Пора перестать использовать приложения SMS и 2FA для двухфакторной аутентификации

Рекламное объявление

В наши дни, кажется, каждый веб-сайт, который вы когда-либо посещали, пытается побудить вас использовать двухфакторную аутентификацию (2fa).

Одним из наиболее распространенных способов использования 2FA является ввод уникального кода с вашего мобильного устройства. Как правило, вы получаете код в текстовом сообщении или используете стороннее приложение 2FA для его создания.

Оба метода являются популярными способами использования кодов из-за их удобства. Однако оба метода также являются слабыми с точки зрения безопасности. А поскольку ваш код 2FA является настолько же безопасным, насколько и технология, используемая для его доставки, недостатки являются важными.

Итак, что не так с использование SMS и сторонних приложений для доступа к вашим кодам Что такое логин без пароля? На самом ли деле они безопасны?Идут пароли без пароля. Они в безопасности? Как, черт возьми, работают пароли без пароля? Вот что вам нужно знать. Подробнее ? И есть ли такая же удобная альтернатива, которая более безопасна? Мы собираемся объяснить все. Продолжайте читать, чтобы узнать больше.

Как работает двухфакторная аутентификация

Давайте немного поговорим о том, как работает двухфакторная аутентификация. Без понимания механизма, лежащего в основе технологии, остальная часть этой статьи не будет иметь большого смысла.

В общих чертах, 2FA добавляет дополнительный уровень безопасности для вашей учетной записи Как защитить свои учетные записи с 2FA: Gmail, Outlook и многое другоеМожет ли двухфакторная аутентификация помочь защитить вашу электронную почту и социальные сети? Вот что вам нужно знать, чтобы обезопасить себя в Интернете. Подробнее . Также известные как многофакторная аутентификация, учетные данные для входа состоят не только из пароля, но и из второй части информации, к которой имеет доступ только законный владелец учетной записи.

2FA поставляется в разных формах Плюсы и минусы типов и методов двухфакторной аутентификацииДвухфакторные методы аутентификации не созданы равными. Некоторые из них явно безопаснее и безопаснее. Вот посмотрите на наиболее распространенные методы и какие из них лучше всего соответствуют вашим индивидуальным потребностям. Подробнее . На самом базовом уровне это может быть что-то такое же простое, как вопросы безопасности (потому что никто другой не может знаю девичью фамилию вашей матери Почему вы отвечаете на вопросы безопасности пароля неправильноКак вы отвечаете на вопросы безопасности онлайн-аккаунта? Честные ответы? К сожалению, ваша честность может создать щель в вашей онлайн-броне. Давайте посмотрим, как безопасно отвечать на секретные вопросы. Подробнее или ваш любимый питомец). На более сложном конце это может быть биометрический идентификатор, такой как сканирование сетчатки или отпечаток пальца.

Почему вы должны избегать SMS-верификации

SMS пользуется позицией как наиболее доступный способ доступа и использования кодов 2FA. Если сайт предлагает логины двухфакторной аутентификации, он почти наверняка предлагает SMS в качестве одного из вариантов.

Но SMS не является безопасным способом использования 2FA. У него есть две ключевые уязвимости.

Во-первых, технология подвержен атакам подкачки SIM. Хакеру не требуется много времени для замены SIM-карты. Если у них есть доступ к другой личной информации, например, к номеру вашего социального страхования, они могут позвонить вашему оператору и перенести ваш номер на новую SIM-карту.

Во-вторых, хакеры могут перехватить СМС сообщения. Все это восходит к современной телефонной системе маршрутизации системы сигнализации № 7 (SS7). Методология была разработана еще в 1975 году, но до сих пор используется почти во всем мире для подключения и отключения вызовов. Он также обрабатывает переводы номеров, выставление счетов по предоплате и, что особенно важно, SMS-сообщения.

Неудивительно, что эта технология 1975 года полна дыр в безопасности. Вот как эксперт по безопасности Брюс Шнайер описал недостатки:

«Если злоумышленники имеют доступ к порталу SS7, они могут переслать ваши разговоры на онлайн-устройство записи и перенаправить вызов на предполагаемый пункт назначения […] Это означает, что хорошо оборудованный преступник может захватить ваши проверочные сообщения и использовать их до того, как вы их увидели их."

Конечно, обнаружив, что киберпреступник взломал ваш фейсбук Как узнать, что ваш аккаунт в Facebook был взломанПоскольку Facebook хранит так много данных, вам необходимо обеспечить безопасность своего аккаунта. Вот как узнать, был ли ваш Facebook взломан. Подробнее аккаунт далек от идеала. Но ситуация страшнее, если рассмотреть другие варианты использования 2FA. Киберпреступник может украсть коды, которые вы используете в своем интернет-банке, или даже инициировать и завершить денежные переводы 6 лучших приложений для отправки денег друзьямВ следующий раз, когда вам нужно будет отправить деньги друзьям, воспользуйтесь этими замечательными мобильными приложениями, чтобы отправить деньги кому-нибудь за считанные минуты. Подробнее .

Кроме того, Шнайер также утверждает, что любой может приобрести доступ к сети SS7 примерно за 1000 долларов. Получив доступ, они могут отправить запрос на маршрутизацию. Чтобы решить проблему, сеть может не аутентифицировать источник запроса.

Помните, что использование двухфакторной аутентификации через SMS лучше, чем отключение 2FA. И вряд ли вы станете жертвой. Однако, если вы начинаете чувствовать себя немного обеспокоенным, вам нужно продолжать читать. Многие люди признают, что SMS небезопасны, и вместо этого обращаются к сторонним приложениям.

Но это может быть не намного лучше.

Почему вы должны избегать приложений 2FA

Другим распространенным способом использования кодов 2FA является установка специального приложения для смартфона. Есть из чего выбирать. Google Authenticator, пожалуй, самый узнаваемый, но не обязательно лучший. Есть много альтернатив - проверьте Authy, Authenticator Plus и Duo.

Но насколько безопасны специализированные приложения 2FA? Их самая большая слабость это их опора на секретный ключ.

Давайте сделаем шаг назад на секунду. Если вы не знаете, когда вы регистрируетесь во многих приложениях в первый раз, вам нужно будет ввести секретный ключ. Секрет делится между вами и поставщиком приложения.

Когда вы заходите на сайт, код, который создает приложение, основан на комбинации вашего ключа и текущего времени. В тот же момент сервер генерирует код, используя ту же информацию. Два кода должны совпадать, чтобы доступ был предоставлен. Звучит разумно.

Так почему же ключи являются слабым местом? Что же произойдет, если киберпреступнику удастся получить доступ к базе данных паролей и секретов компании? Каждый аккаунт будет уязвим - злоумышленник может приходить и уходить Как проверить, если кто-то другой имеет доступ к вашей учетной записи FacebookЗловеще и тревожно, если кто-то имеет доступ к вашей учетной записи Facebook без вашего ведома. Вот как узнать, если вы были нарушены. Подробнее по желанию.

Во-вторых, секрет отображается либо в виде простого текста, либо в виде QR-кода; Не может быть перемешать или использовать с солью Что на самом деле означает весь этот хэш-материал MD5 [Объясненная технология]Вот полный обзор MD5, хэширование и небольшой обзор компьютеров и криптографии. Подробнее . Это, вероятно, также в виде простого текста на серверах компании.

Секретный ключ - фундаментальный недостаток одноразового пароля на основе времени (TOTP), который используют специализированные приложения. Вот почему физический ключ U2F всегда является более безопасным вариантом.

Недостатки в дизайне и безопасности для приложений 2FA

Конечно, шансы киберпреступника взломать необходимые базы данных стороннего приложения довольно малы. Но ваше приложение также может страдать от основных недостатков безопасности в своем дизайне.

Популярный менеджер паролей LastPass 8 простых способов повысить безопасность LastPassВозможно, вы используете LastPass для управления своими многочисленными онлайн-паролями, но правильно ли вы это используете? Вот восемь шагов, которые вы можете предпринять, чтобы сделать вашу учетную запись LastPass еще более безопасной. Подробнее пал жертвой в декабре 2017 года. сообщение в блоге программиста на Medium раскрытые секретные ключи 2FA могут быть доступны без отпечатка пальца, пароля или других мер безопасности.

Обходной путь даже не был сложным. Получив доступ к настройкам приложения LastPass Authenticator (com.lastpass.authenticator.activities. SettingsActivity), можно войти в панель настроек приложения без каких-либо проверок. Оттуда вы можете нажать назад один раз, чтобы получить доступ ко всем кодам 2FA.

LastPass теперь исправил ошибку, но вопросы остаются. По словам программиста, он пытался рассказать LastPass о проблеме в течение семи месяцев, но компания так и не исправила ее. Сколько других сторонних 2FA-приложений небезопасно? А сколько нефиксированных уязвимостей знают разработчики, но откладывают исправление? Есть также проблемы, когда речь идет о потеря доступа к генератору кода на Facebook Как войти в Facebook, если вы потеряли доступ к генератору кодаПотеряли доступ к генератору кода Facebook? В этой статье рассматриваются альтернативные способы входа в вашу учетную запись Facebook. Подробнее например.

Что делать вместо этого: используйте ключи U2F

Вместо того чтобы полагаться на SMS и 2FA для ваших кодов, вы должны использовать Универсальные ключи 2-го фактора Что такое ключи U2F и где они поддерживаются?Ключи U2F являются одним из лучших способов обеспечения безопасности ваших учетных записей. Но где поддерживаются ключи U2F? Подробнее (U2f). Они являются наиболее безопасным способом генерации кодов и доступа к вашим услугам.

Широко признанная версия 2FA второго поколения, она одновременно упрощает и укрепляет существующий протокол. Кроме того, использование ключей U2F почти так же удобно, как открытие SMS-сообщения или стороннего приложения.

Ключи U2F используют соединение NFC или USB. Когда вы подключаете устройство к учетной записи в первый раз, оно генерирует случайное число, называемое «Nonce». Nonce хэшируется с доменным именем сайта для создания уникального кода.

После этого вы можете развернуть свой ключ U2F, подключив его к своему устройству и ожидая, пока служба его распознает.

Так в чем же минус? Ну, хотя U2F является открытым стандартом, он все равно стоит денег, чтобы купить физический ключ U2F. И, возможно, более важно, вы рискуете получить воровство.

Украденный ключ U2F не делает вашу учетную запись небезопасной; хакеру все равно нужно будет знать ваш пароль. Но в общественных местах вор, возможно, уже видел, как вы вводите свой пароль издалека, до того, как похитить свое имущество.

Ключи U2F могут быть дорогими

Цены значительно варьируются между производителями, но вы можете ожидать, что вы заплатите от 15 до 50 долларов.

В идеале вы хотите приобрести модель, получившую сертификат FIDO. Альянс FIDO (Fast IDentity Online) отвечает за обеспечение взаимодействия между технологиями аутентификации. Членами являются все от Google и Microsoft, до Bank of America и MasterCard.

Приобретая устройство FIDO, вы можете быть уверены, что ваш ключ U2F будет работать со всеми услугами, которые вы используете каждый день. Проверьте ключ DIGIPASS SecureClick U2F, если хотите приобрести его.

Небезопасный 2FA все еще лучше, чем нет 2FA

Подводя итог, можно сказать, что универсальные ключи 2-го фактора обеспечивают удобную связь между простотой использования и безопасностью. SMS - наименее безопасный подход, но он также и самый удобный.

И помните, что любой 2FA лучше, чем никакой 2FA. Да, для входа в определенные приложения может потребоваться дополнительно 10 секунд, но это лучше, чем жертвовать своей безопасностью.