيء على الإطلاق ، فهي بعيدة عن الكمال اعتمادًا على الحلول المستخدمة. في حالة الرسائل القصيرة ، لا تحمي من التصيد من المواقع الاحتيالية ، ويمكن للمتسللين اعتراض الرسائل القصيرة أو اغتصاب بطاقة SIM.
Authenticator و Titan هي أشكال أكثر تطوراً من MFA ، لكن كل منهما له مزايا وعيوب.
يعتمد Google Authenticator على خوارزمية جيدة الإثبات لإجراءات MFA:كلمة مرور لمرة واحدة على أساس الوقت((توبي) ، المعيار المركزي لاتحاد القسم الذي يعزز أساليب المصادقة المشتركة. لقد تعاملت جميعًا مع TOTP ، الذي يرسل لك رمز صلاحية محدود على جهاز ثالث ، والذي تقوم به بعد ذلك بإدخال الموقع حيث تريد التعرف على نفسك.
كما هو الحال مع أي وقت مبكر ،تحتاج فقط إلى هاتفك الذكيلاستخدام المصادقة أو تطبيق منافس مثلAuthy. لا حاجة لإنفاق المال مجاني لكليهما. يضمن End -to -end التشفير مقاومة أفضل بكثير للهجمات مما يسمح به الرسائل القصيرة. ومع ذلك ، يتم الحفاظ على بعض العيوب الكامنة في TOTP. خصوصاً،هذا لا يحمي ضدخطاف. إذا حاول المستخدم مصادقة أنفسهم على موقع احتيالي ، فسيتعين على المتسللين فقط إعادة توسع معرفاته (رمز شامل) في الموقع الحقيقي.
مشكلة المصادقة الأخرى هي أن المعرفات يتم تخزينها على جهاز واحد: الهاتف الذكي للمستخدم.إذا فقدت هاتفك ، فمن المؤكد أنك تفقد معرفاتك. يمكن أن تحدث حوادث مماثلة أيضًا عند التحول إلى جهاز أكثر حداثة ، إذا لم تكن حريصًا. يجب بعد ذلك تشغيل إجراء الاسترداد لحساب Google الخاص بك.
تتيح تطبيقات TOTP الأخرى ، مثل Authy ، تجنب هذه المشكلة فيالاحتفاظ معرفاته فيسحاب، حيث يمكنهم الوصول إلى العديد من الأجهزة. لكننا نصبح بعد ذلكأكثر احتمالا للقراصنة، والتي يمكن أن تتحكم في التطبيق إذا تمكنوا من اغتصاب رقم هاتف الضحية (إنه نفس النوع من الضعف في MFA Per SMS).
لماذا تستخدم مفتاح Titan (أو مفتاح U2F آخر)
وصول المعيارالعامل الثاني العالمي(U2F) A 2014كان نالت استحسانامن قبل مجتمع الأمن السيبراني. هذا يجعل من الممكن استخدامه كعامل تعريف ثانٍ مفتاح مادي ، متصل بواسطة USB أو التواصل بواسطة NFC. يقع U2F في أيدي تحالف Fido وقد تم تطويره بشكل مشترك بواسطة Google و Start-up Yubico ، المعروف الآن بتحديد هويته Yubikey.
كان لدى Google ملكها لبضع سنواتبرنامج الحماية المتقدمة، تقديم توافق U2F لخدماتها ، ولكن الآن يوفر الآن نسخته الخاصة من Yubikey في شكل مفتاح Titan.
مجموعة مفتاح تيتانتكلف 55 يوروفي فرنسا. لهذا السعر ،مقاومةالتصيدمضمون، لأن الموقع (الحقيقي!) يجب أن يكون قادرًا على التحقق من أن المفتاح موجود جسديًا. كانت أيضًا حجة مبيعات Googleعند الإطلاقمن منتجه العام الماضي. ربما يكون الاستخدام أبسط من المصادقة ، لأنه يكفي توصيل المفتاح بجهازه والضغط على زر. ليست هناك حاجة لنسخ رمز على الشاشة لفترة زمنية في الوقت المناسب.
تحتوي المجموعة على مفتاحين ، أحدهما رئيسي وإنقاذ واحد. إنه ليس خطيرًا جدًا حتى الآن لم يخسره ، لكنإذا فقدنا كلاهما، عليك أن تذهب من خلال مربع استرداد الحساب. بشكل عام ، مع مفتاح Titan ، فإنك تخاطر بفقدان الوصول إلى حساباتك فقط إذا كنت تتواجد للغاية ؛ أثناء تطبيقه المبكر ، سيحدث لك ذلك خاصة إذا سرقت من هاتفك.
تكون مفاتيح U2F أكثر أمانًا وفعالية من تطبيقات TOTP ، حتى لو لم تكن آمنة من أخطاء السلامة. مايو الماضي ، جوجلكان لاستدعاءبعض مفاتيح تيتان بسبب الضعف في وظيفة Bluetooth.
للذهاب أبعد من ذلك
الرسائل القصيرة ، الكود ، المفتاح الفعلي: هل المصادقة المزدوجة معصومة حقًا؟
