Joseph Goodman
0 
3813
882
Obecnie wydaje się, że każda witryna, którą odwiedzasz, stara się zachęcić Cię do korzystania z uwierzytelniania dwuskładnikowego (2FA).
Jednym z najczęstszych sposobów korzystania z 2FA jest wprowadzenie unikalnego kodu z urządzenia mobilnego. Zazwyczaj kod jest wysyłany w wiadomości tekstowej lub do wygenerowania go używasz aplikacji 2FA innej firmy.
Obie metody są popularnymi sposobami używania kodów ze względu na ich wygodę. Jednak obie metody są również słabe z punktu widzenia bezpieczeństwa. A ponieważ kod 2FA jest tak bezpieczny, jak technologia zastosowana do jego dostarczenia, słabości są ważne.
Więc co jest nie tak z używaniem SMS-ów i aplikacji innych firm do uzyskiwania dostępu do kodów Co to są logowania bez hasła? Czy są faktycznie bezpieczne? Co to są logowania bez hasła? Czy są faktycznie bezpieczne? Nadchodzą logowania bez hasła. Czy są bezpieczne? Jak do cholery działają logowanie bez hasła? Oto, co musisz wiedzieć. ? Czy istnieje równie wygodna alternatywa, która jest bezpieczniejsza? Wszystko wyjaśnimy. Czytaj dalej, aby dowiedzieć się więcej.
Jak działa uwierzytelnianie dwuskładnikowe
Zastanówmy się, jak działa uwierzytelnianie dwuskładnikowe. Bez zrozumienia mechaniki technologii reszta tego artykułu nie będzie miała większego sensu.
Mówiąc ogólnie, 2FA dodaje do twojego konta dodatkową warstwę bezpieczeństwa Jak zabezpieczyć swoje konta za pomocą 2FA: Gmail, Outlook i inne Jak zabezpieczyć swoje konta za pomocą 2FA: Gmail, Outlook i inne Czy uwierzytelnianie dwuskładnikowe może pomóc zabezpieczyć twój e-mail i sieci społecznościowe? Oto, co musisz wiedzieć, aby uzyskać bezpieczeństwo w Internecie. . Znane również jako uwierzytelnianie wieloskładnikowe, dane logowania obejmują nie tylko hasło, ale także drugą informację, do której dostęp ma tylko prawowity właściciel konta.
2FA występuje w wielu różnych postaciach Zalety i wady typów i metod uwierzytelniania dwuskładnikowego Zalety i wady typów i metod uwierzytelniania dwuskładnikowego Metody uwierzytelniania dwuskładnikowego nie są sobie równe. Niektóre są wyraźnie bezpieczniejsze. Oto najpopularniejsze metody i które najlepiej odpowiadają Twoim indywidualnym potrzebom. . Na najbardziej podstawowym poziomie może to być coś tak prostego, jak pytania zabezpieczające (ponieważ nikt inny nie mógłby poznać nazwiska panieńskiego matki, dlaczego odpowiadasz na hasło zabezpieczające pytania niewłaściwe, dlaczego odpowiadasz na hasło zabezpieczające pytania błędne, jak odpowiadasz online pytania zabezpieczające konto? Szczere odpowiedzi? Niestety, twoja uczciwość może stworzyć lukę w twojej zbroi online. Przyjrzyjmy się, jak bezpiecznie odpowiadać na pytania zabezpieczające lub ulubionego zwierzaka). Na bardziej skomplikowanym końcu może to być identyfikator biometryczny, taki jak skan siatkówki lub odcisk palca.
Dlaczego należy unikać weryfikacji SMS?
SMS ma pozycję najbardziej dostępnego sposobu uzyskiwania dostępu i używania kodów 2FA. Jeśli witryna oferuje logowanie do uwierzytelniania dwuskładnikowego, prawie na pewno oferuje SMS jako jedną z opcji.
Ale SMS nie jest bezpiecznym sposobem korzystania z 2FA. Ma dwie kluczowe luki.
Po pierwsze, technologia podatne na ataki zamiany karty SIM. Haker nie wykonuje wiele zamiany karty SIM. Jeśli mają dostęp do jednej innej informacji osobistej, takiej jak numer ubezpieczenia społecznego, mogą zadzwonić do operatora i przenieść Twój numer na nową kartę SIM.
Po drugie, hakerzy mogą przechwytywać wiadomości SMS. Wszystko wraca do przestarzałego systemu routingu telefonicznego nr 7 (SS7). Metodologia została opracowana w 1975 roku, ale nadal jest używana prawie na całym świecie do łączenia i rozłączania połączeń. Obsługuje również tłumaczenia numerów, rozliczenia z góry i przede wszystkim wiadomości SMS.
Nic dziwnego, że ta technologia z 1975 roku jest pełna luk bezpieczeństwa. Oto jak Bruce Schneier, ekspert ds. Bezpieczeństwa, opisał wady:
“Jeśli osoby atakujące mają dostęp do portalu SS7, mogą przekazać Twoje rozmowy do internetowego urządzenia rejestrującego i przekierować połączenie do miejsca docelowego […] Oznacza to, że dobrze wyposażony przestępca może pobrać wiadomości weryfikacyjne i wykorzystać je, zanim nawet ich widziałem.”
Oczywiście odkrycie, że cyberprzestępca włamał się na Twój Facebook Jak dowiedzieć się, czy Twoje konto Facebook zostało zaatakowane Jak dowiedzieć się, czy Twoje konto Facebook zostało zaatakowane Za pomocą Facebooka przechowującego tak wiele danych, musisz zabezpieczyć swoje konto. Oto, jak dowiedzieć się, czy Twój Facebook został zhakowany. konto jest dalekie od ideału. Ale sytuacja jest bardziej przerażająca, gdy weźmie się pod uwagę inne zastosowania 2FA. Cyberprzestępca może kraść kody, których używasz w bankowości internetowej, a nawet inicjować i realizować przelewy. 6 najlepszych aplikacji do wysyłania pieniędzy do znajomych 6 najlepszych aplikacji do wysyłania pieniędzy do znajomych Następnym razem, gdy będziesz potrzebować wysłać pieniądze do znajomych, sprawdź tych wspaniałych aplikacji mobilnych, aby w ciągu kilku minut wysłać pieniądze do każdego. .
Ponadto Schneier twierdzi również, że każdy może kupić dostęp do sieci SS7 za około 1000 USD. Po uzyskaniu dostępu mogą wysłać żądanie routingu. Aby rozwiązać problem, sieć może nie uwierzytelnić źródła żądania.
Pamiętaj, że używanie uwierzytelniania dwuskładnikowego przez SMS jest lepsze niż pozostawienie 2FA wyłączone. I prawdopodobnie nie staniesz się ofiarą. Jeśli jednak zaczynasz czuć się trochę zaniepokojony, musisz czytać dalej. Wiele osób akceptuje, że SMS jest niepewny i zamiast tego zwraca się do aplikacji innych firm.
Ale to może nie być dużo lepsze.
Dlaczego warto unikać aplikacji 2FA
Innym powszechnym sposobem korzystania z kodów 2FA jest instalacja dedykowanej aplikacji na smartfony. Jest wiele do wyboru. Google Authenticator jest prawdopodobnie najbardziej rozpoznawalny, ale niekoniecznie najlepszy. Istnieje wiele alternatyw - sprawdź Authy, Authenticator Plus i Duo.
Ale na ile bezpieczne są specjalistyczne aplikacje 2FA? Ich największą słabością jest ich poleganie na tajnym kluczu.
Cofnijmy się na chwilę. Jeśli nie wiesz, kiedy rejestrujesz się w wielu aplikacjach po raz pierwszy, musisz wprowadzić tajny klucz. Sekret jest dzielony między tobą a dostawcą aplikacji.
Podczas uzyskiwania dostępu do witryny kod tworzony przez aplikację jest oparty na kombinacji Twojego klucza i bieżącej godziny. W tym samym momencie serwer generuje kod przy użyciu tych samych informacji. Dwa kody muszą się zgadzać, aby uzyskać dostęp. Brzmi rozsądnie.
Dlaczego więc klucze są słabym punktem? Co się stanie, jeśli cyberprzestępcy uda się uzyskać dostęp do bazy danych haseł i tajemnic firmy? Każde konto byłoby narażone na atak - atakujący może przyjść i odejść Jak sprawdzić, czy ktoś inny uzyskuje dostęp do twojego konta na Facebooku Jak sprawdzić, czy ktoś inny ma dostęp do twojego konta na Facebooku Jest to złowieszcze i niepokojące, jeśli ktoś ma dostęp do twojego konta na Facebooku bez twojego wiedza, umiejętności. Oto, jak się dowiedzieć, czy zostałeś złamany. fakultatywnie.
Po drugie, sekret jest wyświetlany w postaci zwykłego tekstu lub w postaci kodu QR; nie można go mieszać ani używać z solą Co to wszystko rzeczy mieszające MD5 faktycznie oznacza [Technologia wyjaśniona] Co to wszystko to rzeczy mieszające MD5 Faktycznie oznacza [Technologia wyjaśniona] Oto pełne omówienie MD5, mieszanie i mały przegląd komputerów i kryptografia. . Prawdopodobnie jest to również zwykły tekst na serwerach firmy.
Tajny klucz jest podstawową wadą jednorazowego hasła opartego na czasie (TOTP), z którego korzystają specjalistyczne aplikacje. Dlatego fizyczny klucz U2F jest zawsze bezpieczniejszą opcją.
Wady w projektowaniu i bezpieczeństwie aplikacji 2FA
Oczywiście szanse, że cyberprzestępca włamie się na niezbędne bazy danych aplikacji innych firm, są dość niewielkie. Ale twoja aplikacja może również cierpieć z powodu podstawowych wad bezpieczeństwa.
Popularny menedżer haseł LastPass 8 Proste sposoby na doładowanie twojego LastPass Security 8 Łatwe sposoby na doładowanie twojego LastPass Security Być może używasz LastPass do zarządzania wieloma hasłami online, ale czy używasz go dobrze? Oto osiem kroków, które możesz zrobić, aby Twoje konto LastPass było jeszcze bardziej bezpieczne. padł ofiarą w grudniu 2017 r. W wpisie na blogu programisty na Medium ujawniono, że można uzyskać dostęp do tajnych kluczy 2FA bez odcisku palca, hasła lub innych środków bezpieczeństwa.
Obejście tego problemu nie było nawet skomplikowane. Uzyskując dostęp do działania ustawień aplikacji LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), można wejść do panelu ustawień aplikacji bez żadnych kontroli. Stamtąd możesz nacisnąć Z powrotem raz, aby uzyskać dostęp do wszystkich kodów 2FA.
LastPass naprawił teraz wadę, ale pytania pozostają. Według programisty przez siedem miesięcy próbował powiedzieć LastPass o tym problemie, ale firma nigdy go nie naprawiła. Ile innych aplikacji 2FA innych firm jest niepewnych? A o ile nieusuniętych luk wiedzą programiści, ale opóźniają łatanie? Istnieją również obawy związane z utratą dostępu do generatora kodu na Facebooku. Jak zalogować się do Facebooka, jeśli straciłeś dostęp do generatora kodów Jak zalogować się do Facebooka, jeśli straciłeś dostęp do generatora kodu Straciłeś dostęp do generatora kodu Facebooka? W tym artykule omówiono alternatywne metody logowania do konta na Facebooku. na przykład.
Co zamiast tego zrobić: użyj klawiszy U2F
Zamiast polegać na SMS-ach i 2FA dla swoich kodów, powinieneś użyć uniwersalnych kluczy drugiego czynnika Czym są klucze U2F i gdzie są obsługiwane? Co to są klucze U2F i gdzie są obsługiwane? Klucze U2F to jeden z najlepszych sposobów na zapewnienie bezpieczeństwa kont. Ale gdzie obsługiwane są klucze U2F? (U2F). Są najbezpieczniejszym sposobem generowania kodów i uzyskiwania dostępu do twoich usług.
Powszechnie uważana za wersję 2FA drugiej generacji, zarówno upraszcza, jak i wzmacnia obecny protokół. Ponadto korzystanie z kluczy U2F jest prawie tak wygodne, jak otwieranie wiadomości SMS lub aplikacji innej firmy.
Klucze U2F używają połączenia NFC lub USB. Po pierwszym podłączeniu urządzenia do konta wygeneruje on losową liczbę o nazwie a “Chwilowo.” Nonce jest mieszane z nazwą domeny witryny, aby utworzyć unikalny kod.
Następnie możesz wdrożyć klucz U2F, podłączając go do urządzenia i czekając, aż usługa go rozpozna.
Więc co jest wadą? Cóż, chociaż U2F jest otwartym standardem, nadal kosztuje pieniądze na zakup fizycznego klucza U2F. A może bardziej niepokojące, że jesteś zagrożony kradzieżą.
Skradziony klucz U2F nie powoduje automatycznie zagrożenia bezpieczeństwa konta; haker nadal będzie musiał znać twoje hasło. Ale w przestrzeni publicznej złodziej mógł już widzieć, jak wpisujesz hasło z daleka, przed kradzieżą swojego mienia.
Klucze U2F mogą być drogie
Ceny różnią się znacznie między producentami, ale możesz spodziewać się zapłaty od około 15 do 50 USD.
Idealnie, chcesz kupić model, który “Certyfikat FIDO.” Sojusz FIDO (Fast IDentity Online) jest odpowiedzialny za osiągnięcie interoperacyjności między technologiami uwierzytelniania. Członkami są wszyscy, od Google i Microsoft, po Bank of America i MasterCard.
Kupując urządzenie FIDO, możesz mieć pewność, że klucz U2F będzie działał ze wszystkimi usługami, z których korzystasz na co dzień. Sprawdź klucz DIGIPASS SecureClick U2F, jeśli chcesz go kupić.
Niepewne 2FA jest wciąż lepsze niż nr 2FA
Podsumowując, klucze Universal 2nd Factor zapewniają przyjemne połączenie łatwości użycia i bezpieczeństwa. SMS to najmniej bezpieczne podejście, ale także najwygodniejsze.
I pamiętaj, że każde 2FA jest lepsze niż brak 2FA. Tak, zalogowanie się do niektórych aplikacji może potrwać dodatkowe 10 sekund, ale jest to lepsze niż poświęcenie bezpieczeństwa.