Vrijeme je za prestanak korištenja SMS-a i 2FA aplikacija za dvofaktorsku provjeru autentičnosti

Oglas

Ovih se dana čini da vas svaka web stranica koju posjetite pokušava potaknuti na to koristite dvofaktorsku provjeru autentičnosti (2FA).

Jedan od najčešćih načina za korištenje 2FA je unos jedinstvenog koda s vašeg mobilnog uređaja. Kôd obično primate u tekstualnoj poruci ili koristite 2FA aplikaciju za generiranje iste.

Ove su dvije metode popularne načine upotrebe kodova zbog njihove praktičnosti. No, obje su metode sa sigurnosnog stajališta također slabe. A budući da je vaš 2FA kôd jednako siguran koliko i tehnologija koja se koristi za njegovo isporučivanje, slabosti su važne.

Dakle, što nije u redu pomoću SMS-a i aplikacija treće strane za pristup vašim kodovima Što su lozinke? Jesu li zapravo sigurni?Stižu prijave bez lozinke. Jesu li sigurni? Kako to rade prijave bez lozinke? Evo što trebate znati. Čitaj više ? I postoji li jednako prikladna alternativa koja je sigurnija? Objasnit ćemo sve. Nastavite čitati da biste saznali više.

Kako djeluje dvofaktorska provjera autentičnosti

Uzmite trenutak da razgovaramo o načinu funkcioniranja dvofaktorske provjere identiteta. Bez razumijevanja mehanike koja stoji iza tehnologije, ostatak ovog članka neće imati puno smisla.

U širokom smislu, 2FA dodaje dodatni sloj sigurnosti vašem računu Kako osigurati svoje račune pomoću usluge 2FA: Gmail, Outlook i još mnogo togaMože li dvofaktorska provjera autentičnosti pomoći u zaštiti e-pošte i društvenih mreža? Evo što trebate znati kako biste bili sigurni na mreži. Čitaj više . Poznate i kao multifaktorska provjera identiteta, vjerodajnice za prijavu sastoje se ne samo od lozinke, već i od drugog podatka, kojem pristupa samo legitimni vlasnik računa.

2FA dolazi u puno različitih oblika Prednosti i nedostaci dvofaktornih vrsta i metoda provjere autentičnostiDvofaktorne metode provjere identiteta nisu jednake. Neki su demonstrirano sigurniji i sigurniji. Evo pregleda najčešćih metoda i one koje najbolje zadovoljavaju vaše pojedinačne potrebe. Čitaj više . Na svojoj najosnovnijoj razini to bi moglo biti nešto tako jednostavno kao sigurnosna pitanja (jer nitko drugi to ne bi mogao znajte djevojačko prezime vaše majke Zašto odgovarate na pitanja o sigurnosti lozinke pogrešnoKako odgovarate na pitanja o sigurnosti računa na mreži? Iskreni odgovori? Nažalost, vaša iskrenost mogla bi stvoriti mrvicu u vašem mrežnom oklopu. Pogledajmo kako sigurno odgovoriti na sigurnosna pitanja. Čitaj više ili vaš omiljeni kućni ljubimac). Na složenijem kraju, to bi mogao biti biometrijski ID poput skeniranja mrežnice ili otiska prsta.

Zašto biste trebali izbjegavati provjeru SMS-a

SMS uživa u položaju kao najpristupačniji način za pristup i korištenje 2FA kodova. Ako web lokacija nudi dvofaktornu prijavu za autentifikaciju, gotovo sigurno nudi SMS kao jednu od opcija.

Ali SMS nije siguran način upotrebe 2FA. Ima dvije ključne ranjivosti.

Prvo, tehnologija je osjetljiv na napade SIM izmjene. Ne treba puno da haker izvrši zamjenu SIM kartice. Ako imaju pristup nekom drugom osobnom podatku - poput vašeg broja socijalnog osiguranja - mogu nazvati vašeg mobilnog operatera i premjestiti vaš broj na novu SIM karticu.

Drugo, hakeri mogu presresti SMS poruke. Sve se vraća na sada datirani sustav signalizacije br. 7 (SS7) telefona. Metodologija je osmišljena još davne 1975. godine, ali se još uvijek koristi gotovo za globalno povezivanje i prekid poziva. Također se bavi prevođenjem broja, unaprijed plaćenim naplatom i presudno, SMS porukama.

Ne iznenađuje da je ova tehnologija iz 1975. puna sigurnosnih rupa. Evo kako sigurnosni stručnjak Bruce Schneier opisao nedostatke:

"Ako napadači imaju pristup SS7 portalu, mogu preusmjeriti vaše razgovore na mrežni uređaj za snimanje i preusmjeriti poziv na namjeravano odredište […] To znači da će dobro opremljeni zločinac moći ugrabiti vaše potvrdne poruke i upotrijebiti ih prije nego što ih uopće vidite ih."

Naravno, otkrivanjem da cyber-zločinac ima hakirao vaš Facebook Kako saznati je li vaš Facebook račun hakiranKako Facebook sadrži toliko podataka, morate čuvati svoj račun. Evo kako saznati je li vaš Facebook hakiran. Čitaj više račun je daleko od idealnog. Ali situacija je zastrašujuća kada razmotrite ostale svrhe 2FA. Internetski zločinac mogao bi ukrasti kodove koje koristite u svom internetskom bankarstvu ili čak pokrenuti i dovršiti novčane transfere 6 najboljih aplikacija za slanje novca prijateljimaSljedeći put kada trebate poslati novac prijateljima, pogledajte ove sjajne mobilne aplikacije da biste u roku od nekoliko minuta nekome poslali novac. Čitaj više .

Nadalje, Schneier također tvrdi da svatko može kupiti pristup SS7 mreži za oko 1000 dolara. Jednom kada imaju pristup, mogu poslati zahtjev za usmjeravanje. Da bi dovršio problem, mreža možda neće potvrditi izvor zahtjeva.

Zapamtite, korištenje dvofaktorske provjere identiteta putem SMS-a je bolje nego ostavljanje 2FA onemogućeno. A vjerovatno je malo da ćete postati žrtva Međutim, ako se počnete osjećati pomalo zabrinuto, nastavite čitati. Mnogi ljudi prihvaćaju da je SMS nesiguran i umjesto toga se okreću trećim aplikacijama.

Ali to možda nije puno bolje.

Zašto biste trebali izbjegavati 2FA aplikacije

Drugi uobičajeni način upotrebe 2FA kodova jest instaliranje namjenske aplikacije za pametne telefone. Ima puno izbora. Google Autentifikat je vjerovatno najprepoznatljiviji, ali nije nužno i najbolji. Postoji puno alternativa vani - provjerite Authy, Authenticator Plus i Duo.

Ali koliko su sigurne specijalne aplikacije 2FA? Njihova je najveća slabost oslanjanje na tajni ključ.

Krenimo korak na trenutak U slučaju da niste svjesni, kada se prvi put prijavljujete za mnoge aplikacije, morat ćete unijeti tajni ključ. Tajna je podijeljena između vas i davatelja aplikacije.

Kada pristupite web mjestu, kôd koji aplikacija stvara temelji se na kombinaciji vašeg ključa i trenutnog vremena. U istom trenutku poslužitelj generira kôd koristeći iste podatke. Za pristup odobrenju dva koda moraju se podudarati. Zvuči razumno.

Pa zašto su ključevi slaba točka? Pa, što se događa ako cyber-zločinac uspije dobiti pristup kompanijskoj bazi podataka o zaporkama i tajnama? Svaki bi račun bio ranjiv - the napadač je mogao doći i otići Kako provjeriti pristupa li vam netko drugi na vaš Facebook računZaslužno je i zabrinjavajuće ako netko ima pristup vašem Facebook računu bez vašeg znanja. Evo kako znati jeste li prekršili. Čitaj više po volji.

Drugo, tajna je prikazana u običnom tekstu ili u obliku QR koda; ne može biti usitnjeno ili upotrijebljeno sa soli Što sve ovo MD5 hash stvari zapravo znači [objašnjena tehnologija]Evo potpunog propadanja MD5, hash-a i malog pregleda računala i kriptografije. Čitaj više . To je vjerojatno i u običnom tekstu na poslužiteljima tvrtke.

Tajni ključ je osnovna mana vremenske jednokratne lozinke (TOTP) koju koriste specijalističke aplikacije. Zbog toga je fizički U2F ključ uvijek sigurnija opcija.

Nedostaci dizajna i sigurnosti za 2FA aplikacije

Naravno, šanse da cyber-zločinac hakuje potrebne baze podataka treće aplikacije prilično je mali. Ali vaša aplikacija može također patiti od osnovnih nedostataka sigurnosti u svom dizajnu.

Popularan upravitelj lozinki LastPass 8 jednostavnih načina za nadopunu vaše LastPass sigurnostiMožda koristite LastPass za upravljanje brojnim zaporkama na mreži, ali upotrebljavate li ih dobro? Evo osam koraka koje možete poduzeti kako biste učinili svoj račun LastPass još sigurnijim. Čitaj više pala žrtva u prosincu 2017. blogerski post programera na Medium otkriveni tajni ključevi 2FA mogli su se pristupiti bez otiska prsta, lozinke ili drugih sigurnosnih mjera.

Rešavanje nije bilo čak ni komplicirano. Pristupom aktivnostima podešavanja aplikacije LastPass Authenticator (com.lastpass.authenticator.activities). SettingsActivity), moglo bi se ući u okvir postavki za aplikaciju bez ikakvih provjera. Od tamo možete pritisnuti leđa jednom za pristup svim 2FA kodovima.

LastPass je sad ispravio nedostatak, ali pitanja ostaju. Prema riječima programera, sedam je mjeseci pokušao reći LastPass-u o tom problemu, ali tvrtka to nikada nije riješila. Koliko je drugih aplikacija 2FA treće strane nesigurno? I koliko nefiksnih ranjivosti znaju programeri, ali odgađaju zakrpu? Postoje i brige kada je u pitanju izgubivši pristup generatoru koda na Facebooku Kako se prijaviti na Facebook ako izgubite pristup Generatoru kodaIzgubili ste pristup Facebookovom generatoru koda? Ovaj članak govori o alternativnim metodama za prijavu na svoj Facebook račun. Čitaj više na primjer.

Što učiniti umjesto toga: koristite U2F tipke

Umjesto da se za svoje kodove oslanjate na SMS i 2FA, koristite se Univerzalne tipke 2. faktora Što su U2F tipke i gdje se podržavaju?U2F ključevi jedan su od najboljih načina zaštite računa i zaštite. Ali gdje su podržane U2F tipke? Čitaj više (U2F). Oni su najsigurniji način generiranja kodova i pristup vašim uslugama.

Naširoko smatraju se drugom generacijom verzije 2FA, ona pojednostavljuje i jača trenutni protokol. Uz to, korištenje U2F tipki gotovo je prikladno kao i otvaranje SMS poruke ili aplikacije treće strane.

U2F tipke koriste ili NFC ili USB vezu. Kad prvi put povežete svoj uređaj s računom, on će generirati slučajni broj nazvan "Nonce". Nonce se preklapa s nazivom domene web mjesta kako bi se stvorio jedinstveni kôd.

Nakon toga možete uvesti ključ U2F tako da ga povežete s uređajem i čekate da ga usluga prepozna.

Pa, u čemu je nedostatak? Pa iako je U2F otvoreni standard, još uvijek košta novac za kupnju fizičkog U2F ključa. A možda još više, prijeti vam krađa.

Ukradeni U2F ključ automatski ne čini vaš račun nesigurnim; haker će i dalje morati znati vašu lozinku. Ali na javnom području lopov vas je možda već vidio kako unosite zaporku izdaleka, prije nego što vam je ukrao imetak.

U2F ključevi mogu biti skupi

Cijene znatno variraju između proizvođača, ali možete očekivati ​​da ćete platiti između oko 15 i 50 dolara.

U idealnom slučaju želite kupiti model koji je "FIDO certificiran." Savez FIDO (Fast IDentity Online) odgovoran je za postizanje interoperabilnosti između tehnologija za provjeru autentičnosti. Članovi uključuju sve od Googlea i Microsofta, do Bank of America i MasterCard.

Kupnjom FIDO uređaja možete biti sigurni da će U2F ključ raditi sa svim uslugama koje svakodnevno koristite. Pogledajte ključ DIGIPASS SecureClick U2F ako ga želite kupiti.

Nesigurna 2FA još je bolja nego bez 2FA

Da zaključimo, Universal 2. faktor tipke pružaju sretan medij između jednostavnosti uporabe i sigurnosti. SMS je najmanje siguran pristup, ali ujedno i najpovoljniji.

I zapamtite, bilo koji 2FA je bolji od ne 2FA. Da, možda će vam trebati dodatnih 10 sekundi da se prijavite u određene aplikacije, ali to je bolje nego žrtvovati svoju sigurnost.