Czas przestać używać aplikacji SMS i 2FA do uwierzytelniania dwuskładnikowego

Reklama

Obecnie wydaje się, że każda witryna, którą odwiedzasz, stara się Cię do tego zachęcić użyj uwierzytelniania dwuskładnikowego (2FA).

Jednym z najczęstszych sposobów korzystania z 2FA jest wprowadzenie unikalnego kodu z urządzenia mobilnego. Zazwyczaj kod jest wysyłany w wiadomości tekstowej lub do wygenerowania go używasz aplikacji 2FA innej firmy.

Obie metody są popularnymi sposobami używania kodów ze względu na ich wygodę. Jednak obie metody są również słabe z punktu widzenia bezpieczeństwa. A ponieważ Twój kod 2FA jest tak bezpieczny, jak technologia zastosowana do jego dostarczenia, słabości są ważne.

Więc co jest nie tak za pomocą SMS-ów i aplikacji innych firm, aby uzyskać dostęp do kodów Co to są logowania bez hasła? Czy są faktycznie bezpieczne?Nadchodzą logowania bez hasła. Czy są bezpieczne? Jak do cholery działają logowanie bez hasła? Oto, co musisz wiedzieć. Czytaj więcej ? Czy istnieje równie wygodna alternatywa, która jest bezpieczniejsza? Wszystko wyjaśnimy. Czytaj dalej, aby dowiedzieć się więcej.

Jak działa uwierzytelnianie dwuskładnikowe

Zastanówmy się, jak działa uwierzytelnianie dwuskładnikowe. Bez zrozumienia mechaniki technologii reszta tego artykułu nie będzie miała większego sensu.

Ogólnie rzecz biorąc, 2FA dodaje dodatkową warstwę bezpieczeństwa do twojego konta Jak zabezpieczyć swoje konta za pomocą 2FA: Gmail, Outlook i więcejCzy uwierzytelnianie dwuskładnikowe może pomóc zabezpieczyć pocztę e-mail i sieci społecznościowe? Oto, co musisz wiedzieć, aby uzyskać bezpieczeństwo w Internecie. Czytaj więcej . Poświadczenia logowania, zwane także uwierzytelnianiem wieloskładnikowym, obejmują nie tylko hasło, ale także drugą informację, do której dostęp ma tylko prawowity właściciel konta.

2FA występuje w wielu różnych formach Plusy i minusy typów i metod uwierzytelniania dwuskładnikowegoMetody uwierzytelniania dwuskładnikowego nie są sobie równe. Niektóre są wyraźnie bezpieczniejsze. Oto najpopularniejsze metody, które najlepiej odpowiadają Twoim indywidualnym potrzebom. Czytaj więcej . Na najbardziej podstawowym poziomie może to być coś tak prostego jak pytania bezpieczeństwa (ponieważ nikt inny nie mógłby tego zrobić znać panieńskie nazwisko twojej matki Dlaczego odpowiadasz Hasło Pytania bezpieczeństwa NieprawidłoweJak odpowiadasz na pytania zabezpieczające konto internetowe? Szczere odpowiedzi? Niestety, twoja uczciwość może stworzyć szczelinę w twojej zbroi online. Przyjrzyjmy się, jak bezpiecznie odpowiadać na pytania zabezpieczające. Czytaj więcej lub twoje ulubione zwierzę). Na bardziej skomplikowanym końcu może to być identyfikator biometryczny, taki jak skan siatkówki lub odcisk palca.

Dlaczego należy unikać weryfikacji SMS?

SMS ma pozycję najbardziej dostępnego sposobu uzyskiwania dostępu i używania kodów 2FA. Jeśli witryna oferuje logowanie do uwierzytelniania dwuskładnikowego, prawie na pewno oferuje SMS jako jedną z opcji.

Ale SMS nie jest bezpiecznym sposobem korzystania z 2FA. Ma dwie kluczowe luki.

Po pierwsze, technologia podatne na ataki Swap SIM. Haker nie wykonuje dużo zamiany karty SIM. Jeśli mają dostęp do jeszcze jednej informacji osobistej - na przykład numeru ubezpieczenia społecznego - mogą zadzwonić do operatora i przenieść Twój numer na nową kartę SIM.

Po drugie, hakerzy mogą przechwytywać wiadomości SMS. Wszystko wraca do przestarzałego systemu routingu telefonicznego nr 7 (SS7). Metodologia została opracowana w 1975 roku, ale nadal jest używana prawie na całym świecie do łączenia i rozłączania połączeń. Obsługuje również tłumaczenia liczb, rozliczenia z góry i, co najważniejsze, wiadomości SMS.

Nic dziwnego, że ta technologia z 1975 roku jest pełna luk bezpieczeństwa. Oto jak ekspert ds. bezpieczeństwa Bruce Schneier opisał wady:

„Jeśli osoby atakujące mają dostęp do portalu SS7, mogą przekazać Twoje rozmowy do internetowego urządzenia rejestrującego i przekierować połączenie na przeznaczenie […] Oznacza to, że dobrze wyposażony przestępca może pobrać wiadomości weryfikacyjne i wykorzystać je, zanim jeszcze zobaczysz im."

Oczywiście odkrycie, że ma cyberprzestępca zhakował twojego Facebooka Jak sprawdzić, czy Twoje konto na Facebooku zostało zhakowanePonieważ Facebook zawiera tak wiele danych, musisz chronić swoje konto. Oto, jak dowiedzieć się, czy Twój Facebook został zhakowany. Czytaj więcej konto jest dalekie od ideału. Ale sytuacja jest trudniejsza, jeśli weźmie się pod uwagę inne zastosowania 2FA. Cyberprzestępca może ukraść kody używane w bankowości internetowej, a nawet inicjować i realizować przelewy pieniężne 6 najlepszych aplikacji do wysyłania pieniędzy do znajomychNastępnym razem, gdy będziesz musiał wysłać pieniądze znajomym, sprawdź te wspaniałe aplikacje mobilne, aby w ciągu kilku minut wysłać pieniądze do dowolnej osoby. Czytaj więcej .

Ponadto Schneier twierdzi również, że każdy może kupić dostęp do sieci SS7 za około 1000 USD. Po uzyskaniu dostępu mogą wysłać żądanie routingu. Aby rozwiązać problem, sieć może nie uwierzytelnić źródła żądania.

Pamiętaj, że używanie uwierzytelniania dwuskładnikowego przez SMS jest lepsze niż pozostawienie 2FA wyłączone. I prawdopodobnie nie staniesz się ofiarą. Jeśli jednak zaczynasz czuć się trochę zaniepokojony, musisz czytać dalej. Wiele osób akceptuje, że SMS jest niepewny i zamiast tego zwraca się do aplikacji innych firm.

Ale to może nie być dużo lepsze.

Dlaczego warto unikać aplikacji 2FA

Innym powszechnym sposobem korzystania z kodów 2FA jest instalacja dedykowanej aplikacji na smartfony. Jest wiele do wyboru. Google Authenticator jest prawdopodobnie najbardziej rozpoznawalny, ale niekoniecznie najlepszy. Istnieje wiele alternatyw - sprawdź Authy, Authenticator Plus i Duo.

Ale na ile bezpieczne są specjalistyczne aplikacje 2FA? Ich największą słabością jest ich poleganie na tajnym kluczu.

Cofnijmy się na chwilę. Jeśli nie wiesz, kiedy rejestrujesz się w wielu aplikacjach po raz pierwszy, musisz wprowadzić tajny klucz. Sekret jest dzielony między tobą a dostawcą aplikacji.

Podczas uzyskiwania dostępu do witryny kod tworzony przez aplikację jest oparty na kombinacji Twojego klucza i bieżącej godziny. W tym samym momencie serwer generuje kod przy użyciu tych samych informacji. Dwa kody muszą się zgadzać, aby uzyskać dostęp. Brzmi rozsądnie.

Dlaczego więc klucze są słabym punktem? Co się stanie, jeśli cyberprzestępca zdoła uzyskać dostęp do bazy danych haseł i tajemnic firmy? Każde konto byłoby wrażliwe - napastnik może przyjść i odejść Jak sprawdzić, czy ktoś jeszcze ma dostęp do twojego konta na FacebookuJest to zarówno złowieszcze, jak i niepokojące, jeśli ktoś ma dostęp do twojego konta na Facebooku bez twojej wiedzy. Oto, jak się dowiedzieć, czy zostałeś złamany. Czytaj więcej fakultatywnie.

Po drugie, sekret jest wyświetlany w postaci zwykłego tekstu lub w postaci kodu QR; nie może być hashed lub używany z solą Co to wszystko oznacza skrót Hash MD5 [Technologia wyjaśniona]Oto pełna wersja MD5, skrót i mały przegląd komputerów i kryptografii. Czytaj więcej . Prawdopodobnie jest to również zwykły tekst na serwerach firmy.

Tajny klucz jest podstawową wadą jednorazowego hasła opartego na czasie (TOTP), z którego korzystają specjalistyczne aplikacje. Dlatego fizyczny klucz U2F jest zawsze bezpieczniejszą opcją.

Wady w projektowaniu i bezpieczeństwie aplikacji 2FA

Oczywiście szanse, że cyberprzestępca włamie się na niezbędne bazy danych aplikacji innych firm, są dość niewielkie. Ale twoja aplikacja może również cierpieć z powodu podstawowych wad bezpieczeństwa w swojej konstrukcji.

Popularny menedżer haseł LastPass 8 łatwych sposobów na zwiększenie bezpieczeństwa LastPassByć może używasz LastPass do zarządzania wieloma hasłami online, ale czy używasz go, prawda? Oto osiem kroków, które możesz zrobić, aby Twoje konto LastPass było jeszcze bardziej bezpieczne. Czytaj więcej padł ofiarą w grudniu 2017 r. ZA post na blogu programisty na Medium ujawniono tajne klucze 2FA można uzyskać bez odcisku palca, hasła lub innych środków bezpieczeństwa.

Obejście tego problemu nie było nawet skomplikowane. Uzyskując dostęp do aktywności ustawień aplikacji LastPass Authenticator (com.lastpass.authenticator.activities. SettingsActivity), można wejść do panelu ustawień aplikacji bez żadnych kontroli. Stamtąd możesz nacisnąć Z powrotem raz, aby uzyskać dostęp do wszystkich kodów 2FA.

LastPass naprawił teraz wadę, ale pytania pozostają. Według programisty przez siedem miesięcy próbował powiedzieć LastPass o tym problemie, ale firma nigdy go nie naprawiła. Ile innych aplikacji 2FA innych firm jest niepewnych? A o ile nieusuniętych luk wiedzą programiści, ale opóźniają łatanie? Istnieją również obawy, jeśli chodzi o utrata dostępu do generatora kodu na Facebooku Jak zalogować się na Facebooku, jeśli straciłeś dostęp do generatora kodówUtracono dostęp do generatora kodu na Facebooku? W tym artykule omówiono alternatywne metody logowania do konta na Facebooku. Czytaj więcej na przykład.

Co zamiast tego zrobić: użyj klawiszy U2F

Zamiast polegać na SMS-ach i 2FA dla swoich kodów, powinieneś użyć Uniwersalne klucze 2nd Factor Co to są klucze U2F i gdzie są obsługiwane?Klucze U2F to jeden z najlepszych sposobów na zapewnienie bezpieczeństwa kont. Ale gdzie obsługiwane są klucze U2F? Czytaj więcej (U2F). Są najbezpieczniejszym sposobem generowania kodów i uzyskiwania dostępu do twoich usług.

Powszechnie uważana za wersję 2FA drugiej generacji, zarówno upraszcza, jak i wzmacnia obecny protokół. Ponadto korzystanie z kluczy U2F jest prawie tak wygodne, jak otwieranie wiadomości SMS lub aplikacji innej firmy.

Klucze U2F używają połączenia NFC lub USB. Po pierwszym podłączeniu urządzenia do konta wygeneruje on losową liczbę o nazwie „Nonce”. Nonce jest mieszane z nazwą domeny witryny, aby utworzyć unikalny kod.

Następnie możesz wdrożyć klucz U2F, podłączając go do urządzenia i czekając, aż usługa go rozpozna.

Więc co jest wadą? Cóż, mimo że U2F jest otwartym standardem, nadal kosztuje pieniądze na zakup fizycznego klucza U2F. A może bardziej niepokojące, że jesteś zagrożony kradzieżą.

Skradziony klucz U2F nie powoduje automatycznie zagrożenia bezpieczeństwa konta; haker nadal będzie musiał znać twoje hasło. Ale w przestrzeni publicznej złodziej mógł już widzieć, jak wpisujesz hasło z daleka, przed kradzieżą swojego mienia.

Klucze U2F mogą być drogie

Ceny różnią się znacznie między producentami, ale możesz spodziewać się zapłaty od około 15 do 50 USD.

Najlepiej jest kupić model z certyfikatem „FIDO”. Sojusz FIDO (Fast IDentity Online) jest odpowiedzialny za osiągnięcie interoperacyjności między technologiami uwierzytelniania. Członkami są wszyscy, od Google i Microsoft, po Bank of America i MasterCard.

Kupując urządzenie FIDO, możesz mieć pewność, że klucz U2F będzie działał ze wszystkimi usługami, z których korzystasz na co dzień. Sprawdź klucz DIGIPASS SecureClick U2F, jeśli chcesz go kupić.

Niepewne 2FA jest wciąż lepsze niż nr 2FA

Podsumowując, klucze Universal 2nd Factor zapewniają przyjemne połączenie łatwości użytkowania i bezpieczeństwa. SMS to najmniej bezpieczne podejście, ale także najwygodniejsze.

I pamiętaj, że każde 2FA jest lepsze niż brak 2FA. Tak, zalogowanie się do niektórych aplikacji może potrwać dodatkowe 10 sekund, ale jest to lepsze niż poświęcenie bezpieczeństwa.