Acasă Securitywatch Securitywatch: autentificarea cu doi factori vă face mai sigur?

Securitywatch: autentificarea cu doi factori vă face mai sigur?

Cuprins:

Video: Contul nostru de facebook a fost blocat in autentificarea in 2 factori cum il deblocam . (Noiembrie 2024)

Video: Contul nostru de facebook a fost blocat in autentificarea in 2 factori cum il deblocam . (Noiembrie 2024)
Anonim

Săptămâna aceasta, am săpat în sacul poștal fără fund pentru a aborda o altă întrebare despre autentificarea cu doi factori (2FA). Este un subiect pe care l-am atins până acum, dar, judecând după volumul și specificul întrebărilor pe care le-am primit despre acesta, este clar o problemă la care se gândesc mulți oameni. Deoarece văd 2FA ca, poate, singurul lucru cel mai bun pe care îl pot face oamenii obișnuiți pentru a rămâne în siguranță online, sunt mai mult decât fericit să vorbesc la nesfârșit despre asta.

Întrebarea de astăzi vine de la Ted, care a scris întrebându-se dacă sistemele 2FA sunt cu adevărat tot ce sunt crăpate. Vă rugăm să rețineți că scrisoarea lui Ted a fost editată pentru scurtă durată. Ted își începe mesajul făcând referire la o parte din celelalte scrieri ale mele pe 2FA.

Ați scris „Odată ce v-ați înscris cheia de securitate, codurile de parolă SMS vor fi o opțiune de rezervă în cazul în care pierdeți sau nu puteți accesa cheia." Dacă acest lucru este adevărat, atunci de ce este acest dispozitiv mai sigur decât un cod SMS 2FA? Așa cum ați scris, „Dar telefoanele pot fi furate, iar jack-ul SIM este aparent un lucru de care trebuie să ne facem griji acum”.
Ce este de a împiedica pe cineva să spună Google că sunteți, ați pierdut cheia de securitate și aveți nevoie de un cod SMS trimis către telefonul dvs. furat / conectat? Dacă am înțeles corect acest dispozitiv, atunci acest dispozitiv nu este mai sigur decât textele SMS 2FA. Este mult mai convenabil, asta este sigur, dar nu văd cum este mai sigur.
Rezultatul este că cheia de securitate îți va spori securitatea, dar numai pentru că ai mai multe șanse să o folosești, nu pentru că este, în mod inerent, mai sigură decât 2FA? Ce îmi lipsește?

Nu-ți lipsește nimic, Ted. De fapt, sunteți deștept să aflați o problemă fundamentală care stă la baza multor securități din jurul autentificării online: cum verificați în siguranță cine sunt oamenii, fără a le face imposibil să își recupereze conturile?

Bazele 2FA

Să acoperim mai întâi câteva elemente de bază. Autentificarea cu doi factori, sau 2FA, este un concept de securitate în care trebuie să prezentați două dovezi de identitate, numite factori, dintr-o listă cu trei posibile.

  • Ceva ce știi , cum ar fi o parolă.
  • Ceva ce ai , cum ar fi un telefon.
  • Ceva ce ești , cum ar fi amprenta ta.

În termeni practice, 2FA înseamnă adesea un al doilea lucru pe care îl faceți după ce introduceți parola pentru a vă conecta la un site sau serviciu. Parola este primul factor, iar al doilea ar putea fi fie un mesaj SMS trimis către telefonul dvs. cu un cod special, fie folosind FaceID-ul Apple pe un iPhone. Ideea este că, în timp ce o parolă poate fi ghicită sau furată, este mai puțin probabil ca un atacator să obțină parola și cel de-al doilea factor.

În scrisoarea sa, Ted întreabă în mod specific despre cheile hardware 2FA. Seria YubiKey a lui Yubico este probabil cea mai cunoscută opțiune, dar este departe de singura opțiune. Google are propriile sale chei Titan Security, iar Nitrokey oferă o cheie open-source, pentru a numi doar două.

Capcanele practice

Niciun sistem de securitate nu este perfect, iar 2FA nu este diferit. Guemmy Kim, responsabilul de administrare a produselor pentru echipa de securitate a contului Google, a subliniat pe bună dreptate că multe dintre sistemele pe care ne bazăm pentru recuperarea contului și 2FA sunt susceptibile de a fi phishing. Aici sunt cei răi care folosesc site-uri false pentru a vă păcăli să introduceți informații private.

Un atacator inteligent vă poate infecta telefonul cu un troian cu acces la distanță care să le permită să vizualizeze sau chiar să intercepteze codurile de verificare prin SMS trimise pe dispozitiv. Sau ar putea crea o pagină de phishing convingătoare pentru a vă păcăli să introduceți un cod unic generat dintr-o aplicație precum Google Authenticator. Chiar și opțiunea mea de a face coduri de rezervă pentru hârtie ar putea fi interceptată de un site de phishing care m-a pacalit să introduc un cod.

Unul dintre cele mai exotice atacuri ar fi jacking-ul SIM, în cazul în care un atacator vă clonează cartela SIM sau vă îndepărtează compania de telefonie pentru a vă înregistra cartela SIM, pentru a vă intercepta mesajele SMS. În acest scenariu, atacatorul te poate răspunde foarte eficient, întrucât îți pot folosi numărul de telefon ca fiind propriu.

Un atac nu atât de exotic este pierderea și furtul vechi. Dacă telefonul sau o aplicație de pe telefonul dvs. este autentificatorul principal și îl pierdeți, va fi o durere de cap. Același lucru este valabil și pentru tastele hardware. Deși cheile de securitate hardware, precum Yubico YubiKey, sunt greu de rupt, sunt foarte ușor de pierdut.

Seria Yubico Yubikey 5 vine în mai multe configurații diferite.

Problema recuperării contului

Ceea ce subliniază Ted în scrisoarea sa este că multe companii vă solicită să setați o a doua metodă 2FA, pe lângă o cheie de securitate hardware. Google, de exemplu, vă solicită să utilizați SMS, să instalați aplicația Authenticator a companiei sau să vă înscrieți dispozitivul pentru a primi notificări push de la Google care vă verifică contul. Se pare că aveți nevoie de cel puțin una dintre aceste trei opțiuni ca o copie de rezervă pentru orice altă opțiune 2FA pe care o utilizați - cum ar fi tastele Titan de la Google.

Chiar dacă înregistrați o a doua cheie de securitate ca rezervă, trebuie să activați SMS-urile, Google Authenticator sau notificările push. În special, dacă doriți să utilizați Programul avansat de protecție Google, este necesară înscrierea unei a doua chei.

În mod similar, Twitter necesită, de asemenea, să utilizați coduri SMS sau o aplicație de autentificare, pe lângă o cheie de securitate hardware opțională. Din păcate, Twitter vă permite doar să vă înscrieți o cheie de securitate simultan.

După cum a subliniat Ted, aceste metode alternative sunt din punct de vedere tehnic mai puțin sigure decât folosind o cheie de securitate de la sine. Nu pot decât să ghicesc de ce aceste sisteme au fost implementate în acest fel, dar bănuiesc că doresc să se asigure că clienții lor pot accesa conturile lor întotdeauna. Codurile SMS și aplicațiile de autentificare sunt opțiuni testate în timp, ușor de înțeles de către oameni și care nu le solicită să cumpere dispozitive suplimentare. Codurile SMS abordează și problema furtului de dispozitiv. Dacă vă pierdeți telefonul sau este furat, îl puteți bloca de la distanță, dezactiva cardul SIM și puteți obține un telefon nou care poate primi codurile SMS pentru a vă reveni online.

Personal, îmi place să am mai multe opțiuni disponibile, deoarece, în timp ce mă preocupă securitatea, mă știu și pe mine și știu că pierd sau rup lucrurile destul de regulat. Știu că oamenii care nu au folosit niciodată 2FA sunt foarte preocupați de a se găsi blocați din contul lor dacă folosesc 2FA.

2FA este de fapt foarte bun

Este întotdeauna important să înțelegem dezavantajele oricărui sistem de securitate, dar acest lucru nu invalidează sistemul. În timp ce 2FA are punctele sale slabe, a avut un succes enorm.

Din nou, trebuie să ne uităm doar la Google. Compania a solicitat utilizarea cheilor hardware 2FA intern, iar rezultatele vorbesc de la sine. Preluările cu succes ale angajaților Google au dispărut efectiv. Acest lucru este deosebit de important, având în vedere că angajații Google, cu poziția lor în industria tehnologică și averea (presupuse), sunt primordiali pentru atacuri țintite. Acesta este locul în care atacatorii depun eforturi mari pentru a viza anumite persoane într-un atac. Este rar și, de obicei, reușește dacă atacatorul are fonduri și răbdare suficiente.

Pachetul de chei de securitate Google Titan include chei USB-A și Bluetooth.

Aici este faptul că Google a necesitat un tip specific de 2FA: cheile de securitate hardware. Acestea au avantajul față de celelalte scheme 2FA ca fiind foarte greu de phish sau de altfel interceptate. Unii ar putea spune imposibil, dar am văzut ce s-a întâmplat cu Titanicul și știu mai bine.

Totuși, metodele de interceptare a codurilor SMS 2FA sau a jetoanelor autentificatorului sunt destul de exotice și nu se scalează foarte bine. Asta înseamnă că este puțin probabil să fie folosiți de criminalul mediu, care încearcă să câștige bani cât mai repede și ușor posibil, în medie, ca tine.

Până la punctul lui Ted: cheile de securitate hardware sunt cel mai sigur mod în care am văzut încă să facem 2FA. Sunt foarte greu de atacat și sunt foarte greu de atacat, deși nu lipsesc de slăbiciunile lor inerente. Mai mult, cheile hardware 2FA sunt dovedite în viitor într-o oarecare măsură. Multe companii se îndepărtează de codurile SMS, iar unele au inclus chiar și conectări fără parolă care se bazează în totalitate pe cheile hardware 2FA care folosesc standardul FIDO2. Dacă utilizați o cheie hardware acum, există șanse mari să vă asigurați pentru anii următori.

Nitrokey FIDO U2F promite securitate open-source.

  • Autentificare cu doi factori: Cine o are și cum să o configureze Autentificare cu doi factori: cine o are și cum să o configureze
  • Google: atacurile de phishing care pot bate doi factori sunt în creștere Google: atacurile de phishing care pot bate doi factori sunt în creștere
  • SecurityWatch: Cum să nu fiți blocat cu autentificarea în doi factori SecurityWatch: Cum să nu fiți blocat cu autentificarea în doi factori

Oricât de sigure sunt cheile hardware 2FA, ecosistemul mai mare necesită anumite compromisuri pentru a nu vă bloca în mod inutil din cont. 2FA trebuie să fie o tehnologie pe care oamenii o folosesc efectiv sau altfel nu merită nimic.

Având în vedere opțiunea, cred că majoritatea oamenilor vor utiliza aplicațiile și opțiunile 2FA bazate pe SMS, deoarece sunt mai ușor de configurat și gratuit. Este posibil să nu fie cele mai bune opțiuni posibile, dar funcționează foarte bine pentru majoritatea oamenilor. Acest lucru s-ar putea schimba curând, însă, acum, când Google vă permite să utilizați un dispozitiv mobil care rulează Android 7.0 sau mai târziu ca cheie de securitate hardware.

În ciuda limitărilor sale, 2FA este probabil cel mai bun lucru pentru securitatea consumatorilor încă din antivirus. Împiedică corect și eficient unele dintre cele mai devastatoare atacuri, toate fără a adăuga prea multă complexitate în viața oamenilor. Cu toate acestea, decideți să utilizați 2FA, alegeți o metodă care are sens pentru dvs. Nefolosirea 2FA este mult mai dăunătoare decât utilizarea unei arome 2FA ușor-mai puțin mari.

Securitywatch: autentificarea cu doi factori vă face mai sigur?