为什么您需要立即停止使用Google Authenticator

我们中的许多人已经学会了很难的方法,即仅使用一个密码来保护我们的在线帐户是不够的。现在,我们使用两种形式的身份验证中的一种或另一种形式。您甚至可能决定使用Google Authenticator提供第二层保护。如果这样做了,您需要知道这样做所带来的风险。幸运的是,有更好,更安全,更易于使用的方法.

在线安全的基本层

网络犯罪分子正变得越来越复杂,我们所有人都必须认真对待我们的在线安全性,以保护我们不断扩大的在线身份。在讨论两因素身份验证以及为什么应避免使用Google Authenticator之前,让我们先介绍一些我们应该在较浅层次上进行保护的项目。.

黑客使用带代码的计算机工作

强密码

幸运的是 LastPass密码生成器 简化了以下内容的创建和维护 强密码. 此密码生成器工具可创建由多个数字,字母和符号组成的复杂,几乎不可能破解的密码. 最后通行证 会为每个应用程序或网站生成不同的密码,并在Windows,Mac或Linus计算机或iOS或Android设备上本地运行。该工具创建的密码不会通过网络发送.

lastpass.com页面部分的屏幕截图 LastPass.com – 怎么运行的

防病毒和恶意软件防护软件

有几种广为人知的网络安全解决方案可用,包括Malwarebytes和Bitdefender。这些程序有免费版本,但是通过对付费版本进行少量投资来加强安全性.

bitdefender.com的屏幕截图 Bitdefender.com – 主页

现在,让我们回到Google身份验证器和两因素身份验证.

两方面身份验证

双重身份验证-也称为2FA-就像您的在线帐户中的第二个密码.

如果没有2FA,则只需输入用户名和密码,然后该网站或应用程序便可以进入。密码是您的唯一身份验证因素.

在计算机上按Enter键

2FA在您的登录过程中增加了一个额外的步骤。它要求您拥有三种凭证中的两种,才能进入您的帐户。这些凭证类型是:

  • 您拥有的东西,例如ATM卡,电话或FOB
  • 您知道的东西,例如图案或个人识别码(PIN)
  • 您的身份,例如生物特征(如指纹)

生物特征认证方法等距组成

2FA有两种主要类型。最常见的类型是基于时间的一次性密码(TOTP),它是所有2FA应用程序的祖父Google Authenticator的缩影。另一种类型,将在本文后面进行讨论,是通用第二因素(U2F).

而且…有两种一次性密码:

  1. 短信一次性密码
  2. 应用生成的一次性密码

当然,基于时间的一次性密码应用(例如Google Authenticator)更加安全。使用此类应用程序,您的电话应用程序将生成一次性代码。然后,您将使用该代码完成登录.

Google身份验证器会根据您和提供者在线共享的秘密来验证您是谁。当您登录网站时,您的设备会根据当前时间和共享机密生成一个代码。要完成您的网站登录,您必须在网站过期之前在网站上手动输入此代码..

play.google.com的屏幕截图 Play.Google.com – – 应用商店

那么服务器如何知道如何让您进入呢?它生成与您相​​同的代码,因此可以交叉检查您的代码。由于您和您尝试登录的网站都拥有秘密并同时发出请求(即,您使用相同的输入因子),因此您将都产生相同的哈希值.

Google Authenticator的问题

首先,您必须在登录时手动输入代码,从而在登录过程中增加了另一步。您还必须采取额外的步骤来 备份 秘密。但是服务通常会提供备用代码,而不是要求您保存机密。如果您使用其中一种密码登录,则必须重新完成整个注册过程.

这些备份代码是在线发送的,这是一个基本的安全漏洞。如果黑客能够访问公司的密码和机密数据库,则他们可以访问每个帐户。不幸的是,不乏关于网站甚至被黑客入侵的知名加密货币交易所的故事.

黑客男子手持带有图标,统计信息和数据的用户界面屏幕

另一个不安全的区域是秘密本身,它以纯文本或QR码显示,而不是以散列或加密盐的形式显示。因此,该公司的服务器可能以纯文本形式存储该机密。由于提供者必须在注册过程中向您提供生成的机密,因此可以在那时公开该机密.

Google Authenticator替代品:Yubikey和Trezor T型

双向身份验证的第二种类型:通用第二因素(U2F)

通用第二因素是用于创建可与任何服务一起使用的物理认证令牌的通用标准。 U2F由包括Google和Microsoft在内的科技巨头创建,旨在解决TOPT的漏洞。颇具讽刺意味的是,在帮助创建U2F之后,Google并未淘汰其旧版应用程序Google Authenticator.

yubico.com的屏幕截图 Yubico.com – 主页

如果您听说过 尤比基—物理USB密钥,可让您登录 最后通行证, 本文开头讨论的密码生成器工具以及其他一些服务,您将掌握U2F的概念。但是,与标准不同 尤比基 设备,U2F是通用标准.

使用U2F,服务器将发送质询,然后您的私钥(机密)对其进行签名。服务器可以使用其数据库中的公钥来验证消息.

所有Yubikeys比较

YubiKey 5ci

YubiKey 5Ci

  • 最适合Mac用户
  • USB-C和Lightning连接器
  • 防水防碎

立即购买 YubiKey 5c

YubiKey 5C

  • 最适合Mac用户
  • USB-C连接器
  • 如果不需要雷电连接器,可以节省20美元

立即购买 安全密钥NFC

安全密钥NFC

  • 最适合非LastPass用户
  • 5 NFC的预算版本
  • 最适合花费不多的用户

立即购买 yubikey fips系列

YubiKey FIPS系列

  • 最适合联邦工人和承包商
  • 符合最新FIPS指南中最高的认证者保证水平
  • 在YubiKey的所有版本中均可用

立即购买 阅读评论

U2F的好处

使用U2F有很多好处。这里有一些:

  • 隐私:使用U2F,您的私钥将永远不会发送到网络空间,从而使您可以享受网络上最令人垂涎​​的状态之一:实际隐私。多亏了公开密钥加密技术,您不必担心共享任何机密信息.

安全概念与图标在绿松石桌上的木块上平躺

  • 铁套安全:使用公钥密码术的2FA可以防止会话劫持, 网络钓鱼, 以及各种类型的恶意软件。由于U2F不依赖存储在提供商数据库中的共享机密,因此攻击者无法窃取整个数据库来访问用户帐户。取而代之的是,他必须经历耗时,昂贵的路线,即针对单个用户并亲自窃取其硬件.

修理计算机的技术员

  • 便于使用:借助通用浏览器和平台的支持,U2F设备可以立即使用。没有要键入的代码或要安装的驱动程序.

用手指手势概述手

  • 高性价比:客户可以从不同价格的多种设备中进行选择,考虑到其先进的技术,所有这些设备的价格都令人惊讶地负担得起.

木块与价格词和黄色向下箭头

U2F的缺点

U2F的主要优点也是它的主要缺点。使用U2F,您通常可以备份您的秘密,也称为私钥。这意味着您应对自己的安全负责。如果您丢失了私钥,没有人可以为您找回它。但是,您也不需要信任任何公司来保护您的私钥.

Trezor和Yubikey-U2F做对了

幸运的是,通过使用 特雷佐. Trezor最初是为了存储私钥并用作隔离的计算环境而创建的。尽管它作为安全的比特币硬件仍在其原始角色中表现出色 钱包, 得益于广泛适用的私钥/公钥(非对称)加密技术,Trezor现在可以以更多方式使用.

trezor.io的屏幕截图 特雷佐 – 使用Trezor进行两因素身份验证

在这些扩展用途中,主要的是Trezor作为U2F的硬件安全令牌的功能。但是,与其他U2F产品不同,Trezor提供了备份和恢复功能以及便利性。.

U2F如何与Trezor合作

登录网站时,通常会使用用户名和密码来启动身份验证过程。您将在Trezor和U2F上执行该过程,但是此后,您将执行另一个简单而轻松的步骤:单击Trezor设备以确认登录.

最初设置Trezor设备时,将备份恢复种子。该种子表示Trezor生成的所有秘密/私有密钥,并且可以随时用于恢复您的硬件钱包。备份恢复种子是一次过程,并且可以保存无限数量的U2F身份.

trezor.io的屏幕截图 特雷佐 – 特征

您的种子安全地存储在Trezor中。由于它永远不会离开设备,因此您的私钥可以抵抗病毒和黑客的攻击.

Trezor还通过屏幕验证提供网络钓鱼防护。随着网络犯罪分子的日趋复杂,他们建立的网络钓鱼网站与原始网站非常相似。通过始终显示您登录网站的URL,并让您确切知道您将要授权的内容,Trezor可以保护您免受网络钓鱼的侵害。您可以验证发送到设备中的内容是否符合您的预期.

trezor.io的屏幕截图 Trezor T型-技术规格

您可以订购 Trezor One在这里 或者 Trezor T型车在这里.

关于特雷佐

由SatoshiLabs在2014年创建,对初学者友好 Trezor One 是硬件钱包的黄金标准。它为加密货币和密码管理提供了无与伦比的安全性,并且是“双重身份验证”的第二个因素。这些功能与易于使用的界面相结合,即使是新手也可以轻松导航。密码短语输入和设备恢复可通过计算机或调制解调器安全地使用.

trezor.io的屏幕截图 特雷佐 – 主页>

溢价 Trezor T型 是下一代硬件钱包。与Trezor One一样,Model T适用于新手和老练的投资者。它保留了Trezor One的优点,但提供了更简洁,更直观的界面,以改善用户体验和安全性。它具有触摸屏,更快的处理器和高级硬币支持。密码输入和设备恢复可直接在Trezor Model T上使用.

比较

块流玉

块流玉

  • 屏幕:
  • 发布: 2021年
  • 价格: $ 40

立即购买 阅读评论 Trezor T型

Trezor T型

  • 屏幕:
  • 发布: 2018年
  • 价格: $ 159
  • 触摸屏:

立即购买 阅读评论 Trezor One

Trezor One

  • 屏幕:
  • 发布: 2013年
  • 价格: $ 59

立即购买 阅读评论

结论

对于加密货币投资者而言,安全是头等大事。除非您确保这些资产的安全,否则就没有时间和金钱来学习加密技术并发展您的加密资产投资组合。加密货币的回报是巨大的,但风险也是如此.

如果您还没有这样做,则可能会造成安全漏洞,例如密码强度低以及未受保护的计算机和手机。解决这些问题后,您可能需要考虑使用两因素身份验证(2FA)。尽管尝试使用免费的,广泛使用的方法(例如Google Authenticator)来保护您的加密货币资产,但Authenticator仍然存在漏洞和不便之处.

2FA的第二种类型,即通用第二因素(U2F),比Google Authenticator更安全。用于通用第二因素的安全硬件安全令牌Trezor提供的功能和安全性比身份验证器要多得多。在加密世界中,一切都与安全性有关。记住:你是你自己的银行!

由于您作为加密货币投资者比传统投资者承担更多的安全责任,因此请投资于最佳的安全解决方案。立即为自己保护Trezor One或Trezor Model T.

常问问题

YubiKey的用途是什么?

Yubikey用于验证Web登录名。可以插入电脑或手机.

LastPass的用途是什么?

LastPass是一个密码管理器,可将您所有的密码存储在一个地方。这称为保险柜,LastPass通过该保险柜为您记住您的密码.

短信为何有两个危险因素?

短信两要素非常危险,因为黑客很容易通过“ SIM卡交换”劫持您的短信.

如果我的密码管理器被黑了怎么办?

如果黑客获得了密码管理器拥有的所有数据,则他们仍必须尝试使用​​所有可能的密码来查看数据是否有效,因为黑客只能看到一堆乱码.

Trezor Model T安全吗??

如果一个有上进心和技术精湛的攻击者真正掌握了Trezor T型,则您的硬币可能并不安全。但是,这种攻击从未在实验室外进行过,因此威胁是遥不可及的。在几乎所有情况下,Trezor T型都能使您的硬币安全无虞.

哪个更好-Trezor或Ledger?

分类帐 如果找到了您的钱包,则安全性更高,但是Trezor没有蓝牙,这降低了对设备进行远程攻击的风险。如果使用Model T,Trezor还具有更多功能和更好的屏幕.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me