^{Оригиналът е на Digvijay Kumar}

Само една успешна хакерска атака може да доведе до загуба на всичко – на данните, акаунта и спокойствието ви. Ето защо се отказах от текстовите SMS-и и удостоверителните кодове и преминах към по-безопасна алтернатива.

Бързи и лесни логвания

Преминаването към ключ за сигурност напълно промени начина, по който влизам в системата – това е много по-бързо и лесно. Двуфакторното удостоверяване на автентичността (2FA) беше толкова досадно. Трябваше да взема телефона си, да намеря текстовия код (или да отворя някое приложение за удостоверяване) и да въведа шестцифрения код, преди той да изтече. Но сега, с помощта на ключа за сигурност, всичко това вече е в миналото.

Сега просто се свързвам с компютъра си или се съединявам безжично чрез NFC (Near Field Communication), за да удостоверя влизането си. Това е изключително сигурно и светкавично, така че вече не чакам закъснели SMS-и и не се притеснявам, че ще въведа грешен код. Само едно бързо докосване или кликване и съм вътре. Дори съм го настроил за множество акаунти: имейл, Instagram, X и други. Това е като да имаш един ключ, който отключва всичките ми дигитални врати.

Най-сигурният метод за 2FA

Двуфакторното удостоверяване (2FA) добавя допълнително ниво на сигурност към профила ви, въпреки че не всички 2FA опции са еднакви. SMS кодовете могат да бъдат прихванати, а удостоверяващите устройства с приложения (макар и по-сигурни) все още разчитат на софтуер, който може да бъде компрометиран, ако телефонът ви бъде изгубен, откраднат или хакнат.

Ключовете за сигурност обаче използват сериозно криптиране и комуникират само с легитимни уеб сайтове. Създадени на базата на стандартите FIDO U2F и FIDO2, те използват криптография, за да гарантират, че влизате в истински сайт, а не във фалшив, предназначен да открадне информацията ви. Ако хакер ви измами с фалшива фишинг страница за логване, вашият ключ няма да реагира. Това ниво на защита от фишинг е нещо, което не може да се сравни с никой друг 2FA метод.

Големи имена като Facebook, X и Microsoft масово използват ключове за сигурност. Apple вече ги поддържа за Apple ID и двуфакторното удостоверяване, а Google ги използва за вътрешна защита на акаунтите на служителите. Експертите по киберсигурност и организации като NIST и ENISA наричат физическите ключове за сигурност златния стандарт за защита на акаунтите.

Може и да не съм голяма цел, но знанието, че използвам същата защита, на която се доверяват професионалистите в областта на киберсигурността, ми дава истинско спокойствие.

Работи офлайн – не е необходим телефон

Другото нещо, което ми харесва в ключа за сигурност, е, че работи изцяло офлайн – не е необходим телефон. Дори ако телефонът ми бъде изгубен или откраднат, аз продължавам да имам достъп до всичко, защото ключът не е свързан с него. Спомням си как веднъж, когато пътувах, батерията на телефона ми се изтощи. С обикновеното 2FA щях да бъда блокиран, но с ключа за защита това вече не е проблем. Той не се нуждае от сигнал или интернет, за да си свърши работата.

Стига да имам ключа, мога да вляза в системата от всяко устройство, независимо дали съм на много километри над земята и използвам самолетен Wi-Fi, или се разхождам в средата на нищото без обхват. Това е най-доброто резервно средство за осигуряване на сигурността навсякъде и по всяко време. Няма приложения, които да инсталирате, няма кодове, с които да боравите, и няма батерии, за които да се притеснявате. Ключът за сигурност сам се грижи за всичко.

Защитава от фишинг измамите

Фишинг имейлите и фалшивите страници за логване са навсякъде и дори интелигентните потребители понякога се подвеждат. При обикновеното двуфакторно удостоверяване, ако въведете кода си във фалшив сайт, нападателят може веднага да го използва. Ключовете за сигурност обаче са създадени, за да предотвратят този кошмарен сценарий. Те използват функция, наречена обвързване на произхода, което означава, че работят само с легитимни уеб сайтове. Така че, ако свържа ключа си с фалшив сайт, представящ се за моята банка, той няма да проработи, тъй като ключът знае, че нещо не е наред, и отказва да влезе в този сайт.

Големите компании са приели защитните ключове, за да спрат фишинга, при това с голям успех. Така например, според Кребс on Security, компанията Google е накарала всички служители да ги използват и оттогава не е имало нито един фишинг инцидент в служебните акаунти. Cloudflare, друга голяма технологична компания, се е сблъскала с усъвършенствана фишинг атака, която е подмамила някои служители, но нападателите не са могли да получат достъп до акаунтите, защото ключовете за сигурност са ги блокирали.

Тези примери от реалния живот повишават увереността ми. Ако един обикновен ключ за $25 като USB-C Yubikey може да блокира фишинг атаките, от които се притесняват дори големите технологични компании, това е достатъчно, за да ме предпази от ежедневните измами. Използването на ключа е като да имаш фишинг щит, който е винаги включен. Чувствам се много по-сигурен, когато влизам в чувствителни акаунти като имейл или онлайн банкиране, където една фишинг грешка може да се окаже грандиозен проблем.

Имунитет срещу заплахите от подмяна на SIM картите

Освен от фишинг, ключовете за сигурност ме предпазват и от атаките за смяна на SIM картите. В общи линии подмяната на SIM картите се извършва, когато измамник подлъже мобилния ви оператор да прехвърли вашия номер на неговата SIM карта. След като получат номера ви, те могат да прихванат вашите SMS кодове и обаждания, което им дава достъп до акаунтите, които използват 2FA чрез SMS съобщения.

Има известни случаи, като този, при който акаунтът на главния изпълнителен директор на Twitter Джак Дорси беше хакнат чрез подмяна на SIM картата. Някои инвеститори в криптовалути също са загубили големи суми, след като телефонните им номера са били откраднати. Като чух тези истории, ме побиха тръпки – стана ясно, че сигурността, базирана на SMS, не е толкова сигурна, колкото си мислех преди време.

Ключовете за сигурност обаче са напълно имунизирани срещу подмяна на SIM картите. Тъй като моят ключ не е свързан с телефонния ми номер и мобилния оператор, хакерът няма какво да пренасочи. Измамникът не може да се обади на моя доставчик и да прехвърли моя ключ, както може да го направи със SIM картата. Те трябва буквално да откраднат устройството, а дори и тогава ще им е необходима моята парола или ПИН кода на ключа.

Ето защо експертите по киберсигурност казват, че най-добрият начин да се преборите с телефонните атаки е да не разчитате на телефона си. А ключът за сигурност прави точно това.

Google директно казва в своя сайт, че ключовете за сигурност могат да се използват за потвърждаването в две стъпки, за да ви помогнат да не допускате хакери до профила си в Google. И още:

„Можете да управлявате ключовете си за сигурност от настройките за потвърждаването в две стъпки. Там ще намерите списък с добавените от вас ключове, изброени от най-новите към най-старите. Ще намерите и още информация, като например името на ключа, датата на добавянето му и датата на последното използване. По подразбиране името на ключа е „Ключ за сигурност“, освен ако не го персонализирате“.

За разлика от паролите ключовете за достъп могат да съществуват само на устройствата ви. Те не могат да бъдат записани, нито случайно да бъдат предоставени на злонамерено лице.

Apple от своя страна казва по този повод, че ключовете за сигурност за вашата Apple регистрация е допълнителна функция за безопасността, създадена за хора (като знаменитости, журналисти и членове на правителства), които искат допълнителна защита от целенасочени атаки върху регистрацията си, включително фишинг и измами в социалните мрежи.