Usalama maradufu

Uthibitishaji wa hatua mbili unaweza kuwasaidia watumiaji kujilinda vyema mtandaoni. Akaunti ya Google hutoa chaguo kadhaa

Udukuzi wa data unaweza kuwa na matokeo yasiyopendeza. Kumekuwa na visa ambapo washambulizi wasiojulikana wametumia akaunti za waathiriwa kuchokoza watu wengine kwa kutumia jina la mtumiaji kwenye mitandao ya kijamii au kutuma barua pepe za ulaghai. Watu wengine wamekumbwa na matukio ya pesa kutoweka kwenye akaunti zao za mtandaoni za benki. Aghalabu, watu hawatambui kwamba akaunti zao zimeduakuliwa hadi wakati madhara yamefanyika.

Mojawapo wa sababu ya wizi wa data kutokea mara kwa mara ni kwamba watumiaji wengi hutegemea sana manenosiri yao kuwalinda mtandaoni. Watu hawana habari kuhusu kuwepo kwa orodha za mtandaoni zilizo na mamilioni ya mchanganyiko wa majina ya watumiaji na manenosiri. “Malundo haya ya manenosiri,” kama wataalamu wanavyoita orodha hizi, yanakusanywa kutoka kwa data iliyochukuliwa kwenye matukio mengi ya wizi wa data. Kwa sababu watu wengi hutumia manenosiri yao kwa mambo kadhaa, data yao ya kuingia katika Akaunti yao ya Google inaweza pia kupatikana kwenye “malundo haya ya manenosiri” hata kama akaunti zao hazijadukuliwa. Tishio jingine la mara kwa mara linatokana na wizi wa data binafsi – majaribio ya ulaghai ya kupata manenosiri na maelezo mengine kupitia barua pepe na tovuti zinazoonekana kuaminika.

Ndiyo maana kampuni kama vile Google hupendekeza kuwa watumiaji walinde akaunti zao za mtandaoni kwa kutumia uthibitishaji wa hatua mbili, ambao unajumuisha kuwasilisha hatua mbili tofauti ili kuingia katika akaunti – kama vile nenosiri na msimbo uliotumwa kupitia ujumbe wa simu. Mbinu hii ya uthibitishaji inatumika sana, hasa kwa benki na kampuni za kadi za mikopo.

Wataalamu wa usalama wamebainisha aina tatu za msingi za mbinu za usalama. Ya kwanza ni taarifa (“kitu unachojua”): kwa mfano, mtumiaji anapokea msimbo kupitia ujumbe na kuuweka au anapaswa kujibu swali la usalama. Ya pili ni kitu kinachoonekana (“kitu ulicho nacho”) ambacho kinaweza kutumika kwa uthibitishaji, kama vile kadi ya mikopo. Ya tatu ni data ya bayometriki (“wewe mwenyewe”), kama vile watumiaji wa simu mahiri wanapofungua skrini zao kwa kutumia alama za kidole. Mikakati yote ya uthibitishaji wa hatua mbili hutumia mbinu mbili kati ya mbinu hizi tofauti.

Google hutoa aina mbalimbali za uthibitishaji wa hatua mbili. Pamoja na nenosiri la asili, watumiaji wanaweza kuweka msimbo wa mara moja wa usalama ambao wanapokea kupitia ujumbe au simu ya sauti au wanaozalisha kwenye programu ya Kithibitishaji cha Google, kinachofanya kazi kwenye Android na mfumo wa uendeshaji wa vifaa vya mkononi vya iOS ya Apple. Watumiaji pia wanaweza kutoa orodha ya vifaa wanavyoviamini kwenye Akaunti yao ya Google. Ikiwa mtumiaji atajaribu kuingia katika akaunti kutoka kwenye kifaa ambacho hakiko katika orodha, atapokea onyo la usalama kutoka Google.

Kwa miaka mitatu iliyopita, Google pia imewapa watumiaji wake chaguo la kutumia tokeni halisi ya usalama, inayoitwa ufunguo wa usalama. Hii ni USB, NFC au kifaa cha Bluetooth ambacho lazima kiunganishwe kwenye kifaa husika. Mchakato huu unalingana na kiwango wazi cha uthibitishaji kinachoitwa Hatua Mbili za Jumla (U2F), ulioundwa na ubia wa FIDO. Google ni sehemu ya ubia huo pamoja na kampuni kama vile Microsoft, Mastercard na PayPal. Tokeni za usalama zinazolingana na kiwango cha U2F zinapatikana kutoka kwa watengenezaji mbalimbali kwa ada ndogo. Zimethibitishwa kufanikiwa sana – tangu kuanzishwa kwa ufunguo wa usalama, hatari ya wizi wa data imepungua kwa kiasi kikubwa. Ingawa upo uwezekano wa akaunti ya mtandaoni kudukuliwa kutoka mahali popote ulimwenguni, lazima wezi wawe na tokeni halisi ya usalama (pia wanatahitaji maelezo ya kuingia katika akaunti ya mwathiriwa ili waweze kufikia akaunti). Baadhi ya kampuni, pamoja na Google tayari zinatumia tokeni hizi za usalama.

Bila shaka, uthibitishaji wa hatua mbili pia una mapungufu yake. Wanaotumia misimbo kupitia ujumbe lazima wawe na simu ya mkononi wanapoingia katika akaunti kupitia kifaa kipya. Vifaa vya USB na Bluetooth pia vinaweza kupotea. Lakini haya si matatizo ambayo hayawezi kutatuliwa na bila shaka yana faida unapozingatia usalama wa ziada unaotolewa na vifaa hivi. Mtu yeyote anayepoteza ufunguo wake wa usalama anaweza kuondoa tokeni iliyopotea na kuweka nyingine mpya. Chaguo jingine ni kusajili ufunguo wa pili wa usalama kutoka mwanzo na kuuweka salama.

Kwa maelezo zaidi, tembelea:

g.co/2step

Mchoro: Birgit Henne