Dobleng kaligtasan

.
Puwedeng magkaroon ng mga hindi kanais-nais na kahihinatnan ang isang matagumpay na pag-hack ng data. May mga kaso kung saan ginamit ng mga hindi kilalang attacker ang mga account ng mga biktima para mang-troll sa social media o magpadala ng mga mapanlokong email sa ngalan ng user. Naranasan na ng ibang tao na mawalan ng pera mula sa kanilang mga online na bank account. Kadalasan, hindi napapansin ng mga tao na na-hack ang kanilang mga account hanggang sa nagawa na ang pinsala.

Isang dahilan kung bakit paulit-ulit na nangyayari ang pagnanakaw ng data ay dahil masyadong umaasa ang karamihan sa mga user sa kanilang mga password para protektahan sila sa online na mundo. Walang kamalayan ang mga tao sa pagkakaroon ng mga online na listahang naglalaman ng milyon-milyong kumbinasyon ng username at password. Ang mga listahang ito na tinatawag na “mga password dump” ng mga eksperto ay binubuo mula sa data na nakuha sa maraming matagumpay na pagnanakaw ng data. Dahil ginagamit ng maraming tao ang kanilang mga password para sa maraming bagay, makikita rin sa “mga password dump” na ito ang kanilang data sa pag-log in para sa kanilang mga Google Account kahit hindi na-hack ang kanilang mga account. Ang isa pang patuloy na panganib ay dala ng phishing – mga mapanlokong pagsubok na makuha ang mga password at iba pang impormasyon gamit ang mga mukhang mapagkakatiwalaang email o website.

Iyon ang dahilan kung bakit inirerekomenda ng mga kumpanya tulad ng Google na i-secure ng mga user ang kanilang online na account sa pamamagitan ng two-factor authentication, kung saan kasama ang pagpapakita ng dalawang magkahiwalay na factor para makapag-log in – gaya ng password at code na ipinadala sa pamamagitan ng text. Naging napakakaraniwan na ng paraan ng pag-authenticate na ito, lalo na sa mga bangko at kumpanya ng credit card.

Tinutukoy ng mga eksperto sa seguridad ang tatlong pangunahing uri ng factor sa seguridad. Ang una ay ang isang bahagi ng impormasyon (“isang bagay na alam mo”): halimbawa, makakatanggap ang user ng code sa pamamagitan ng text at ilalagay niya ito, o kailangan niyang sumagot ng pangseguridad na tanong. Ang pangalawa ay isang pisikal na gamit (“isang bagay na mayroon ka”) na puwedeng gamitin para sa pag-authenticate, gaya ng credit card. Ang pangatlo ay ang biometric data (“isang bagay na ikaw mismo”), gaya ng kapag ina-unlock ng mga user ng smartphone ang kanilang screen gamit ang kanilang fingerprint. Gumagamit ang lahat ng diskarte sa two-factor authentication ng kumbinasyon ng dalawa sa iba't ibang factor na ito.

Nag-aalok ang Google ng iba't ibang uri ng two-factor authentication. Kasama ng tradisyonal na password, puwedeng maglagay ang mga user ng pang-isang beses na security code na matatanggap nila sa pamamagitan ng text o voice call o na mabubuo nila sa Google Authenticator app, na nagagamit sa Android at sa mobile operating system na iOS ng Apple. Puwede ring magbigay ang mga user ng listahan ng mga pinagkakatiwalaang device sa kanilang Google Account. Kung susubukang mag-log in ng user mula sa device na wala sa listahan, makakatanggap siya ng babala sa seguridad mula sa Google.

Sa nakalipas na tatlong taon, inaalok din ng Google ang mga user nito ng opsyon sa paggamit ng pisikal na token ng seguridad, na tinatawag na security key. Isa itong USB, NFC, o Bluetooth dongle na kailangang ikonekta sa pinag-uusapang device. Nakabase ang proseso sa isang pamantayan sa bukas na pag-authenticate na tinatawag na Universal 2nd Factor (U2F), na binuo ng FIDO consortium. Bahagi ang Google ng consortium na iyon, kasama ang mga kumpanya gaya ng Microsoft, Mastercard, at PayPal. Available ang mga token ng seguridad na batay sa pamantayan ng U2F mula sa iba't ibang manufacturer para sa maliit na bayarin. Napatunayang lubos na matagumpay ang mga iyon – dahil kapansin-pansing bumaba ang panganib sa pagnanakaw ng data mula nang ipinakilala ang mga security key. Kahit na posibleng i-hack ang isang online na account saanman sa mundo, ang isang pisikal na token ng seguridad ay kailangang hawak mismo ng mga magnanakaw (at kakailanganin din ang mga detalye sa pag-log in ng kanilang mga biktima para i-access ang account). Sinusuportahan na ng ilang kumpanya bilang karagdagan sa Google ang mga token ng seguridad na ito.

Siyempre, may mga disbentahe rin ang two-factor authentication. Sa mga gumagamit ng mga text code, kailangang dala nila ang kanilang cell phone kapag nagla-log in mula sa isang bagong device. Puwedeng mawala ang USB at mga Bluetooth dongle. Pero hindi ito mga problemang hindi kayang malampasan, at tiyak na sulit ang panganib kapag isinasaalang-alang kung gaano karaming karagdagang seguridad ang naibibigay ng mga iyon. Puwedeng alisin ng sinumang nakawala ng kanyang security key ang nawalang token mula sa account niya at puwede siyang magdagdag ng bago. Isa pang opsyon ang pagpaparehistro ng pangalawang security key sa simula pa lang at pagtatago nito sa ligtas na lugar.

Para sa higit pang impormasyon, bisitahin ang:g.co/2step

Larawan: Birgit Henne