Различните услуги предлагат различни двуфакторни методи за удостоверяване, а в някои случаи дори можете да избирате от няколко различни опции. Ето как работят и как се различават.
Проверка на SMS
Това е удобно, тъй като не е нужно да правите нищо специално и повечето хора имат мобилни телефони. Някои услуги дори ще набират телефонен номер и ще разполагат с автоматична система, която ще излъчва код, който ще ви позволи да използвате телефонен номер на стационарен телефон, който не може да получава текстови съобщения.
Има обаче големи проблеми при проверката на SMS. Атакуващите могат да използват SIM атаки за суап, за да получат достъп до вашите защитени кодове или да ги прихванат благодарение на недостатъци в клетъчната мрежа. Препоръчваме да не използвате SMS съобщения, ако е възможно. Въпреки това, SMS съобщенията все още са много по-сигурни, отколкото да не използвате никаква двуфакторна идентификация на всички!
Кодове, генерирани от приложения (като Google Authenticator и Authy)
Инсталирайте приложението, сканирайте кода, когато създавате нов акаунт, и това приложение ще генерира нови кодове приблизително на всеки 30 секунди. Ще трябва да въведете текущия код, показван в приложението на телефона, както и паролата си, когато влезете в акаунт.
Това изобщо не изисква клетъчен сигнал, а "семката", която позволява на приложението да генерира тези ограничени във времето кодове, се съхранява само на вашето устройство. Това означава, че това е много по-сигурно, тъй като дори някой, който получава достъп до вашия телефонен номер или прихваща текстовите ви съобщения, няма да знае кодовете ви.
Някои услуги - например Blizzard's Battle.net Authenticator - също имат свои собствени приложения за генериране на кодове.
Ключове за физическо удостоверяване
Това решение работи по-добре от проверката на SMS и кодовете за еднократна употреба, тъй като не може да бъде задържана и преместена. Това също е по-лесно и по-удобно за използване. Например фишинг сайт може да ви покаже фалшива страница за вход в Google и да улови кода за еднократна употреба, когато се опитате да влезете в профила си. След това те могат да използват този код, за да влязат в Google. Но с физически ключ за удостоверяване, който работи в съгласие с браузъра ви, браузърът може да гарантира, че той комуникира с истинския уеб сайт, а кодът не може да бъде заловен от нападател.
Очаквайте да видите много повече от тях в бъдеще.
Удостоверяване на приложенията
Проверката в две стъпки на Apple работи подобно, въпреки че не използва приложение - използва самата операционна система iOS. Всеки път, когато се опитвате да влезете от ново устройство, можете да получите код за еднократно ползване, изпратен на регистрирано устройство, като вашия iPhone или iPad. Мобилното приложение на Twitter има подобна функция, наречена проверка за вход. И Google и Microsoft добавиха тази функция към приложенията Google и Microsoft Удостоверител за смартфони.
Системи, базирани на имейл
Това не е толкова сигурно, колкото другите методи за потвърждаване в две стъпки, тъй като може да е лесно за някой да получи достъп до имейла ви, особено ако не използвате потвърждаването в две стъпки! Избягвайте потвърждаването по имейл, ако можете да използвате нещо по-силно. (За щастие Steam предлага удостоверяване на базата на приложението в мобилното си приложение.)
Последният курорт: кодове за възстановяване
Кодовете за възстановяване осигуряват защитна мрежа в случай, че загубите двуфакторния метод за удостоверяване. Когато установите двуфакторно удостоверяване, обикновено получавате кодове за възстановяване, които трябва да запишете и съхранявате на сигурно място. Ще имате нужда от тях, ако някога загубите метода си на потвърждаване в две стъпки.
Уверете се, че имате някъде копие от кодовете си за възстановяване, ако използвате удостоверяване в две стъпки.
Няма да намерите толкова много опции за всеки от вашите профили. Много услуги обаче предлагат няколко метода за потвърждаване в две стъпки, от които можете да избирате.
Съществува и възможност за използване на няколко двуфакторни метода за удостоверяване. Ако например създадете приложение за генериране на код и физически ключ за сигурност, можете да получите достъп до профила си чрез приложението, ако някога сте загубили физическия ключ.
