Ir pienācis laiks pārtraukt lietot SMS un 2FA lietotnes divu faktoru autentifikācijai

Reklāma

Mūsdienās šķiet, ka ikviena vietne, kuru esat apmeklējis, mēģina jūs mudināt izmantojiet divu faktoru autentifikāciju (2FA).

Viens no izplatītākajiem 2FA izmantošanas veidiem ir unikāla koda ievadīšana no mobilās ierīces. Parasti kodu saņemat īsziņā vai koda ģenerēšanai izmantojat trešās puses 2FA lietotni.

Abas metodes ir ērtas kodu izmantošanas metodes. Tomēr no drošības viedokļa abas metodes ir arī vājas. Tā kā jūsu 2FA kods ir tikai tik drošs kā tā piegādei izmantotā tehnoloģija, trūkumi ir svarīgi.

Tātad, kas ir nepareizi izmantojot īsziņas un trešo pušu lietotnes, lai piekļūtu saviem kodiem Kas ir pieteikšanās bez paroles? Vai viņi tiešām ir droši?Tuvojas pieteikšanās bez paroles. Vai viņi ir droši? Kā uz zemes darbojas bezkontakta pieteikšanās? Lūk, kas jums jāzina. Lasīt vairāk ? Un vai ir tikpat ērta alternatīva, kas ir drošāka? Mēs visu izskaidrosim. Turpiniet lasīt, lai uzzinātu vairāk.

Kā darbojas divu faktoru autentifikācija

Ņemsim brīdi, lai pārrunātu, kā darbojas divu faktoru autentifikācija. Bez izpratnes par tehnoloģijas mehāniku, pārējam šim rakstam nebūs lielas jēgas.

Plašākā nozīmē 2FA pievieno papildu drošības līmeni jūsu kontam Kā aizsargāt savus kontus, izmantojot 2FA: Gmail, Outlook un daudz ko cituVai divu faktoru autentifikācija var palīdzēt aizsargāt jūsu e-pastu un sociālos tīklus? Lūk, kas jums jāzina, lai nodrošinātu drošību tiešsaistē. Lasīt vairāk . Arī pazīstams kā daudzfaktoru autentifikācija, pieteikšanās akreditācijas dati sastāv ne tikai no paroles, bet arī no otrās informācijas, kurai piekļūst tikai konta likumīgais īpašnieks.

2FA ir daudz un dažādās formās Divfaktoru autentifikācijas veidu un metožu plusi un mīnusiDivfaktoru autentifikācijas metodes nav vienādas. Daži no tiem ir uzskatāmi drošāki. Šeit ir apskatītas visbiežāk izmantotās metodes un tās, kuras vislabāk atbilst jūsu individuālajām vajadzībām. Lasīt vairāk . Visvienkāršākajā līmenī tas varētu būt kaut kas tik vienkāršs kā drošības jautājumi (jo neviens cits to nevarēja zināt savas mātes pirmslaulības vārdu Kāpēc jūs atbildējat nepareizi ar paroles drošības jautājumiem?Kā jūs atbildējat uz tiešsaistes kontu drošības jautājumiem? Godīgas atbildes? Diemžēl jūsu godīgums varētu radīt šķelmi jūsu tiešsaistes bruņās. Apskatīsim, kā droši atbildēt uz drošības jautājumiem. Lasīt vairāk vai tavs mīļākais mājdzīvnieks). Sarežģītākā beigās tas varētu būt biometrisks ID, piemēram, tīklenes skenēšana vai pirkstu nospiedums.

Kāpēc jums vajadzētu izvairīties no īsziņu verifikācijas

Īsziņai ir vispieejamākais veids, kā piekļūt un izmantot 2FA kodus. Ja vietne piedāvā divu faktoru autentifikācijas pieteikšanās, tā gandrīz noteikti piedāvā īsziņas kā vienu no iespējām.

Bet SMS nav drošs veids, kā izmantot 2FA. Tam ir divas galvenās ievainojamības.

Pirmkārt, tehnoloģija ir uzņēmīgi pret SIM mijmaiņas uzbrukumiem. Hakerim nav nepieciešams daudz, lai veiktu SIM maiņu. Ja viņiem ir pieeja citai personiskai informācijai, piemēram, jūsu sociālās apdrošināšanas numuram, viņi var piezvanīt jūsu mobilo sakaru operatoram un pārvietot jūsu numuru uz jaunu SIM karti.

Otrkārt, hakeri var pārtvert īsziņas. Tas viss atgriežas pie mūsdienīgās Signalizācijas sistēmas Nr. 7 (SS7) tālruņu maršrutēšanas sistēmas. Metodika tika izstrādāta 1975. gadā, taču to joprojām izmanto gandrīz visā pasaulē, lai savienotu un atvienotu zvanus. Tas arī apstrādā numuru tulkošanu, priekšapmaksas rēķinus un, galvenokārt, īsziņas.

Nav pārsteidzoši, ka šī tehnoloģija no 1975. gada ir pilna ar drošības caurumiem. Lūk, kā drošības eksperts Brūss Šneiers aprakstīja trūkumus:

“Ja uzbrucējiem ir piekļuve SS7 portālam, viņi var pāradresēt jūsu sarunas uz tiešsaistes ierakstīšanas ierīci un pāradresēt zvanu uz paredzētais galamērķis […] Tas nozīmē, ka labi aprīkots noziedznieks varētu satvert jūsu verifikācijas ziņojumus un izmantot tos, pirms jūs pat neesat redzējis viņiem. ”

Protams, atklājot, ka kibernoziedzniekam ir uzlauzis tavu Facebook Kā uzzināt, vai jūsu Facebook konts ir uzlauztsTā kā vietnē Facebook ir tik daudz datu, jums ir jāglabā sava konta drošība. Tālāk ir norādīts, kā uzzināt, vai jūsu Facebook nav uzlauzts. Lasīt vairāk konts ir tālu no ideāla. Bet situācija ir skarbāka, ja ņem vērā citus 2FA lietojumus. Kibernoziedznieks var nozagt kodus, ko izmantojat savā tiešsaistes bankā, vai pat iniciēt un pabeigt naudas pārskaitījumus 6 labākās lietotnes naudas sūtīšanai draugiemNākamreiz, kad jums būs jānosūta nauda draugiem, pārbaudiet šīs lieliskās mobilās lietotnes, lai dažās minūtēs naudu varētu nosūtīt ikvienam. Lasīt vairāk .

Turklāt Schneier arī apgalvo, ka ikviens var iegādāties piekļuvi SS7 tīklam par aptuveni 1000 USD. Pēc piekļuves saņemšanas viņi var nosūtīt maršrutēšanas pieprasījumu. Lai novērstu problēmu, tīkls, iespējams, neautentificē pieprasījuma avotu.

Atcerieties, ka divu faktoru autentifikācija, izmantojot SMS, ir labāka nekā 2FA atspējošana. Un ir maz ticams, ka jūs kļūsit par upuri. Tomēr, ja jūs sākat justies mazliet noraizējies, jums ir jāturpina lasīt. Daudzi cilvēki atzīst, ka īsziņas nav drošas, un to vietā izmanto trešo personu lietotnes.

Bet tas varbūt nav daudz labāk.

Kāpēc jums vajadzētu izvairīties no 2FA lietotnēm

Otrs izplatītākais 2FA kodu izmantošanas veids ir speciālas viedtālruņa lietotnes instalēšana. Ir daudz, no kuriem izvēlēties. Google autentifikators neapšaubāmi ir visvairāk atpazīstamais, taču tas nebūt nav labākais. Tur ir daudz alternatīvu - pārbaudiet Authy, Authenticator Plus un Duo.

Bet cik drošas ir speciālistu 2FA lietotnes? Viņu lielākais vājums ir viņu paļaušanās uz slepenu atslēgu.

Pieņemsim soli uz brīdi atpakaļ. Ja jūs nezināt, pirmo reizi reģistrējoties daudzās lietotnēs, jums būs jāievada slepena atslēga. Noslēpums tiek koplietots starp jums un lietotnes nodrošinātāju.

Piekļūstot vietnei, lietotnes izveidotais kods ir balstīts uz jūsu atslēgas un pašreizējā laika kombināciju. Tajā pašā brīdī serveris ģenerē kodu, izmantojot to pašu informāciju. Lai piekļūtu, abiem kodiem ir jāsakrīt. Izklausās saprātīgi.

Tad kāpēc taustiņi ir vājais punkts? Kas notiek, ja kibernoziedzniekam izdodas piekļūt uzņēmuma paroļu un noslēpumu datu bāzei? Ikviens konts būtu viegli ievainojams uzbrucējs varēja nākt un aiziet Kā pārbaudīt, vai kāds cits piekļūst jūsu Facebook kontamTas ir draudīgs un satraucošs, ja kādam ir piekļuve jūsu Facebook kontam bez jūsu ziņas. Tālāk ir norādīts, kā uzzināt, vai esat pārkāpts. Lasīt vairāk pēc vēlēšanās.

Otrkārt, noslēpums tiek parādīts vienkāršā tekstā vai kā QR kods; Tas nevar būt sajaukts vai lietots kopā ar sāli Ko patiesībā nozīmē viss šis MD5 sajaukums [skaidrojums par tehnoloģiju]Šeit ir pilns MD5 izbeigšanās, sajaukšana un neliels datoru un kriptogrāfijas pārskats. Lasīt vairāk . Droši vien tas ir arī vienkāršs teksts uzņēmuma serveros.

Slepenā atslēga ir būtiska laika vienreizējas paroles (TOTP) kļūda, ko izmanto speciālistu lietotnes. Tāpēc fiziska U2F atslēga vienmēr ir drošāka iespēja.

2FA Apps dizaina un drošības trūkumi

Protams, iespējas, ka kibernoziedznieks uzlauž trešās puses lietotnes nepieciešamās datu bāzes, ir diezgan niecīgas. Bet jūsu lietotnei var būt arī galvenie drošības trūkumi tās dizainā.

Populārs paroļu pārvaldnieks LastPass 8 vienkārši veidi, kā uzlādēt LastPass drošībuJūs, iespējams, izmantojat LastPass, lai pārvaldītu daudzās tiešsaistes paroles, bet vai jūs to izmantojat pareizi? Šeit ir astoņas darbības, kuras varat veikt, lai jūsu LastPass konts būtu vēl drošāks. Lasīt vairāk krita par upuri 2017. gada decembrī. A programmētāja emuāra ziņa vietnē Medium atklāja 2FA slepenās atslēgas, kurām varēja piekļūt bez pirksta nospieduma, paroles vai citiem drošības pasākumiem.

Risinājums nebija pat sarežģīts. Piekļūstot lietotnes LastPass Authenticator iestatījumu darbībai (com.lastpass.authenticator.activities. Iestatījumu aktivitāte), lietotņu iestatījumu rūtī varētu iekļūt bez jebkādām pārbaudēm. No turienes jūs varētu nospiest Atpakaļ vienreiz, lai piekļūtu visiem 2FA kodiem.

LastPass tagad ir novērsis trūkumu, taču jautājumi paliek aktuāli. Pēc programmētāja teiktā, viņš septiņus mēnešus bija mēģinājis pastāstīt LastPass par šo jautājumu, taču uzņēmums nekad to neatrisināja. Cik citas trešo personu 2FA lietotnes ir nedrošas? Un cik daudz nefiksētu ievainojamību izstrādātāji zina, bet aizkavē labošanu? Ir arī bažas, kad runa ir par zaudējot piekļuvi savam kodu ģeneratoram vietnē Facebook Kā pieteikties Facebook, ja esat pazaudējis piekļuvi kodu ģeneratoramVai esat pazaudējis piekļuvi Facebook kodu ģeneratoram? Šajā rakstā aprakstītas alternatīvas metodes, kā pieteikties savā Facebook kontā. Lasīt vairāk piemēram.

Ko darīt tā vietā: izmantojiet U2F taustiņus

Tā vietā, lai paļautos uz īsziņām un 2FA saviem kodiem, jums vajadzētu izmantot Universālās 2. faktora atslēgas Kas ir U2F atslēgas un kur tās tiek atbalstītas?U2F atslēgas ir viens no labākajiem veidiem, kā saglabāt savu kontu drošību. Bet kur tiek atbalstītas U2F atslēgas? Lasīt vairāk (U2F). Tie ir visdrošākais veids, kā ģenerēt kodus un piekļūt jūsu pakalpojumiem.

Plaši uzskatīta par 2FA otrās paaudzes versiju, tā gan vienkāršo, gan pastiprina pašreizējo protokolu. Turklāt U2F taustiņu izmantošana ir gandrīz tikpat ērta kā īsziņas vai trešās puses lietotnes atvēršana.

U2F taustiņi izmanto vai nu NFC, vai USB savienojumu. Pirmoreiz savienojot ierīci ar kontu, tas ģenerēs izlases numuru, ko sauc par “Nonce”. Nonce ir sajaukts ar vietnes domēna vārdu, lai izveidotu unikālu kodu.

Pēc tam jūs varat izvietot savu U2F atslēgu, savienojot to ar ierīci un gaidot, kamēr pakalpojums to atpazīs.

Tātad, kas ir negatīvie? Pat ja U2F ir atvērts standarts, tas joprojām maksā naudu, lai iegādātos fizisku U2F atslēgu. Un, iespējams, vairāk par to, ka jūs riskē zādzības.

Nozagta U2F atslēga automātiski nepadara jūsu kontu nedrošu; hakerim joprojām būtu jāzina jūsu parole. Bet publiskā telpā zaglis, iespējams, jau bija redzējis, ka ievadāt paroli no tālienes, pirms zagt savu mantu.

U2F taustiņi var būt dārgi

Starp ražotājiem cenas ievērojami atšķiras, taču jūs varat gaidīt, ka maksāsiet no aptuveni 15 līdz 50 USD.

Ideālā gadījumā jūs vēlaties iegādāties modeli, kura sertifikāts ir FIDO. FIDO (Fast IDentity Online) alianse ir atbildīga par autentifikācijas tehnoloģiju savietojamības panākšanu. Dalībnieku skaitā ir visi cilvēki no Google un Microsoft, līdz Bank of America un MasterCard.

Iegādājoties FIDO ierīci, varat būt pārliecināti, ka U2F atslēga darbosies ar visiem pakalpojumiem, kurus izmantojat katru dienu. Pārbaudiet DIGIPASS SecureClick U2F taustiņu, ja vēlaties to iegādāties.

Nedrošs 2FA joprojām ir labāks nekā 2FA

Rezumējot, Universal 2nd Factor taustiņi nodrošina laimīgu vidi starp lietošanas vienkāršību un drošību. SMS ir vismazāk drošā pieeja, taču tā ir arī ērtākā.

Un atcerieties, ka jebkurš 2FA ir labāks nekā neviens 2FA. Jā, jums var būt nepieciešamas papildu 10 sekundes, lai pieteiktos noteiktās lietotnēs, taču tas ir labāk nekā jūsu drošības upurēšana.