Två-faktor autentisering är aktuell gold standard av säkerhet, av uppenbara skäl. Även om någon skulle gissa ditt lösenord eller det fick läckt som en del av ett hack, ingen kan logga in till ditt konto utan fysisk åtkomst till din enhet. Men det är fortfarande långt ifrån perfekt för flera andra orsaker, minst som är besväret med att sätta upp det och använda det som hindrar de flesta från att någonsin besvära sig med det.
På grund av att mycket besvär, jag hade varit ganska lata med att två-faktor var att det var tillgängligt, men det förändrades den dagen min EA Origin-konto tas över, vilket får mig att svettas ymnigt när jag undrade om jag någonsin skulle få tillbaka tillgången till det spel som jag spenderat tusentals kronor på. Sedan dess har jag varit ganska aktiv med två-faktor på alla mina konton, trots den frustration som den kommer med.
För en, det sträcker ut inloggningen som du har att antingen vänta på en login-kod, eller öppna upp en authenticator för att hitta koden. Två, eftersom varje två-faktor-systemet är inte ställa upp på samma sätt, du måste jonglera flera appar som du går ner i kaninhålet. Redan på min iPhone, jag har Authy, Google app, Blizzard Authenticator, Microsoft Authenticator, och Steam och app.
Det är i tillägg till andra som endast stöder SMS eller e-post (PlayStation, Paytm, och Indiska banker, jag tittar på dig), som inte fungerar utan Internet eller förvandlas till en bry sig om telefonen är offline, det är en fråga nätverk eller när du reser internationellt. Men mycket större störning av det är hur lätt dessa system kan vända på dig, beroende på vem som gjort dem.
Ta till exempel Snapchat, den populära tillfälliga meddelanden app som nu har över 150 miljoner användare, och har haft att motstå förvärvet av insatser från flera parter på grund av dess enorma popularitet. På ena sidan, Snapchat är två-faktor genomförandet verkar bra: den erbjuder både SMS och app-baserad autentisering, och du kan skapa en återställnings-kod om du skulle förlora din enhet.
Men som jag hittade tidigare i år, det är inte perfekt (även som det var delvis mitt fel). På grund av den pågående problem med min iPhone, vilket är en annan historia i sig, jag gav så småningom i och återställ den till fabriksinställningarna. Men även om jag tog en backup, jag glömde att ta bort länken till min två-faktor-konton från authenticator jag var då med hjälp av Google Authenticator. Dessutom, jag var lat nog att inte skapas och lagras på ett säkert sätt en återställningskod för Snapchat, men jag hade skärmdumpar för några andra.
Så jag började med att installera appar som jag behövde på min iPhone, jag insåg att jag inte har tillgång till någon av mina koder. Men tack och lov, de flesta utvecklare hade förutsett denna eventualitet och förberedd för det, gör det möjligt för mig att falla tillbaka på mitt telefonnummer som en back-up alternativ. Dropbox, Google, Amazon och EA var alla smarta nog att göra så, men, som du skulle har förmodligen gissat, inte Snapchat. Det enda sättet att få var med hjälp av en återställningskoden, och jag inte har någon.
Naturligtvis sträckte jag ut för att Knäppa supporten på Twitter i hopp om att de skulle kunna hjälpa mig att reda ut det här. Efter allt detta, jag fortfarande hade tillgång till min e-post och telefon – de två saker som jag använde för att registrera dig på Snapchat – och tänkte att det skulle vara tillräckligt för att bevisa min identitet. Ack, det var inte att vara fallet. Utan återhämtning kod, en Snapin-representant berättade för mig, var jag ute på tur och skulle behöva skapa ett nytt konto.
Ironiskt nog, i att försöka hålla mitt konto, jag hade slutade med att låsa mig ute. Vem visste! Visst, det var mitt fel att inte de-länka eller skriva ner en återhämtning kod, men det hade inte påverkat mig med alla andra-konto med två-faktor stöd. Och ja, jag har också använt en bättre authenticator i första hand – jag har flyttat till Authy – som synkroniseras mina konton till molnet, och inte upprätthålla en lokal kopia bara, som Google Authenticator.
Men det visar också hur två-faktor autentisering kan vara ett tveeggat svärd, och ett dåligt genomförande kan göra mer skada än nytta. Det kan sluta upp att hålla reda på just de människor som den är tänkt att låta i, och som kan driva bort folk från ytterligare anta det. Och det är en förlust för alla inblandade.
På grund av den Snapchat debacle, jag stannade av tjänsten för ett halvår, innan de ger sig in peer-trycket under en semester förra månaden. Viktigare, har jag varit mer försiktig när du ställer upp två-faktor på mina konton, se till att jag fortfarande skulle kunna logga in om jag skulle landa i en liknande situation igen.
Och trots min uppriktiga ansträngningar, det är fortfarande gapande hål i världen av två-faktor tyvärr, med den mest uppenbara där med min telefon blir stulen. Att spåra det, jag skulle förlita sig på antingen Apples Hitta min iPhone (eller Googles Hitta min telefon för Android-användare). Om du har två-faktor aktiverat på din Apple och Google-konto, behöver du en kod från din telefon för att logga in på en ny enhet för att hitta din telefon. Det är ett klassiskt moment 22.
För att komma runt detta scenario, du måste ha en betrodd enhet, till exempel en dator, men om du inte har ett runt – de chanser som beror på var du är – du sannolikt kommer att vara fast. Såvida du inte använder två-faktor på alla, i vilket fall du kommer att bli bra. Det går att visa att de inneboende problemen med de system, det faktum att de som väljer mindre säkerhet kan faktiskt vara bättre.
Det visar också på behovet av ett bättre system, men det är inte klart vad det skulle vara. Redovisning av gammal skulle välja en säkerhetsfråga, och sedan hjälpa dig att återställa ditt lösenord. Men hacking som är enbart social ingenjörskonst. I en ålder av enheter med fingeravtrycksläsare, ett nytt sätt kan vara att låta de fingeravtryck som det andra log-faktor, men den sekretess konsekvenserna av att lagra på att info på nätet skulle bli enorma.
Jag verkligen inte anspråk på att ha alla svaren, men vad min erfarenhet har lärt mig att två-faktor autentisering är bra, tills det inte.
Lås-ikonen som gjorts av SimpleIcon från www.flaticon.com är licensierat under CC 3.0 AV