يبرز تحديث 1Password الفرق بين التحقق بخطوتين والتحقق من عاملين

click fraud protection

An تحديث إلى 1Password يجلب كلمات المرور لمرة واحدة (TOTP باختصار) إلى تطبيق iOS الخاص به. عادةً ما يتم استخدام كلمة المرور لمرة واحدة كعنصر ثانٍ في المصادقة الثنائية (2FA) ، وهو موضوع كتبته عدة مرات في هذا العمود. ولكن كما لوحظ في وظيفة معقولة وصادقة بواسطة AgileBits ، مطور 1Password ، العامل الثاني ليس دائمًا عاملًا ثانيًا.

يتطلب TOTP رمزًا أوليًا ، عندما يتم تحويله من خلال خوارزمية تتضمن الوقت الحالي الدقيق ، ينتج رقمًا يتم تحويله إلى رمز قصير ، يتكون عادةً من ستة أرقام. من أجل استخدام TOTP في موقع يقدمه لك ، يمكنك متابعة عملية التسجيل الخاصة به ، والتي تتضمن مسح رمز QR ثنائي الأبعاد وإنشاء مفاتيح النسخ الاحتياطي أو الاسترداد لمرة واحدة. يمثل رمز QR رسمياً البذور التي تحتفظ بها أنت والموقع. (تقدم بعض المواقع البذور ككود يمكنك النقر عليه أيضًا.)

كان Google أول موقع رئيسي يضيف TOTP عبر تطبيق ، ولا يزال يقدمه حتى اليوم. عند تسجيل الدخول من جهاز كمبيوتر أو متصفح جديد ، أو في ظروف أخرى تتطلب خوارزميات أمان Google ، تتم مطالبتك بإدخال هذا العامل. عبر أداة مصادقة Google، نظام بيئي للتطبيقات والمزامنة مثل

Authy، أو هذا الخيار الجديد في 1Password ، تسحب تسلسل الأرقام الحالي المحدد بوقت وإدخالها. يتحقق الموقع من أن الرقم الذي أدخلته يطابق اشتقاقه ، ويمنحك الوصول.

من السهل إضافة TOTP إلى 1Password 5.2 لنظام iOS. أولاً تقوم بإنشاء إدخال جديد أو تحرير إدخال موجود.

يسبق TOTP استخدام Google ، بالطبع ، وعادةً ما تم العثور عليه سابقًا إلى حد كبير في بطاقات الأمان والمفاتيح الإلكترونية التي تستخدمها الشركات والمواقع المالية. لدي doohickey على غرار سلسلة المفاتيح من PayPal وواحدة من E * Trade التي تؤدي نفس الوظيفة ، ولكنها مخصصة للبلاستيك والسيليكون مع شاشة LCD صغيرة وتحتوي على بذورها مقفلة في الأجهزة. يجب أن يكون بحوزتي ماديًا للتحقق من صحة تسجيل الدخول.

ليس كل خطوة عامل

الآن نموذج التقييم بمصادقة متعددة العوامل هو أن العوامل قد تكون "شيء تعرفه" و "شيء لديك" و "شيء ما لديك" يتوافق على التوالي وعادةً مع كلمة مرور ، ويتلقى جهاز فعلي شيئًا ما أو ينتج عنه ، وقياسات حيوية (مثل بصمات الأصابع والشبكية بالاشعة). يختار أي نظام متعدد العوامل اثنين على الأقل من هذه ، وأحيانًا الثلاثة.

بعد ذلك ، سيكون عليك مسح البذرة من خلال النقر على رمز رمز QR ، أو إدخال النسخة النصية.

هنا الحاجة. أنا والعديد من الأشخاص الآخرين الذين يكتبون عن الأمن ، إلى جانب العديد (وليس كل) الأشخاص الذين يعملون في صناعة الأمن ، يستخدمون المصطلحين "خطوتين" و "العاملان" بالتبادل ، وهو أمر محير. من الناحية الفنية ، تتطلب جميع المصادقة الثنائية خطوتين. ولكن ليس كل التحقق من خطوتين يستخدم عاملين! يؤكد تحديث 1Password على هذا الاختلاف.

في معظم الحالات ، يحدث انقسام الخطر بين الهجمات عن بعد ، حيث يقوم شخص ما بتكسير موقع أو موقع خاص بك حساب دون أن يكون بالقرب منك ، وهجمات الوصول المادي ، والتي يمكن لأي شخص الحصول عليها جهاز. باستخدام 1Password ، يمكنك استغلالك عن بُعد في الظروف النادرة الصحيحة (أو بالأحرى الخاطئة) أيضًا.

سيعرض الحقل السري رابطًا أو مصدر النص.

مع عاملين حقيقيين ، يكون العنصران منفصلين جسديًا. كلمة المرور ، على سبيل المثال ، في رأسي ، ورسالة SMS تأتي عبر هاتفي ، أو أتلقى إشعار Find My iPhone من Apple للتحقق من تسجيل الدخول إلى معرف Apple الخاص بي. أو قمت بتخزين كلمة المرور في 1Password ، ولكن استخدم Authy مع Touch ID لفتح كلمة المرور لمرة واحدة. يجادل AgileBits بأن وجود كلا العاملين على نفس الجهاز يلغي الفائدة. كنت أزعم استخدام القياسات الحيوية لواحد - بكلمة مرور فريدة وقوية ليس مخزنة في 1Password إذا فشل التعرف - وكلمة مرور للآخر تفصلها بما فيه الكفاية.

عندما تدمج العوامل في مكان واحد ، تفقد فائدة مقاومة الاستغلال الجسدي ، ولكنك تحتفظ بالمكان البعيد. وحتى مع الوصول المادي ، يحتاجون إلى كلمة المرور (أو بصمة الإصبع).

بعد النقر فوق تم لإنهاء التحرير ، كلما قمت بعرض إدخال كلمة المرور ، سيتم عرض TOTP الحالي ، بما في ذلك الوقت المتبقي الذي يكون صالحًا.

عزيزي القارئ ، إن التعقيد الذي يدفعك لقراءة هذا المنشور الممتاز قد يجعلك تتحدث عن فقرتي السابقة. بالتأكيد الجميع ينبغي تمكين العامل الثاني و ينبغي تفعل ذلك بشكل صحيح ، للحصول على أفضل حماية! ولكن لأن الكثير من الناس يختارون كلمات مرور ضعيفة ولأن جميع المواقع ليست خالية من الاستغلال في كيفية خنقها يحاول كسر كلمات المرور أو منع الحصول على بيانات كلمة المرور الخاصة بهم ، وكلمة مرور لمرة واحدة كل ثانية خطوة أفضل بكثير من لا شيء على الإطلاق ، حتى لو كان استخدامه كعامل ثانٍ سيكون أفضل.

إدراج AgileBits لرموز TOTP يعني أن شخصًا ما ربما تخطي تمكين التحقق بخطوتين لأنه من الضجة أو قضايا الإدارة تفعل ذلك الآن ، وتحقق زيادة كبيرة في سلامة حساباتهم مرونة.

هناك مسار واحد لاستغلال ميزة 1Password الجديدة عن بُعد ، على الرغم من أنني أشعر أنه من غير المحتمل تمامًا. إذا كنت تستخدم ميزات مزامنة 1Password مع Dropbox (جميع الإصدارات) أو iCloud (iOS / OS X فقط ، وإصدار Mac App Store من 1 كلمة المرور مطلوبة لنظام التشغيل OS X) ، يمكن لشخص ما الحصول على نسخة من قبوتك - الحزمة المشفرة لكل كلمة المرور الخاصة بك البيانات. إذا كان هذا الشخص لديه بيانات اعتماد سحابة الخاص بك ، قبو الخاص بك ، و كلمة المرور الخاصة بك ، سيكونون قادرين على الحصول على كلمة المرور المكونة من خطوتين و TOTP.

يجب استيفاء الكثير من الشروط ، وأقترح بالفعل تمكين المصادقة الثنائية لكليهما معرفات Apple (وبالتالي وصول iCloud) و بصندوق الإسقاط لتقليل الإمكانات ، حيث يوفر كل من Dropbox و Apple ID أساليب عامل ثانٍ حقيقية.

كما هو الحال مع جميع القضايا التي تنطوي على وزن المخاطر ، يجب أن تفكر فيما إذا كانت السهولة تفوق الاستغلال المحتمل. بالنسبة لك ، ربما يكون استخدام العامل الثاني صحيحًا إلزاميًا ، وأشعر بهذه الطريقة لمعظم الحسابات وليس كلها. بالنسبة للأشخاص الذين تنصحهم بشكل غير رسمي - العائلة والأصدقاء وزملاء العمل - 1 يمكن أن تكون كلمة المرور كحل أحادي المصدر يمنع الوصول عن بُعد خطوة كبيرة.

ملاحظة: عندما تشتري شيئًا بعد النقر على الروابط في مقالاتنا ، فقد نربح عمولة صغيرة. اقرأ سياسة الارتباط بالعمولة لمزيد من التفاصيل.
  • Aug 04, 2021
  • 16
  • 0
instagram story viewer