On aeg lõpetada SMS-ide ja 2FA-rakenduste kasutamine kahefaktoriliseks autentimiseks

Reklaam

Tänapäeval näib, et iga veebisait, mida olete kunagi külastanud, proovib teid julgustada kasutage kahefaktorilist autentimist (2FA).

Üks levinumaid 2FA kasutamise viise on unikaalse koodi sisestamine oma mobiilseadmest. Tavaliselt saate selle koodi tekstsõnumis või kasutate selle genereerimiseks kolmanda osapoole 2FA-rakendust.

Mõlemad meetodid on nende mugavuse tõttu populaarsed viisid koodide kasutamiseks. Kuid mõlemad meetodid on ka turvalisuse seisukohast nõrgad. Ja kuna teie 2FA-kood on ainult sama turvaline kui selle edastamiseks kasutatav tehnoloogia, on nõrgad küljed olulised.

Mis siis viga on SMS-ide ja muude tootjate rakenduste kasutamine teie koodidele juurdepääsuks Mis on paroolita sisselogimised? Kas nad on tegelikult turvalised?Paroolita sisselogimised on tulemas. Kas nad on turvalised? Kuidas paroolideta sisselogimised toimivad? Siit saate teada, mida peate teadma. Loe rohkem ? Ja kas on olemas sama mugav alternatiiv, mis on turvalisem? Me selgitame kõike. Jätkake lugemist, et rohkem teada saada.

Kuidas kahefaktoriline autentimine töötab

Võtame natuke aega arutada, kuidas kahefaktoriline autentimine töötab. Ilma tehnoloogia mehaanikat mõistmata pole ülejäänud sellel artiklil palju mõtet.

Laias laastus 2FA lisab teie kontole täiendava turvataseme Oma kontode turvamine 2FA-ga: Gmail, Outlook ja muudKas kahefaktoriline autentimine aitab teie e-posti ja sotsiaalseid võrgustikke kaitsta? Veebi turvalisuse tagamiseks peate teadma järgmist. Loe rohkem . Sisse logimismandaadid, mida nimetatakse ka mitmefaktoriliseks autentimiseks, koosnevad mitte ainult paroolist, vaid ka teisest teabest, millele pääseb juurde ainult konto seaduslikule omanikule.

2FA on paljudes erinevates vormides Kahefaktoriliste autentimistüüpide ja -meetodite plussid ja miinusedKahefaktorilised autentimismeetodid pole võrdsed. Mõned neist on selgelt ohutumad ja kindlamad. Siin on ülevaade kõige tavalisematest meetoditest ja sellest, millised kõige paremini vastavad teie individuaalsetele vajadustele. Loe rohkem . Kõige elementaarsemal tasemel võib see olla midagi nii lihtsat kui turvaküsimused (sest keegi teine ​​ei saaks seda teha) tea oma ema neiupõlvenime Miks vastate parooliturvalisuse küsimustele valestiKuidas vastata veebikonto turvalisuse küsimustele? Ausad vastused? Kahjuks võib teie ausus tekitada teie veebivarustuses kriipsu. Heidame pilgu sellele, kuidas turvalisuse küsimustele turvaliselt vastata. Loe rohkem või teie lemmikloom). Keerulisemas otsuses võib see olla biomeetriline ID, näiteks võrkkesta skannimine või sõrmejälg.

Miks peaksite vältima SMS-i kinnitamist

SMS on positsioon kui kõige kättesaadavam viis 2FA-koodidele juurde pääseda ja neid kasutada. Kui sait pakub kahefaktorilisi autentimise sisselogimisi, pakub see peaaegu kindlasti ühe võimalusena SMS-i.

Kuid SMS ei ole turvaline viis 2FA kasutamiseks. Sellel on kaks peamist haavatavust.

Esiteks on tehnoloogia vastuvõtlik SIM-vahetuse rünnakutele. Häkkeril ei kuluta palju SIM-kaardi vahetust. Kui neil on juurdepääs ühele teisele isiklikule teabele, näiteks teie sotsiaalkindlustuse numbrile, saavad nad helistada teie operaatorile ja teisaldada teie numbri uuele SIM-kaardile.

Teiseks saavad häkkerid pealtkuulama SMS-sõnumeid. Kõik jõuab tagasi nüüdseks dateeritud signalisatsioonisüsteemi nr 7 (SS7) telefoni marsruutimissüsteemi. Metoodika töötati välja 1975. aastal, kuid seda kasutatakse endiselt kõnede ühendamiseks ja katkestamiseks peaaegu kogu maailmas. See tegeleb ka numbritõlgete, ettemakstud arvelduste ja ülioluliste SMS-sõnumitega.

Pole üllatav, et see 1975. aasta tehnoloogia on turvaauke täis. Siit saate teada, kuidas turbeekspert Bruce Schneier kirjeldas puudusi:

„Kui ründajatel on juurdepääs SS7-portaalile, saavad nad teie vestlused edastada veebisalvestusseadmele ja suunata kõne ümber selle kavandatud sihtkoht […] See tähendab, et hästi varustatud kurjategija võiks teie kinnitusteateid haarata ja neid kasutada enne, kui olete isegi näinud neid. ”

Muidugi, avastades, et küberkurjategijal on häkkinud teie Facebooki Kuidas teada saada, kas teie Facebooki konto on häkkinudKuna Facebook sisaldab nii palju andmeid, peate oma kontot kaitsma. Siit saate teada, kuidas teie Facebooki on häkkinud. Loe rohkem konto pole kaugeltki ideaalne. Kuid olukord on hirmutavam, kui arvestada 2FA muude kasutusvõimalustega. Küberkurjategija võib varastada koode, mida kasutate oma veebipangas või isegi rahaülekannete algatamine ja lõpetamine Kuus parimat sõpradele raha saatmiseks mõeldud rakendustJärgmine kord, kui peate sõpradele raha saatma, vaadake neid suurepäraseid mobiilirakendusi, et saada raha mõne minutiga. Loe rohkem .

Lisaks väidab Schneier, et igaüks saab osta juurdepääsu SS7 võrgule umbes 1000 dollari eest. Kui neil on juurdepääs, saavad nad saata suunamistaotluse. Probleemi lahendamiseks ei pruugi võrk päringu allikat autentida.

Pidage meeles, et kahefaktorilise autentimise kasutamine SMS-i abil on parem kui 2FA keelamine. Ja on ebatõenäoline, et te ohvriks hakkate. Kui olete hakanud tundma natuke muret, peate lugemist jätkama. Paljud inimesed nõustuvad, et SMS on ebaturvaline, ja pöörduvad selle asemel kolmanda osapoole rakenduste poole.

Kuid see ei pruugi olla palju parem.

Miks peaksite vältima 2FA-rakendusi

Teine levinum viis 2FA-koodide kasutamiseks on spetsiaalse nutitelefonirakenduse installimine. Valida on palju. Google Authenticator on vaieldamatult kõige paremini äratuntav, kuid see pole tingimata parim. Seal on palju alternatiive - vaadake Authy, Authenticator Plus ja Duo.

Kui turvalised on aga 2FA-rakendused? Nende suurim nõrkus on nende oma salajasele võtmele tuginemine.

Teeme sammu korraks tagasi. Kui te ei ole teadlik, peate paljudele rakendustele esmakordsel registreerumisel sisestama salajase võtme. Saladus on jagatud teie ja rakenduse pakkuja vahel.

Saidile pääsemisel põhineb rakenduse loodud kood teie võtme ja kellaaja kombinatsioonil. Samal ajal genereerib server sama teabe abil koodi. Juurdepääsu saamiseks peavad mõlemad koodid vastama. Kõlab mõistlikult.

Miks on võtmed nõrk koht? Mis saab siis, kui küberkurjategijal õnnestub pääseda juurde ettevõtte paroolide ja saladuste andmebaasile? Iga konto oleks haavatav - see ründaja võiks tulla ja minna Kuidas kontrollida, kas keegi teine ​​pääseb teie Facebooki kontole juurdeSee on nii õel ja murettekitav, kui kellelgi on teie Facebooki kontole juurdepääs teie teadmata. Siit saate teada, kas teid on rikutud. Loe rohkem tahte järgi.

Teiseks kuvatakse saladus kas lihttekstina või QR-koodina; see ei saa olla räsitud või soolaga kasutatud Mida see MD5 räsitud asju tegelikult tähendab [tehnoloogia selgitus]Siin on MD5 täielik lammutamine, räsimine ja väike ülevaade arvutitest ja krüptograafiast. Loe rohkem . Tõenäoliselt on see ka ettevõtte serverites lihttekstina.

Salajane võti on ajaline põhinev ühekordne parool (TOTP), mida spetsialistide rakendused kasutavad. Seetõttu on füüsiline U2F-võti alati turvalisem valik.

2FA-rakenduste disaini ja turvalisuse puudused

Muidugi, võimalused küberkurjategija häkkimiseks kolmanda osapoole rakenduse vajalike andmebaaside jaoks on üsna väikesed. Kuid teie rakenduse konstruktsioonis võivad esineda ka peamised turvavead.

Populaarne paroolide haldur LastPass 8 lihtsat viisi oma LastPassi turvalisuse laadimiseksVõib-olla kasutate oma paljude veebiparoolide haldamiseks LastPassi, kuid kas kasutate seda õigesti? Siin on kaheksa sammu, mida saate teha oma LastPassi konto veelgi turvalisemaks muutmiseks. Loe rohkem langes ohvriks 2017. aasta detsembris. A programmeerija ajaveebi postitus keskkonnas 2FA salajastele võtmetele pääses juurde ilma sõrmejälgede, paroolita ja muude turvameetmeteta.

Ümbersuunamine polnud isegi keeruline. Ligipääsul rakenduse LastPass Authenticator seadete tegevusele (com.lastpass.authenticator.activities. SeadedAktiivsus) saab rakenduse seadetepaanile siseneda ilma kontrollideta. Sealt sai vajutada tagasi üks kord, et pääseda juurde kõigile 2FA-koodidele.

LastPass on nüüd vea parandanud, kuid küsimused jäävad alles. Programmeerija sõnul oli ta üritanud LastPassist seitse kuud rääkida, kuid ettevõte ei lahendanud seda kunagi. Mitu muud kolmanda osapoole 2FA-rakendust on ebakindlad? Ja kui palju parandamata turvaaukudest arendajad teavad, kuid viivitavad paigaldust? Samuti on muresid, kui asi puudutab oma koodigeneraatorile juurdepääsu kaotamine Facebookis Kuidas sisse logida Facebooki, kui kaotasite juurdepääsu koodigeneraatorileUnustasite juurdepääsu Facebooki koodigeneraatorile? See artikkel hõlmab alternatiivseid meetodeid oma Facebooki kontole sisselogimiseks. Loe rohkem näiteks.

Mida selle asemel teha: kasutage U2F-klahve

Selle asemel, et oma koodidele SMS-ile ja 2FA-le tugineda, peaksite kasutama Universaalsed 2. faktori võtmed Mis on U2F-klahvid ja kus neid toetatakse?U2F-võtmed on üks parimaid viise oma kontode turvaliseks hoidmiseks. Kuid kus toetatakse U2F-võtmeid? Loe rohkem (U2F). Need on kõige turvalisem viis koodide genereerimiseks ja teie teenustele juurde pääsemiseks.

Laialdaselt 2FA teise põlvkonna versioonina lihtsustab ja tugevdab see ka praegust protokolli. Lisaks on U2F-klahvide kasutamine peaaegu sama mugav kui SMS-i või muude tootjate rakenduste avamine.

U2F-klahvid kasutavad kas NFC- või USB-ühendust. Kui ühendate oma seadme kontoga esimest korda, genereerib see juhusliku arvu, mida nimetatakse „Nonce“. Nonce on unikaalse koodi loomiseks räsitud saidi domeeninimega.

Seejärel saate oma U2F-võtme juurutada, ühendades selle oma seadmega ja oodates, kuni teenus selle ära tunneb.

Mis on negatiivne külg? Noh, kuigi U2F on avatud standard, maksab see siiski füüsilise U2F-võtme ostmiseks raha. Ja võib-olla veelgi murettekitavam, olete varguse ohus.

Varastatud U2F-võti ei muuda teie kontot automaatselt ebaturvaliseks; häkker peaks ikkagi teie parooli teadma. Kuid avalikus ruumis võis varas juba näha, et sisestate parooli eemalt, enne kui varastate.

U2F-klahvid võivad olla kallid

Hinnad erinevad tootjate vahel märkimisväärselt, kuid võite oodata, et maksate umbes 15–50 dollarit.

Ideaalis soovite osta mudeli, millel on FIDO-sertifikaat. FIDO (Fast IDentity Online) liit vastutab autentimistehnoloogiate koostalitlusvõime saavutamise eest. Liikmete hulka kuuluvad kõik alates Google'ist ja Microsofti kuni Bank of America ja MasterCard.

FIDO-seadet ostes võite olla kindel, et U2F-võti töötab kõigi teie kasutatavate teenustega iga päev. Kui soovite seda osta, vaadake DIGIPASS SecureClick U2F-võtit.

Ebakindel 2FA on ikka parem kui 2FA

Kokkuvõtteks võib öelda, et Universal 2nd Factori võtmed pakuvad õnnelikku keskkonda kasutuslihtsuse ja turvalisuse vahel. SMS on kõige vähem turvaline lähenemisviis, kuid samas ka kõige mugavam.

Ja pidage meeles, et iga 2FA on parem kui mitte 2FA. Jah, teatud rakendustesse sisselogimiseks võib kuluda veel 10 sekundit, kuid see on parem kui turvalisuse ohverdamine.