Varnostna ura: ali dvofaktorska avtentikacija res omogoča varnejše?

Ta teden se vračam v poštno vrečo brez dna, da bi se lotil še enega vprašanja o dvofaktorski avtentikaciji (2FA). To je tema, ki sem se je dotaknil že prej, vendar glede na obseg in specifičnost vprašanj, ki sem jih prejel o tem, je očitno vprašanje, o katerem veliko ljudi razmišlja. Ker na 2FA gledam kot na najboljšo stvar, ki jo lahko naredijo običajni ljudje, da ostanejo varni na spletu, z veseljem govorim o tem neskončno.

Današnje vprašanje prihaja od Teda, ki je pisal na vprašanje, ali so sistemi 2FA v resnici vse, kar se jim zdi. Upoštevajte, da je Tedovo pismo urejeno zaradi kratkosti. Ted začne svoje sporočilo s sklicevanjem na nekaj mojega drugega pisanja na 2FA.

Napisali ste "Ko vpišete svoj varnostni ključ, bodo kode za SMS rezervne možnosti, če izgubite ali ne morete dostopati do svojega ključa." Če je to res, zakaj je potem ta naprava bolj varna kot koda SMS 2FA? Kot ste tudi napisali, "Toda telefone lahko ukrademo in povezovanje s SIM je očitno stvar, ki jo moramo zdaj skrbeti."

Kaj preprečiti, da bi nekdo Googlu povedal, da ste vi, da je izgubil varnostni ključ in potrebujete SMS kodo, poslano na vaš ukradeni / priključen telefon? Če prav razumem, potem ta naprava ni varnejša od besedil SMS 2FA. Precej bolj priročno je to zagotovo, vendar ne vidim, kako je bolj varno.

Ali je rezultat vsega tega, da bo varnostni ključ povečal vašo varnost, vendar le zato, ker ga pogosteje uporabljate, ne zato, ker je sam po sebi bolj varen kot 2FA? Kaj pogrešam?

Ničesar ne pogrešaš, Ted. Pravzaprav ste pametni, da se odločite za temeljno vprašanje, na katerem temelji veliko varnosti, povezane z avtentifikacijo na spletu: kako zanesljivo preverite, kdo so ljudje, ne da bi jim onemogočili izterjavo svojih računov?

Osnove 2FA

Najprej pokrijemo nekaj osnov. Dvofaktorska avtentikacija ali 2FA je varnostni koncept, kjer morate s seznama možnih treh predstaviti dva dokaza identitete, imenovana dejavnika.

• Nekaj, kar veste , na primer geslo.

• Nekaj, kar imate , na primer telefon.

• Nekaj ​​si, na primer prstni odtis.

V praksi 2FA pogosto pomeni drugo stvar, ki jo naredite po vnosu gesla za prijavo na spletno mesto ali storitev. Geslo je prvi dejavnik, drugi pa je lahko SMS sporočilo, poslano na vaš telefon s posebno kodo, ali uporaba Applovega FaceID-a na iPhone-u. Ideja je ta, da čeprav je mogoče geslo uganiti ali ukrasti, je manj verjetno, da bi napadalec lahko dobil tako vaše geslo kot vaš drugi dejavnik.

Ted se v pismu posebej sprašuje o strojnih 2FA ključih. Yubicova serija YubiKey je verjetno najbolj znana možnost, vendar še zdaleč ni edina možnost. Google ima lastne varnostne ključe Titan, Nitrokey pa ponuja odprtokodni ključ, če naštejemo samo dva.

Praktične pasti

Noben varnostni sistem ni popoln in 2FA se ne razlikuje. Guemmy Kim, vodja upravljanja izdelkov za Googlovo ekipo za varnost računov, je pravilno opozorila, da so mnogi sistemi, na katere se zanašamo za obnovitev računa in 2FA, dovzetni za lažno predstavljanje. Tukaj slabi fantje uporabljajo ponarejena spletna mesta, da vas varajo, da vnesete zasebne podatke.

Pameten napadalec lahko vaš telefon potencialno okuži s Trojanom za oddaljeni dostop, ki bi jim omogočil ogled ali celo prestrezanje potrditvenih kod SMS, poslanih na vašo napravo. Lahko pa ustvarijo tudi prepričljivo lažno predstavljanje, da vas zavedejo pri vnosu enkratne kode, ustvarjene iz aplikacije, kot je Google Authenticator. Celo mojo možnost kopiranja papirnih varnostnih kod bi lahko prestregla spletna stran, ki me je preslepila pri vnosu kode.

Eden izmed najbolj eksotičnih napadov bi bil priključitev na SIM, kjer napadalec kloni vašo SIM kartico ali nagovori vašo telefonsko družbo, da odjavi vašo kartico SIM, da bi prestregla vaša sporočila SMS. V tem primeru bi vas napadalec lahko zelo učinkovito lažno predstavil, saj bi lahko vašo telefonsko številko uporabili kot svojo.

Ne tako eksotičen napad je navadna stara izguba in kraja. Če je vaš telefon ali aplikacija na vašem telefonu vaš glavni avtor, in ga izgubite, bo to glavobol. Enako velja za strojne ključe. Čeprav je varnostne ključe strojne opreme, kot je Yubico YubiKey, težko prebiti, jih je zelo enostavno izgubiti.

Yubico Yubikey Series 5 je na voljo v različnih konfiguracijah.

Problem izterjave računa

Ted v svojem pismu poudarja, da številna podjetja poleg varnostnega ključa strojne opreme zahtevajo, da nastavite tudi drugo metodo 2FA. Google na primer od vas zahteva, da uporabite bodisi SMS, namestite podjetje Authenticator aplikacijo ali vpišete svojo napravo, če želite od Googla prejemati potisna obvestila, ki preverjajo vaš račun. Zdi se, da potrebujete vsaj eno od teh treh možnosti kot varnostno kopijo za katero koli drugo možnost 2FA, ki jo uporabljate - na primer Googlove ključe Titan.

Tudi če vpišete drugi varnostni ključ kot varnostno kopijo, morate vseeno omogočiti SMS, Google Authenticator ali pritisniti obvestila. Če želite uporabiti Googlov napredni program zaščite, je potrebno vpisati drugi ključ.

Podobno Twitter zahteva tudi, da poleg izbirnega varnostnega ključa za strojno opremo uporabite bodisi SMS kode ali program za preverjanje pristnosti. Na žalost Twitter omogoča samo vpis enega varnostnega ključa hkrati.

Kot je poudaril Ted, so te alternativne metode tehnično manj varne kot uporaba samega varnostnega ključa. Lahko samo ugibam, zakaj so bili ti sistemi izvedeni na ta način, vendar sumim, da želijo svojim strankam vedno zagotoviti dostop do njihovih računov. SMS kode in aplikacije za preverjanje pristnosti so časovno preizkušene možnosti, ki jih ljudje enostavno razumejo in od njih ne zahtevajo dodatnih naprav. SMS kode obravnavajo tudi težavo kraje naprave. Če izgubite telefon ali ga ukradejo, ga lahko na daljavo zaklenete, odvzamete pooblastilo za njegovo kartico SIM in dobite nov telefon, ki lahko prejme kode SMS, da se vrne na spletu.

Osebno mi je všeč, da imam na voljo več možnosti, ker čeprav sem zaskrbljen zaradi varnosti, tudi sam vem in vem, da stvari precej redno izgubljam ali razbijam. Vem, da so ljudje, ki še nikoli niso uporabljali 2FA, zelo zaskrbljeni, če se bodo znali zapreti, če uporabljajo 2FA.

2FA je pravzaprav zelo dober

Vedno je pomembno razumeti pomanjkljivosti katerega koli varnostnega sistema, vendar to ne razveljavi sistema. Čeprav ima 2FA svoje pomanjkljivosti, je bil izjemno uspešen.

Spet moramo samo pogledati v Google. Podjetje je zahtevalo interno uporabo strojnih 2FA ključev, rezultati pa govorijo sami zase. Uspešni prevzemi računov Googlovih zaposlenih so dejansko izginili. To je še posebej pomembno, saj so Googlovi zaposleni s svojim položajem v tehnološki industriji in (domnevnim) bogastvom glavni za ciljne napade. Tu napadalci porabijo veliko truda, da ciljajo na določene posameznike v napadu. Redko in običajno uspešno, če ima napadalec dovolj sredstev in potrpljenja.

Paket varnostnih ključev Google Titan vključuje ključe USB-A in Bluetooth.

Pri tem je navedel, da je Google zahteval določeno vrsto 2FA: varnostni ključi strojne opreme. Prednost v primerjavi z drugimi shemami 2FA je, da je zelo težko lažno predstavljati ali kako drugače prestreči. Nekateri bi morda rekli nemogoče, toda videl sem, kaj se je zgodilo s Titanikom in vem bolje.

Kljub temu pa so metode prestrezanja kode SMS 2FA ali avtentiatorskih žetonov dokaj eksotične in v resnici ne merijo dobro. To pomeni, da jih povprečen človek, ki si prizadeva, da bi hitro in enostavno zaslužil čim bolj hitro in enostavno, povprečnega človeka, kot ste vi, ne bo uporabil.

Na Tedovo besedo: strojni varnostni ključi so najbolj varen način, za katerega smo še videli. Zelo težko jih je lažno predstavljati in jih je težko napasti, čeprav niso brez svojih prirojenih slabosti. Še več, strojni ključi 2FA so do neke mere zanesljivi. Mnoga podjetja se oddaljujejo od SMS kode, nekatera pa so celo sprejela vpise brez gesla, ki se v celoti zanašajo na strojne 2FA ključe, ki uporabljajo standard FIDO2. Če zdaj uporabljate strojni ključ, obstaja velika možnost, da boste varni še leta.

Nitrokey FIDO U2F obljublja varnost odprte kode.

• Dvofaktorska overitev: kdo jo ima in kako jo nastaviti Dvofaktorsko preverjanje pristnosti: kdo jo ima in kako jo nastaviti
• Google: Napadi lažnega predstavljanja, ki lahko premagajo dvofaktor, so v porastu Google: Napadi lažnega predstavljanja, ki lahko premagajo dvofaktor, so v porastu
• SecurityWatch: Kako se ne zaklenemo z dvofaktorno overitvijo SecurityWatch: Kako se ne zaklenemo z dvofaktorno overitvijo

Varnejši kot strojni ključi 2FA, večji ekosistem zahteva nekaj kompromisov, da vas ne bi po nepotrebnem zaklenili. 2FA mora biti tehnologija, ki jo ljudje dejansko uporabljajo, ali pa sploh nič ni vredna.

Glede na izbiro mislim, da bo večina ljudi uporabljala 2FA možnosti na osnovi aplikacij in SMS, saj jih je lažje nastaviti in učinkovito brezplačno. To morda niso najboljše možne možnosti, vendar pri večini ljudi delujejo zelo dobro. To pa se bo morda kmalu spremenilo, ko Google dovoli, da kot varnostni ključ strojne opreme uporabljate mobilno napravo z operacijskim sistemom Android 7.0 ali novejšo.

Kljub omejitvam je 2FA od antivirusne dobesedno najboljša stvar za varnost potrošnikov. Natančno in učinkovito preprečuje nekatere najbolj uničujoče napade, vse pa brez preveč zapletenosti v življenju ljudi. Kljub temu pa se odločite za uporabo 2FA, izberite metodo, ki je smiselna za vas. Neuporaba 2FA je veliko bolj škodljiva kot uporaba rahlo manj odličnega okusa 2FA.