Obsah:
Tento týždeň som kopal späť do svojho bezedného poštového vrecka, aby som vyriešil ďalšiu otázku týkajúcu sa dvojfaktorového overenia (2FA). Je to téma, ktorej som sa predtým venoval, ale na základe množstva a špecifickosti otázok, ktoré som o nej dostal, je to jednoznačne otázka, o ktorej mnohí ľudia myslia. Keďže vidím 2FA ako možno najlepšiu vec, ktorú môžu bežní ľudia urobiť, aby zostali v bezpečí online, som nadšený, že o tom môžem hovoriť donekonečna.
Dnešná otázka pochádza od Teda, ktorý sa pýtal, či sú systémy 2FA skutočne všetko, na čo sú prasknuté. Upozorňujeme, že Tedov list bol upravený pre stručnosť. Ted začína svoju správu odkazom na niektoré z mojich ďalších písaní o 2FA.
Napísali ste: „Po zaregistrovaní bezpečnostného kľúča budú prístupové kódy SMS v prípade straty alebo prístupu ku kľúču záložnou možnosťou.“ Ak je to pravda, prečo je toto zariadenie bezpečnejšie ako kód 2FA SMS? Ako ste tiež napísali: „Ale telefóny môžu byť ukradnuté a jack-jack je evidentne vecou, ktorú si teraz musíme robiť starosti.“
Čo bráni niekomu v tom, aby spoločnosti Google povedal, že ste vy, stratili bezpečnostný kľúč a potrebujete SMS kód, ktorý vám pošleme na váš odcudzený / zdvihnutý telefón? Ak tomu rozumiem správne, potom toto zariadenie nie je bezpečnejšie ako texty 2FA SMS. Je to omnoho pohodlnejšie, to je isté, ale nechápem, ako je bezpečnejšie.
Vyplýva to z toho, že bezpečnostný kľúč zvýši vašu bezpečnosť, ale iba preto, že je pravdepodobnejšie, že ho použijete, nie preto, že je vo svojej podstate bezpečnejší ako 2FA? Čo mi chýba?
Nič ti nechýba, Tede. V skutočnosti ste šikovní, aby ste sa zaoberali zásadným problémom, ktorý je základom mnohých bezpečnostných opatrení týkajúcich sa online autentifikácie: ako môžete bezpečne overiť, kto sú ľudia bez toho, aby im znemožnili obnoviť svoje účty?
Základy 2FA
Najprv pokryjeme niektoré základy. Dvojfaktorová autentifikácia alebo 2FA je bezpečnostný koncept, v ktorom musíte predložiť dva dôkazy totožnosti, nazývané faktory, zo zoznamu možných troch.
- Niečo, čo viete , napríklad heslo.
- Niečo, čo máte , napríklad telefón.
- Niečo, ako ste, napríklad váš odtlačok prsta.
V praxi to znamená, že 2FA často znamená druhú vec, ktorú urobíte po zadaní hesla na prihlásenie na web alebo do služby. Heslo je prvým faktorom a druhým môže byť správa SMS odoslaná do telefónu so špeciálnym kódom alebo pomocou zariadenia Apple FaceID na zariadení iPhone. Ide o to, že zatiaľ čo heslo možno uhádnuť alebo odcudziť, je menej pravdepodobné, že by útočník mohol získať vaše heslo aj druhý faktor.
Vo svojom liste sa Ted pýta konkrétne na hardvérové 2FA kľúče. Rad Yubico YubiKey je pravdepodobne najznámejšou možnosťou, ale je ďaleko od jedinej možnosti. Google má vlastné bezpečnostné kľúče Titan a Nitrokey ponúka kľúč s otvoreným zdrojom, aby sme pomenovali iba dva.
Praktické úskalia
Žiadny bezpečnostný systém nie je dokonalý a 2FA sa nelíši. Guemmy Kim, vedúci produktu v oblasti zabezpečenia účtu spoločnosti Google, správne poukázal na to, že mnoho systémov, na ktoré sa spoliehame pri obnove účtu a 2FA, je náchylných na phishing. Tu zlodeji používajú falošné stránky, aby vás podviedli v zadávaní súkromných informácií.
Jedným z najexotickejších útokov by bolo zdvihnutie karty SIM, kde útočník klonuje vašu kartu SIM alebo podnecuje vašu telefónnu spoločnosť, aby zrušila registráciu karty SIM, aby zachytila vaše správy SMS. V tomto scenári by vás útočník mohol veľmi zosobniť, pretože mohol použiť vaše telefónne číslo ako svoje vlastné.
Nie tak exotickým útokom sú jasné straty a krádeže. Ak je váš telefón alebo aplikácia v telefóne primárnym autentifikátorom a stratíte ho, bude to bolesť hlavy. To isté platí pre hardvérové kľúče. Aj keď hardvérové bezpečnostné kľúče, napríklad Yubico YubiKey, je ťažké rozbiť, je ich ľahké stratiť.
Yubico Yubikey Series 5 sa dodáva v mnohých rôznych konfiguráciách.Problém obnovenia účtu
Ted vo svojom liste zdôrazňuje, že mnoho spoločností vyžaduje, aby ste okrem hardvérového bezpečnostného kľúča nastavili aj druhú metódu 2FA. Spoločnosť Google napríklad vyžaduje, aby ste používali buď SMS, nainštalovali aplikáciu spoločnosti Authenticator, alebo aby ste zaregistrovali svoje zariadenie na prijímanie upozornení od spoločnosti Google, ktoré overujú váš účet. Zdá sa, že potrebujete aspoň jednu z týchto troch možností ako zálohu akejkoľvek inej možnosti 2FA, ktorú používate - napríklad kľúčov Titan od spoločnosti Google.
Aj keď si ako zálohu zaregistrujete druhý bezpečnostný kľúč, stále musíte povoliť SMS, Google Authenticator alebo upozornenia push. Ak chcete používať program rozšírenej ochrany spoločnosti Google, je potrebné zaregistrovať druhý kľúč.
Podobne služba Twitter tiež vyžaduje, aby ste k voliteľnému hardvérovému bezpečnostnému kľúču používali buď kódy SMS alebo aplikáciu na autentifikáciu. Služba Twitter bohužiaľ umožňuje naraz zaregistrovať iba jeden bezpečnostný kľúč.
Ako zdôraznil Ted, tieto alternatívne metódy sú technicky menej bezpečné ako samotné použitie bezpečnostného kľúča. Môžem len hádať, prečo boli tieto systémy implementované týmto spôsobom, ale mám podozrenie, že chcú zaistiť, aby ich zákazníci mali vždy prístup k svojim účtom. Kódy SMS a aplikácie na overenie totožnosti sú overené možnosti, ktoré sú pre ľudí ľahko zrozumiteľné a nevyžadujú si ich, aby si kupovali ďalšie zariadenia. Kódy SMS tiež riešia problém krádeže zariadenia. Ak stratíte telefón alebo vám ho niekto ukradne, môžete ho na diaľku uzamknúť, zrušiť jeho oprávnenie na karte SIM a získať nový telefón, ktorý môže prijímať kódy SMS a vrátiť sa online.
Osobne by som rád mal k dispozícii viac možností, pretože zatiaľ čo sa obávam o bezpečnosť, viem aj sám seba a viem, že veci pravidelne strácam alebo zlomím. Viem, že ľudia, ktorí nikdy predtým nepoužívali 2FA, sa veľmi obávajú, že sa ocitnú zablokovaní zo svojho účtu, ak používajú 2FA.
2FA je skutočne veľmi dobrý
Vždy je dôležité porozumieť nevýhodám akéhokoľvek bezpečnostného systému, ale to nezbavuje platnosti systém. Hoci má spoločnosť 2FA svoje slabé stránky, bola nesmierne úspešná.
Opäť sa musíme len pozrieť na Google. Spoločnosť vyžadovala interné používanie hardvérových kľúčov 2FA a výsledky hovoria samy za seba. Úspešné prevzatia účtov zamestnancov spoločnosti Google zmizli. Toto je obzvlášť dôležité vzhľadom na to, že zamestnanci spoločnosti Google sú so svojou pozíciou v technologickom priemysle a (predpokladaným) bohatstvom hlavnými cieľmi cielených útokov. V tomto prípade útočníci vynakladajú veľké úsilie na to, aby zaútočili na konkrétnych jednotlivcov. Je to zriedkavé a zvyčajne úspešné, ak má útočník dostatočné prostriedky a trpezlivosť.
Balík bezpečnostných kľúčov Google Titan obsahuje kľúče USB-A a Bluetooth.Výzvou je, že Google vyžadoval špecifický typ 2FA: hardvérové bezpečnostné kľúče. Tieto majú výhodu oproti iným systémom 2FA, pretože je veľmi ťažké ich phishingovať alebo inak zachytiť. Niektorí by mohli povedať, že je to nemožné, ale videl som, čo sa stalo Titanicu a vedel som to lepšie.
Napriek tomu metódy zachytenia 2FA SMS kódov alebo autentifikačných tokenov sú dosť exotické a nie sú v skutočnom meradle. To znamená, že je nepravdepodobné, že ich použije priemerný zločinec, ktorý sa snaží zarobiť nejaké peniaze čo najrýchlejšie a najjednoduchšie na priemerného človeka, ako ste vy.
Ted 's point: hardvérové bezpečnostné kľúče sú najbezpečnejším spôsobom, ako sme doteraz videli 2FA. Je veľmi ťažké ich phishingovať a veľmi ťažko zaútočiť, hoci nie sú bez svojich vlastných slabostí. Hardvérové kľúče 2FA sú navyše do istej miery chránené pred budúcnosťou. Mnoho spoločností sa sťahuje od kódov SMS a niektoré dokonca prijali bezlogónové prihlásenie, ktoré sa spolieha výlučne na hardvérové 2FA kľúče, ktoré používajú štandard FIDO2. Ak teraz používate hardvérový kľúč, existuje veľká šanca, že budete v nadchádzajúcich rokoch v bezpečí.
Nitrokey FIDO U2F sľubuje bezpečnosť otvorených zdrojov.- Dvojfaktorové overenie: Kto to má a ako je nastavený Dvojfaktorové overenie: kto to má a ako je nastavený
- Google: Phishingové útoky, ktoré môžu poraziť dvojfaktory, sú na vzostupe Google: Phishingové útoky, ktoré môžu poraziť dvojfaktory, sú na vzostupe
- SecurityWatch: Ako sa nezablokovať pomocou dvojfaktorového overenia SecurityWatch: Ako sa nezablokovať pomocou dvojfaktorového overenia
Keďže sú hardvérové kľúče 2FA bezpečné, väčší ekosystém vyžaduje určité kompromisy, aby vás zbytočne nezablokoval. 2FA musí byť technológiou, ktorú ľudia skutočne používajú, inak to nič nestojí.
Vzhľadom na výber sa domnievam, že väčšina ľudí bude používať možnosti 2FA založené na aplikácii a SMS, pretože sa dajú ľahšie nastaviť a účinne zadarmo. Možno to nie sú najlepšie možné možnosti, ale pre väčšinu ľudí fungujú veľmi dobre. To sa však môže čoskoro zmeniť, pretože teraz vám spoločnosť Google umožňuje používať mobilné zariadenie so systémom Android 7.0 alebo novším ako hardvérový bezpečnostný kľúč.
Napriek svojim obmedzeniam je 2FA pravdepodobne najlepšou vecou pre bezpečnosť spotrebiteľa od antivírusu. Úhľadne a účinne zabraňuje niektorým z najničivejších útokov, a to bez toho, aby príliš komplikoval životy ľudí. Ak sa však rozhodnete používať 2FA, vyberte si metódu, ktorá vám dáva zmysel. Nepoužitie 2FA je omnoho škodlivejšie ako použitie trochu menej veľkej chuti 2FA.