Je čas prestať používať SMS a 2FA aplikácie na dvojfaktorové overenie

Reklama

Zdá sa, že v týchto dňoch sa vás všetky webové stránky, ktoré ste navštívili, snažia povzbudiť používať dvojfaktorové overenie (2FA).

Jedným z najbežnejších spôsobov použitia služby 2FA je zadanie jedinečného kódu z mobilného zariadenia. Kód zvyčajne dostanete v textovej správe alebo na jeho vygenerovanie použijete aplikáciu 2FA od tretej strany.

Obidve tieto metódy sú obojstranným spôsobom používania kódov z dôvodu ich pohodlia. Obe metódy sú však z hľadiska bezpečnosti tiež slabé. A pretože váš kód 2FA je iba taký bezpečný ako technológia použitá na jeho dodanie, sú jeho slabé stránky dôležité.

Takže, čo je zle pomocou správ SMS a aplikácií tretích strán na prístup k svojim kódom Čo sú prihlasovacie údaje bez hesla? Sú skutočne bezpečné?Prihlasovanie bez hesla sa blíži. Sú bezpečné? Ako na zemi fungujú prihlasovacie údaje bez hesla? Toto je potrebné vedieť. Čítaj viac ? A existuje aj pohodlnejšia alternatíva, ktorá je bezpečnejšia? Všetko vysvetlíme. Pokračujte v čítaní a zistite viac.

Ako funguje dvojfaktorové overenie

Vezmime si chvíľku na diskusiu o tom, ako funguje dvojfaktorové overenie. Bez pochopenia mechanizmu, ktorý stojí za touto technológiou, zvyšok tohto článku nebude mať veľký zmysel.

Všeobecne povedané, 2FA pridáva do vášho účtu ďalšiu vrstvu zabezpečenia Ako zabezpečiť svoje účty pomocou služby 2FA: Gmail, Outlook a ďalšieMôže dvojfaktorové overenie pomôcť pri zabezpečení vášho e-mailu a sociálnych sietí? Na zaistenie bezpečnosti online potrebujete nasledujúce informácie. Čítaj viac . Prihlasovacie poverenia, známe tiež ako viacfaktorové overenie, pozostávajú nielen z hesla, ale aj z druhej informácie, ku ktorej má prístup iba oprávnený vlastník účtu.

2FA prichádza v mnohých rôznych formách Výhody a nevýhody dvojfaktorových typov a metód overovaniaMetódy dvojfaktorovej autentifikácie sa nevytvárajú rovnocenné. Niektoré sú preukázateľne bezpečnejšie a bezpečnejšie. Tu je prehľad najbežnejších metód a metód, ktoré najlepšie vyhovujú vašim individuálnym potrebám. Čítaj viac . Na svojej najzákladnejšej úrovni by to mohlo byť niečo také jednoduché ako bezpečnostné otázky (pretože nikto iný by to nemohol) poznať rodné meno svojej matky Prečo ste odpovedali na otázky týkajúce sa zabezpečenia hesla nesprávne?Ako odpovedáte na otázky týkajúce sa zabezpečenia účtu online? Čestné odpovede? Bohužiaľ, vaša čestnosť by mohla vytvoriť štrk v online brnení. Pozrime sa, ako bezpečne zodpovedať bezpečnostné otázky. Čítaj viac alebo vaše obľúbené zviera). Na komplikovanejšom konci by to mohlo byť biometrické ID, ako je napríklad skenovanie sietnice alebo odtlačok prsta.

Prečo by ste sa mali vyhnúť verifikácii prostredníctvom SMS

SMS má pozíciu najprístupnejšieho spôsobu prístupu a použitia kódov 2FA. Ak lokalita ponúka dvojfaktorové prihlasovacie údaje, takmer určite ponúka ako jednu z možností správu SMS.

SMS však nie je bezpečný spôsob, ako používať 2FA. Má dve kľúčové chyby.

Po prvé, táto technológia je náchylné na útoky typu SIM Swap. Pre hackerov to nevyžaduje veľa času na vykonanie výmeny SIM karty. Ak majú prístup k jednej ďalšej osobnej informácii - napríklad k vášmu číslu sociálneho zabezpečenia - môžu zavolať operátorovi a presunúť vaše číslo na novú kartu SIM.

Po druhé, hackeri môžu zachytiť SMS správy. Všetko sa to vracia k systému dátového smerovania č. 7 (SS7), ktorý je teraz zastaraný. Metodika bola navrhnutá už v roku 1975, ale stále sa používa takmer na celom svete na spojenie a odpojenie hovorov. Zaoberá sa tiež prekladmi čísel, predplatenou fakturáciou a zásadne aj správami SMS.

Nie je prekvapením, že táto technológia z roku 1975 je plná bezpečnostných dier. Tu je návod bezpečnostný expert Bruce Schneier popísal nedostatky:

„Ak majú útočníci prístup k portálu SS7, môžu vaše konverzácie preposlať na online záznamové zariadenie a presmerovať hovor na jeho cieľové miesto určenia [...] Znamená to, že dobre vybavený zločinec by mohol získať vaše overovacie správy a použiť ich skôr, ako ste ich videli je. "

Zistenie, že počítačový zločin má, samozrejme prelomil váš Facebook Ako zistiť, či bol váš účet Facebook napadnutýKeďže Facebook uchováva toľko údajov, musíte svoj účet udržiavať v bezpečí. Tu je návod, ako zistiť, či bol váš Facebook napadnutý. Čítaj viac účet nie je ani zďaleka ideálny. Situácia je však desivejšia, keď uvažujete o iných spôsoboch použitia 2FA. Počítačový zločin by mohol ukradnúť kódy, ktoré používate vo svojom online bankovníctve alebo dokonca iniciovať a dokončiť prevody peňazí 6 najlepších aplikácií na posielanie peňazí priateľomAž budete nabudúce potrebovať poslať peniaze priateľom, vyskúšajte tieto skvelé mobilné aplikácie a pošlite ich komukoľvek za pár minút. Čítaj viac .

Spoločnosť Schneier ďalej tvrdí, že ktokoľvek môže kúpiť prístup do siete SS7 za približne 1 000 dolárov. Akonáhle majú prístup, môžu poslať žiadosť o smerovanie. Na dokončenie problému sieť nemusí overiť zdroj žiadosti.

Pamätajte, že použitie dvojfaktorovej autentifikácie prostredníctvom SMS je lepšie ako nechať 2FA deaktivovanú. A je pravdepodobne nepravdepodobné, že sa stanete obeťou. Ak sa však začínate cítiť trochu znepokojení, musíte si prečítať. Mnoho ľudí akceptuje, že SMS je neistá a namiesto toho sa obracia na aplikácie tretích strán.

Ale to nemusí byť oveľa lepšie.

Prečo by ste sa mali vyhnúť aplikáciám 2FA

Ďalším bežným spôsobom použitia kódov 2FA je inštalácia vyhradenej aplikácie pre smartfóny. Existuje veľa z čoho vyberať. Google Authenticator je pravdepodobne najznámejší, ale nie je nevyhnutne najlepší. Existuje veľa alternatív - pozrite sa na Authy, Authenticator Plus a Duo.

Ale ako bezpečné sú špeciálne aplikácie 2FA? Ich najväčšou slabinou je ich spoliehanie sa na tajný kľúč.

Vráťme sa na chvíľu o krok späť. Ak si nie ste vedomí, pri prvom prihlásení do mnohých aplikácií musíte zadať tajný kľúč. Tajomstvo je zdieľané medzi vami a poskytovateľom aplikácie.

Pri prístupe na web je kód, ktorý aplikácia vytvorí, založený na kombinácii kľúča a aktuálneho času. V rovnakom okamihu server generuje kód využívajúci rovnaké informácie. Aby sa mohol udeliť prístup, musia sa oba kódy zhodovať. Znie to rozumne.

Prečo sú teda klávesy slabou stránkou? Čo sa stane, ak sa počítačovému zločinu nepodarí získať prístup k firemnej databáze hesiel a tajomstiev? Každý účet by bol zraniteľný - útočník mohol prísť a odchádzať Ako skontrolovať, či niekto iný nemá prístup k vášmu účtu FacebookAk niekto má prístup k vášmu účtu Facebook bez vášho vedomia, je to zlovestné aj znepokojujúce. Tu je návod, ako zistiť, či vás niekto porušil. Čítaj viac na želanie.

Po druhé, tajomstvo sa zobrazuje buď ako obyčajný text alebo ako QR kód; to nemôže byť hash alebo použité so soľou Čo to všetko vlastne znamená, že látka MD5 značí [vysvetlenie technológie]Tu je úplné zhrnutie MD5, hashovanie a malý prehľad počítačov a kryptografie. Čítaj viac . Je to pravdepodobne aj obyčajný text na serveroch spoločnosti.

Tajný kľúč je základná chyba v jednorazovom hesle založenom na čase (TOTP), ktoré používajú špeciálne aplikácie. Preto je fyzický kľúč U2F vždy bezpečnejšou možnosťou.

Nedostatky v dizajne a bezpečnosti aplikácií 2FA

Pravdepodobnosť, že počítačový zločin hackne hackerom potrebné databázy tretích strán, je pomerne malá. Vaša aplikácia však môže mať v dizajne tiež základné bezpečnostné chyby.

populárne správca hesiel LastPass 8 jednoduchých spôsobov, ako doplniť svoje zabezpečenie LastPassMožno používate LastPass na správu mnohých hesiel online, ale používate ho správne? Tu je osem krokov, pomocou ktorých môžete zvýšiť bezpečnosť svojho účtu LastPass. Čítaj viac sa stal obeťou v decembri 2017. blogový príspevok programátora na médiu Medium odhalené tajné kľúče 2FA boli prístupné bez odtlačkov prstov, hesla alebo iných bezpečnostných opatrení.

Riešenie nebolo ani komplikované. Prístupom k aktivite nastavení aplikácie LastPass Authenticator (com.lastpass.authenticator.activities. SettingsActivity), bolo by možné vstúpiť do tably nastavení aplikácie bez akýchkoľvek kontrol. Odtiaľ môžete stlačiť späť raz pre prístup ku všetkým kódom 2FA.

LastPass teraz opravil chybu, ale otázky zostávajú. Podľa programátora sa pokúsil povedať LastPass o probléme sedem mesiacov, ale spoločnosť ho nikdy neopravila. Koľko ďalších aplikácií tretích strán 2FA je nezabezpečených? A koľko neopravených zraniteľností vedia vývojári o opravách, ale omeškaní? Existujú aj obavy, pokiaľ ide o stráca prístup k vášmu generátoru kódu na Facebooku Ako sa prihlásiť na Facebook, ak ste stratili prístup k Generátoru kóduStratili ste prístup k generátoru kódu Facebooku? Tento článok popisuje alternatívne spôsoby prihlásenia do vášho účtu Facebook. Čítaj viac napríklad.

Čo robiť: Namiesto toho použite klávesy U2F

Namiesto spoliehania sa na kódy SMS a 2FA by ste mali používať kódy Univerzálne kľúče 2. faktora Čo sú kľúče U2F a kde sú podporované?Kľúče U2F sú jedným z najlepších spôsobov, ako zabezpečiť bezpečnosť svojich účtov. Ale kde sú podporované klávesy U2F? Čítaj viac (U2F). Sú najbezpečnejším spôsobom generovania kódov a prístupu k vašim službám.

Všeobecne sa považuje za druhú generáciu verzie 2FA, ktorá zjednodušuje a posilňuje súčasný protokol. Používanie klávesov U2F je navyše takmer také pohodlné ako otváranie správ SMS alebo aplikácií tretích strán.

Klávesy U2F používajú pripojenie NFC alebo USB. Pri prvom pripojení zariadenia k účtu sa vygeneruje náhodné číslo s názvom „Nonce“. Nonce má hash s názvom domény stránok a vytvára jedinečný kód.

Potom môžete nasadiť kľúč U2F jeho pripojením k zariadeniu a čakaním, kým ho služba nerozpozná.

Čo je nevýhodou? Aj keď je U2F otvoreným štandardom, stále stojí peniaze, aby ste si kúpili fyzický kľúč U2F. A možno ešte viac znepokojuje vás hrozba krádeže.

Odcudzený kľúč U2F automaticky nezabezpečí váš účet. hacker by stále potreboval poznať vaše heslo. Ale na verejnosti mohol zlodej už videl, ako ste zadali svoje heslo z diaľky predtým, ako ukradli váš majetok.

Kľúče U2F môžu byť drahé

Ceny sa medzi výrobcami značne líšia, ale môžete očakávať, že zaplatíte medzi približne 15 a 50 USD.

V ideálnom prípade by ste chceli kúpiť model, ktorý je „FIDO certifikovaný“. Aliancia FIDO (Fast IDentity Online) je zodpovedná za dosiahnutie interoperability medzi autentifikačnými technológiami. Medzi členov patria všetci od spoločnosti Google a Microsoft, od Bank of America a MasterCard.

Zakúpením zariadenia FIDO si môžete byť istí, že kľúč U2F bude fungovať so všetkými službami, ktoré používate každý deň. Ak si chcete kúpiť kľúč DIGIPASS SecureClick U2F, vyskúšajte ho.

Nezabezpečená 2FA je stále lepšia ako č. 2FA

Aby som to zhrnul, kľúče Universal 2nd Factor poskytujú šťastné médium medzi ľahkosťou použitia a bezpečnosťou. SMS je najmenej bezpečný prístup, ale aj najpohodlnejší.

Pamätajte, že akékoľvek 2FA je lepšie ako žiadne 2FA. Áno, prihlásenie do určitých aplikácií vám môže trvať ďalších 10 sekúnd, ale je to lepšie ako obetovať svoju bezpečnosť.