Per què heu de deixar d’utilitzar Google Authenticator ara mateix?

Molts de nosaltres hem après de la manera més difícil que no sigui suficient tenir una única contrasenya per protegir els nostres comptes en línia. Ara fem servir una forma o una altra d’autenticació de dos factors. És possible que fins i tot hagueu decidit a utilitzar Google Authenticator per proporcionar aquesta segona capa de protecció. Si ho feu, haureu de saber els riscos que esteu assumint fent-ho. Afortunadament, hi ha mètodes millors que són més segurs i fàcils d’utilitzar.

Capes bàsiques de seguretat en línia

Els cibercriminals són cada vegada més sofisticats i tots hem de prendre seriosament la nostra seguretat en línia per protegir la nostra identitat en línia en expansió. Abans de discutir l’autenticació de dos factors i per què heu d’evitar utilitzar Google Authenticator, tractem alguns altres elements que hauríem de disposar per protegir-los a un nivell més reduït.

Un pirata informàtic treballa amb ordinadors amb codis

Contrasenyes fortes

Afortunadament, el Generador de contrasenyes LastPass simplifica la creació i el manteniment de contrasenyes segures. Aquesta eina generadora de contrasenyes crea contrasenyes complexes, gairebé impossibles de trencar, que consisteixen en múltiples números, lletres i símbols. LastPass genera contrasenyes diferents per a cada aplicació o lloc web i s’executa localment al vostre equip Windows, Mac o Linus o al vostre dispositiu iOS o Android. Les contrasenyes que crea l’eina no s’envien a través del web.

Captura de pantalla d'una secció de pàgina de lastpass.com LastPass.com – Com funciona

Programari antivirus i de protecció contra programari maliciós

Hi ha diverses solucions de ciberseguretat àmpliament considerades disponibles, incloses Malwarebytes i Bitdefender. Aquests programes tenen versions gratuïtes, però reforcen la seguretat fent la inversió menor en les versions de pagament.

Captura de pantalla de bitdefender.com Bitdefender.com – Pàgina inicial

Tornem ara a Google Authenticator i l’autenticació de dos factors.

Autenticació de dos factors

L’autenticació de dos factors (també coneguda com a 2FA) és com una segona contrasenya als vostres comptes en línia.

Sense 2FA, només heu d’introduir el vostre nom d’usuari i contrasenya i el lloc web o l’aplicació us concediran l’entrada. La contrasenya és el vostre únic factor d’autenticació.

Premeu el botó d'inici de l'ordinador

2FA afegeix un pas addicional al procés d’inici de sessió. Cal que tingueu dos de cada tres tipus de credencials abans d’accedir al vostre compte. Aquests tipus de credencials són:

  • alguna cosa que tingueu, com ara una targeta caixer automàtic, un telèfon o un telèfon mòbil
  • alguna cosa que sabeu, com ara un patró o un número d’identificació personal (PIN)
  • alguna cosa que sou, com ara un biomètric com una empremta digital

Composició isomètrica de mètodes d’autenticació biomètrica

Hi ha dos tipus principals de 2FA. El tipus més comú, la contrasenya única basada en el temps (TOTP), es basa en Google Authenticator, l’avi de totes les aplicacions 2FA. L’altre tipus, que es parlarà més endavant a l’article, és el segon factor universal (U2F).

I … hi ha dos tipus de contrasenyes úniques:

  1. SMS contrasenyes puntuals
  2. L’aplicació ha generat contrasenyes úniques

Certament, les aplicacions de contrasenya única basades en el temps com Google Authenticator són molt més segures. Amb aplicacions com aquestes, l’aplicació del telèfon generarà un codi únic. A continuació, utilitzeu aquest codi per completar la sessió.

Google Authenticator verifica que sou el que dieu que esteu basat en un secret que compartiu en línia amb el proveïdor. Quan inicieu sessió a un lloc web, el dispositiu genera un codi basat en l’hora actual i el secret compartit. Per completar l’inici de sessió al lloc web, heu d’introduir aquest codi manualment al lloc abans que caduqui..

Captura de pantalla de play.google.com Play.Google.com – – Tenda d’aplicacions

Llavors, com sap el servidor com deixar-vos entrar? Genera el mateix codi que teniu perquè pugui comprovar-lo. Com que tant vosaltres com el lloc que esteu intentant iniciar la sessió per tenir el secret i fer la sol·licitud al mateix temps (és a dir, feu servir els mateixos factors d’entrada), tots dos generareu el mateix hash.

Problemes amb Google Authenticator

En primer lloc, heu d’introduir manualment el codi en iniciar la sessió, afegint un pas més al procés d’inici de sessió. També haureu de fer passos addicionals per fer-ho fer una còpia de seguretat el secret. Però els serveis solen oferir codis de reserva en lloc de requerir-vos que guardeu el secret. Si inicieu la sessió amb un d’aquests codis, haureu de tornar a fer tot el procés de registre.

Aquests codis de seguretat s’envien en línia, cosa que és una de les debilitats fonamentals de la seguretat. Si els pirates informàtics accedeixen a les contrasenyes d’una empresa i a la base de dades de secrets, poden accedir a tots els comptes. Malauradament, no falten històries sobre llocs web i fins i tot intercanvis de criptomonedes de bona reputació que s’han piratejat.

Home pirata que té pantalles de la interfície d'usuari amb icona, estadístiques i dades

Una altra àrea insegura és el secret en si, que apareix en text pla o codi QR, no com a hash o amb una sal criptogràfica. Per tant, els servidors de l’empresa probablement emmagatzemen el secret en format de text clar. Com que el proveïdor us ha de proporcionar un secret generat durant el registre, el secret es pot exposar en aquest moment.

Alternatives de Google Authenticator: Yubikey i Trezor Model T

El segon tipus d’autenticació de dos factors: segon factor universal (U2F)

El segon factor universal és un estàndard universal per crear tokens d’autenticació física que poden funcionar amb qualsevol servei. U2F va ser creat per gegants tecnològics, inclosos Google i Microsoft, per fer front a les vulnerabilitats de TOPT. És una mica irònic que Google no retirés la seva antiga aplicació, Google Authenticator, després d’haver ajudat a crear U2F.

Captura de pantalla de yubico.com Yubico.com – Pàgina inicial

Si n’heu sentit a parlar Yubikey—Una clau USB física que us permet iniciar la sessió LastPass, l’eina de generació de contrasenyes que es parla al principi de l’article, així com alguns altres serveis; copsareu el concepte d’U2F. No obstant això, a diferència de l’estàndard Yubikey dispositius, U2F és un estàndard universal.

Amb U2F, el servidor envia un repte i la vostra clau privada (el secret) ho signa. El servidor pot verificar el missatge mitjançant la clau pública de la seva base de dades.

Tots els Yubikeys comparats

YubiKey 5ci

YubiKey 5Ci

  • Ideal per a usuaris de Mac
  • Connector USB-C i Lightning
  • Impermeable i resistent a l’aixafament

COMPRA ARA YubiKey 5c

YubiKey 5C

  • Ideal per a usuaris de Mac
  • Connector USB-C
  • Podeu estalviar 20 dòlars si no necessiteu el connector Lightning

COMPRA ARA Clau de seguretat NFC

Clau de seguretat NFC

  • El millor per a usuaris que no són de LastPass
  • Versió econòmica del 5 NFC
  • El millor per als usuaris que no poden gastar molt

COMPRA ARA yubikey fips series

Sèrie YubiKey FIPS

  • El millor per a treballadors i contractistes federals
  • Conegueu el nivell més alt de garantia de l’autenticador a partir de les últimes directrius FIPS
  • Està disponible en totes les versions de YubiKey

COMPRA ARA LLEGIR LA REVISIÓ

Avantatges d’U2F

L’ús d’U2F té molts avantatges. Aquí en teniu uns quants:

  • Privadesa: Amb U2F, la vostra clau privada mai no s’enviarà al ciberespai, cosa que us permetrà gaudir d’un dels estats més cobejats del web: la privadesa real. Gràcies a la criptografia de clau pública, no us haureu de preocupar de compartir cap informació confidencial.

Concepte de seguretat amb icones en blocs de fusta sobre taula plana de color turquesa

  • Seguretat revestida de ferro: 2FA que utilitza criptografia de clau pública protegeix contra el segrest de sessions, pesca (suplantació d’identitat), i diversos tipus de programari maliciós. Com que U2F no confia en un secret compartit emmagatzemat a la base de dades d’un proveïdor, un atacant no pot robar tota una base de dades per accedir al compte d’un usuari. En lloc d’això, haurà de passar per la ruta costosa i costosa d’orientar-se a un usuari individual i robar-li el maquinari en persona..

El tècnic que repara l’ordinador

  • Fàcil d’usar: Els dispositius U2F funcionen immediatament gràcies al suport a través de navegadors i plataformes disponibles universalment; no hi ha codis per escriure ni controladors per instal·lar.

Esquema de la mà amb un gest de dit

  • Econòmic: Els clients poden triar entre diversos dispositius a diferents preus, tots sorprenentment assequibles, atesa la seva tecnologia d’avantguarda.

Blocs de fusta amb paraula de preu i fletxa groga cap avall

Inconvenients d’U2F

L’avantatge principal d’U2F és també el seu principal inconvenient. Amb U2F, sovint podeu fer una còpia de seguretat del vostre secret, conegut també com a clau privada. Això significa que sou responsable de la vostra pròpia seguretat. Si perdeu la clau privada, ningú la pot recuperar. Tanmateix, tampoc no cal que confieu en cap empresa per protegir la vostra clau privada.

Trezor i Yubikey: U2F ben fet

Afortunadament, hi ha una manera de gaudir del guany d’U2F sense el dolor mitjançant l’ús Trezor. Trezor es va crear inicialment per emmagatzemar claus privades i servir com a entorn informàtic aïllat. Tot i que encara té un rendiment admirable en el seu paper original com a maquinari Bitcoin segur cartera, Trezor ara es pot utilitzar de més maneres gràcies a la criptografia de clau pública / privada (asimètrica) àmpliament aplicable.

Captura de pantalla de trezor.io Trezor.io – Assegureu l’autenticació de dos factors amb Trezor

El principal d’aquests usos ampliats és la funció de Trezor com a testimoni de seguretat de maquinari per a U2F. Trezor, a diferència d’altres productes U2F, ofereix funcions de còpia de seguretat i recuperació, així com comoditat.

Com funciona U2F amb Trezor

Quan inicieu sessió a un lloc web, normalment inicieu el procés d’autenticació amb el vostre nom d’usuari i contrasenya. Seguiràs aquest procediment amb Trezor i U2F, però després d’això, faràs un altre pas senzill i senzill: confirmaràs el teu inici de sessió fent clic al dispositiu Trezor.

Quan inicialment configureu el dispositiu Trezor, feu una còpia de seguretat de la llavor de recuperació. Aquesta llavor representa tots els secrets / claus privades que genera Trezor i es pot utilitzar per restaurar la cartera de maquinari en qualsevol moment. Fer una còpia de seguretat de la llavor de recuperació és un procés únic i permet estalviar un nombre il·limitat d’identitats U2F.

Captura de pantalla de trezor.io Trezor.io – Característiques

La seva llavor s’emmagatzema de forma segura al Trezor. Com que mai no surt del dispositiu, la vostra clau privada és immune a virus i pirates informàtics.

Trezor també ofereix protecció contra la pesca amb verificació en pantalla. A mesura que els cibercriminals continuen sent més sofisticats, els llocs web de pesca que ofereixen s’assemblen molt als llocs originals. En mostrar sempre l’URL del lloc web en què inicieu la sessió i fer-vos saber exactament el que esteu a punt d’autoritzar, Trezor us protegeix dels intents de pesca. Podeu verificar que allò que es va enviar al dispositiu és el que esperàveu.

Captura de pantalla de trezor.io Model Trezor T – Especificacions tècniques

Podeu demanar el vostre Trezor One aquí o bé Trezor Model T aquí.

Sobre Trezor

Creat per SatoshiLabs el 2014, l’adaptat per a principiants Trezor One és l’estàndard d’or de les carteres de maquinari. Ofereix una seguretat sense igual per a la gestió de contrasenyes i criptomonedes i serveix com a segon factor de l’autenticació de dos factors. Aquestes funcions es combinen amb una interfície fàcil d’utilitzar que fins i tot els principiants poden navegar amb facilitat. L’entrada de frase de contrasenya i la recuperació del dispositiu estan disponibles de manera segura mitjançant un ordinador o un mòdem.

Captura de pantalla de trezor.io Trezor.io – Pàgina inicial>

La prima Trezor Model T és la cartera de maquinari de nova generació. Igual que el Trezor One, el Model T és adequat tant per a principiants com per a inversors sofisticats. Conserva els avantatges del Trezor One, però ofereix una interfície més intuïtiva i elegant per millorar l’experiència i la seguretat de l’usuari. Compta amb pantalla tàctil, processador més ràpid i suport avançat per a monedes. L’entrada de frase de contrasenya i la recuperació del dispositiu estan disponibles directament al Trezor Model T.

COMPARACIÓ

Blockstream Jade

Blockstream Jade

  • PANTALLA:
  • LLANÇAT: 2021
  • PREU: 40 dòlars

COMPRA ARA LLEGIR LA REVISIÓ Trezor Model T

Trezor Model T

  • PANTALLA:
  • LLANÇAT: 2018
  • PREU: 159 dòlars
  • PANTALLA TÀCTIL:

COMPRA ARA LLEGIR LA REVISIÓ Trezor One

Trezor One

  • PANTALLA:
  • LLANÇAT: 2013
  • PREU: 59 dòlars

COMPRA ARA LLEGIR LA REVISIÓ

Conclusió

Per als inversors en criptomonedes, la seguretat és una preocupació fonamental. No té cap sentit invertir temps i diners en aprendre sobre criptografia i fer créixer la seva cartera de criptografia tret que assegureu aquests actius. Els beneficis de la criptomoneda són excel·lents, però també ho són els riscos.

Si encara no ho heu fet, connecteu les fuites de seguretat, com ara contrasenyes febles, ordinadors i telèfons mòbils sense protecció. Després d’haver solucionat aquests problemes, us recomanem que utilitzeu l’autenticació de dos factors (2FA). Tot i que és temptador utilitzar mètodes gratuïts i àmpliament disponibles com Google Authenticator per protegir els vostres actius de criptomoneda, Authenticator presenta les seves vulnerabilitats i inconvenients.

El segon tipus de 2FA, Universal Second Factor (U2F), és més segur que Google Authenticator. Un testimoni de seguretat de maquinari segur per a Universal Second Factor, Trezor, ofereix moltes més funcions i seguretat que Authenticator. Al món de la criptografia, es tracta de seguretat. Recordeu: sou el vostre propi banc!

Atès que, com a inversor criptogràfic, assumeix més responsabilitat en seguretat que un inversor tradicional, invertiu en la millor solució de seguretat. Assegureu-vos un Trezor One o un Trezor Model T avui.

Preguntes freqüents

Per a què serveix un YubiKey?

Un Yubikey s’utilitza per autenticar els inicis de sessió web. Es pot connectar a l’ordinador o al telèfon.

Per a què s’utilitza LastPass?

LastPass és un gestor de contrasenyes que emmagatzema totes les vostres contrasenyes en un sol lloc. D’això se’n diu Vault mitjançant el qual LastPass recorda la vostra contrasenya.

Per què és perillós el SMS de dos factors??

Els SMS de dos factors són perillosos perquè és fàcil per als pirates informàtics segrestar els vostres missatges de text mitjançant un “intercanvi de SIM”.

Què passa si el meu gestor de contrasenyes és piratejat?

Si els pirates informàtics obtenen totes les dades que té el gestor de contrasenyes, haurien de provar totes les contrasenyes possibles per veure si funcionen, ja que els pirates informàtics només veuen un munt de contrasenyes codificades.

El Trezor Model T és segur?

Si un atacant molt motivat i altament qualificat aconseguís físicament el vostre Trezor Model T, és possible que les vostres monedes no siguin segures. Tanmateix, aquest atac no s’ha realitzat mai fora d’un laboratori, de manera que l’amenaça és remota. En gairebé tots els casos, un Trezor Model T mantindrà les vostres monedes molt segures.

Què és millor: Trezor o Ledger?

Llibre major és més segur si es troba la cartera, però el Trezor no té bluetooth, cosa que redueix el risc d’un atac remot al vostre dispositiu. El Trezor també té més funcions i una pantalla millor si ho feu amb el Model T..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me