Čas je, da prenehate uporabljati SMS in 2FA aplikacije za dvofaktorsko preverjanje pristnosti

Oglas

V teh dneh se zdi, da vas vsako spletno mesto, ki ga obiščete, poskuša spodbuditi uporabite dvofaktorno overjanje (2FA).

Eden najpogostejših načinov uporabe 2FA je vnos edinstvene kode iz vaše mobilne naprave. Običajno prejmete kodo v besedilnem sporočilu ali za njeno ustvarjanje uporabite aplikacijo 2FA tretje osebe.

Obe metodi sta zaradi svoje praktičnosti priljubljena načina uporabe kod. Vendar sta obe metodi z vidika varnosti šibki. In ker je vaša koda 2FA tako varna kot tehnologija, ki se uporablja za njeno dostavo, so pomembne slabosti.

Torej, kaj je narobe z uporabo SMS-ov in aplikacij drugih proizvajalcev za dostop do kod Kaj so prijave brez gesla? So dejansko varni?Prihajajo brezpazilske prijave. Ali so varni? Kako na zemlji delujejo brezpazilske prijave? Tukaj je tisto, kar morate vedeti. Preberi več ? In ali obstaja enako primerna alternativa, ki je varnejša? Pojasnili bomo vse. Nekaj ​​več si oglejte.

Kako deluje dvofaktorska overitev

Vzemite si trenutek, da razpravljamo o tem, kako deluje dvofaktorska avtentikacija. Brez razumevanja mehanike, ki stoji za tehnologijo, preostanek tega članka ne bo imel veliko smisla.

Na splošno gledano 2FA vašemu računu doda dodatno plast varnosti Kako zavarovati svoje račune z 2FA: Gmail, Outlook in še večAli lahko dvofaktorska overitev pomaga pri zaščiti vaše e-pošte in družbenih omrežij? Tu je nekaj, kar morate vedeti, da se varno povežete s spletom. Preberi več . Znane tudi kot večfaktorska avtentikacija, poverilnice niso samo geslo, ampak tudi drugi podatek, do katerega ima dostop le zakoniti lastnik računa.

2FA ima veliko različnih oblik Prednosti in slabosti dvofaktorskih vrst in metod preverjanja pristnostiDvofaktorne metode avtentikacije niso enake. Nekateri so dokazno varnejši in varnejši. Tu je pregled najpogostejših metod in tiste, ki najbolje ustrezajo vašim individualnim potrebam. Preberi več . Na svoji najosnovnejši ravni bi to lahko bilo nekaj tako preprostega kot varnostna vprašanja (ker nihče drug ne bi mogel poznam dekliški priimek svoje matere Zakaj odgovarjate na varnostna vprašanja z geslomKako odgovarjate na vprašanja glede varnosti spletnega računa? Iskreni odgovori? Na žalost bi vaša iskrenost lahko ustvarila kanček v vašem spletnem oklepu. Oglejmo si, kako varno odgovoriti na varnostna vprašanja. Preberi več ali vaš najljubši hišni ljubljenček). Na bolj zapletenem koncu je lahko biometrična identifikacijska številka, na primer pregled mrežnice ali prstni odtis.

Zakaj bi se morali izogibati verifikaciji SMS

SMS ima položaj kot najbolj dostopen način za dostop in uporabo kod 2FA. Če spletno mesto ponuja dvofaktorne prijave za preverjanje pristnosti, skoraj zagotovo ponuja SMS kot eno od možnosti.

Vendar SMS ni varen način uporabe 2FA. Ima dve ključni ranljivosti.

Prvič, tehnologija je dovzetni za napade zamenjave SIM. Za zamenjavo kartice SIM ni treba veliko Če imajo dostop do enega drugega osebnega podatka - na primer do številke socialnega zavarovanja -, lahko pokličejo vašega operaterja in vašo številko premaknejo na novo kartico SIM.

Drugič, hekerji lahko prestreči SMS sporočila. Vse se vrne na zdaj že dani sistem za usmerjanje telefonov št. 7 (SS7). Metodologija je bila zasnovana že leta 1975, vendar se še vedno uporablja skoraj globalno za povezovanje in prekinitev klicev. Prav tako obravnava prevode številk, predplačniško zaračunavanje in ključno sporočila SMS.

Presenetljivo je, da je ta tehnologija iz leta 1975 polna varnostnih lukenj. Tukaj je opisano varnostni strokovnjak Bruce Schneier opisali pomanjkljivosti:

»Če imajo napadalci dostop do portala SS7, lahko vaše pogovore posredujejo na spletno snemalno napravo in preusmerijo klic na predvideni cilj […] To pomeni, da bi dobro opremljen zločinec lahko zagrabil vaša sporočila za preverjanje in jih uporabil, preden jih sploh vidite njim."

Seveda odkrivanje kibernetskega kriminalca kradel vaš Facebook Kako ugotoviti, ali se je vaš Facebook račun pokvarilČe ima Facebook toliko podatkov, morate svoj račun varovati. Takole lahko ugotovite, ali je bil vaš Facebook zlomljen. Preberi več račun še zdaleč ni idealen. Toda stanje je bolj strašno, če upoštevate druge uporabe 2FA. Kibernetski zločinec vam lahko ukrade kode, ki jih uporabljate v svojem spletnem bančništvu, ali celo sproži in dokonča prenose denarja 6 najboljših aplikacij za pošiljanje denarja prijateljemKo boste naslednjič morali denar poslati prijateljem, si oglejte te odlične mobilne aplikacije, da boste denar poslali komu v nekaj minutah. Preberi več .

Poleg tega Schneier trdi, da lahko vsakdo kupi dostop do omrežja SS7 za približno 1000 dolarjev. Ko imajo dostop, lahko pošljejo zahtevo za usmerjanje. Če želite dokončati težavo, omrežje morda ne bo potrdilo izvora zahteve.

Ne pozabite, da je uporaba dvofaktorske overitve prek SMS-a boljša kot puščanje 2FA onemogočeno. In verjetno ne boste postali žrtev. Če pa se začnete počutiti nekoliko zaskrbljeni, morate še naprej brati. Mnogi ljudje sprejemajo, da je SMS nevaren in se namesto tega obrnejo na aplikacije drugih proizvajalcev.

A to morda ne bo veliko bolje.

Zakaj bi se morali izogibati aplikacijam 2FA

Drugi pogost način uporabe kod 2FA je namestitev namenske aplikacije za pametne telefone. Izbirate lahko veliko. Google Authenticator je zagotovo najbolj prepoznaven, ni pa nujno najboljši. Na voljo je veliko drugih možnosti - poglejte Authy, Authenticator Plus in Duo.

Toda kako varne so posebne 2FA aplikacije? Njihova največja slabost je zanašanje na skrivni ključ.

Naredimo korak za sekundo. Če se ne zavedate, da morate ob prvi prijavi v več aplikacij vnesti skrivni ključ. Skrivnost je deljena med vami in ponudnikom aplikacije.

Ko dostopate do spletnega mesta, koda, ki jo ustvari aplikacija, temelji na kombinaciji vašega ključa in trenutnega časa. V istem trenutku strežnik ustvari kodo z istimi informacijami. Za odobritev dostopa se morata obe kodi ujemati. Sliši se smiselno.

Zakaj so torej ključi šibka točka? No, kaj se zgodi, če kibernetskemu kriminalcu uspe pridobiti dostop do baze podatkov in skrivnosti podjetja? Vsak račun bi bil ranljiv - napadalec bi lahko prišel in odšel Kako preveriti, ali nekdo drug dostopa do vašega Facebookovega računaZlovešče in zaskrbljujoče je, če ima kdo dostop do vašega Facebookovega računa brez vaše vednosti. Tukaj je opisano, kako ste vedeli, da ste bili prekršeni. Preberi več po želji.

Drugič, skrivnost je prikazana v navadnem besedilu ali v obliki QR kode; ne more biti prepražena ali uporabljena s soljo Kaj vse to MD5 komadne stvari dejansko pomeni [pojasnjena tehnologija]Tukaj je popolno razpadanje MD5, hashing in majhen pregled računalnikov in kriptografije. Preberi več . Verjetno je tudi v navadnem besedilu na strežnikih podjetja.

Skrivni ključ je temeljna pomanjkljivost časovnega enkratnega gesla (TOTP), ki ga uporabljajo posebne aplikacije. Zato je fizični ključ U2F vedno varnejša možnost.

Napake v oblikovanju in varnosti za 2FA aplikacije

Seveda so možnosti, da kibernetski zločinec ukrade potrebne baze podatkov tretjih aplikacij, je dokaj majhen. Vaša aplikacija pa lahko trpi tudi zaradi osnovnih napak v varnosti v svoji zasnovi.

Priljubljeno skrbnik gesla LastPass 8 enostavnih načinov za doplačilo varnosti LastPassLastPass morda uporabljate za upravljanje številnih spletnih gesel, vendar ga uporabljate kajne? Tukaj je osem korakov, da naredite svoj račun LastPass še bolj varen. Preberi več padla žrtev decembra 2017. A objava spletnega dnevnika programerja odkrite tajne ključe 2FA je bilo mogoče dostopati brez prstnega odtisa, gesla ali drugih varnostnih ukrepov.

Reševanje sploh ni bilo zapleteno. Z dostopom do nastavitvene dejavnosti aplikacije LastPass Authenticator (com.lastpass.authenticator.activities). SettingsActivity) je mogoče v okno z nastavitvami za aplikacijo vstopiti brez preverjanj. Od tam bi lahko pritisnili Nazaj enkrat za dostop do vseh kod 2FA.

LastPass je zdaj odpravil napako, a vprašanja ostajajo. Po besedah ​​programerja je o težavi poskušal povedati LastPassu sedem mesecev, vendar ga družba ni nikoli odpravila. Koliko drugih aplikacij 2FA drugih proizvajalcev ni varnih? In koliko neuveljavljenih ranljivosti poznajo razvijalci, vendar zamujanje popravljajo? Obstajajo tudi pomisleki, ko gre za to izgubi dostop do svojega generatorja kode na Facebooku Kako se prijavite v Facebook, če ste izgubili dostop do generatorja kodeSte izgubili dostop do Facebookovega generatorja kode? Ta članek zajema alternativne načine za prijavo v vaš Facebook račun. Preberi več na primer.

Kaj namesto tega storiti: Uporabite U2F tipke

Namesto da se za kode zanašate na SMS in 2FA, uporabite Univerzalne tipke 2. faktorja Kaj so U2F tipke in kje se podpirajo?U2F ključi so eden najboljših načinov za varno in varno stanje računov. Toda kje so podprti ključi U2F? Preberi več (U2F). So najbolj varen način ustvarjanja kod in dostop do vaših storitev.

Na splošno velja za različico 2FA druge generacije, hkrati pa poenostavlja in krepi trenutni protokol. Poleg tega je uporaba tipk U2F skoraj tako priročna kot odpiranje SMS-sporočila ali aplikacije tretjih oseb.

U2F tipke uporabljajo povezavo NFC ali USB. Ko napravo prvič povežete z računom, bo ta ustvarila naključno število, imenovano »Brez veze«. Nonce se prepleta z imenom domene spletnega mesta, da se ustvari edinstvena koda.

Nato lahko svoj ključ U2F razmestite tako, da ga povežete s svojo napravo in počakate, da ga storitev prepozna.

Kaj je torej slaba stran? No, čeprav je U2F odprt standard, to še vedno stane denar za nakup fizičnega ključa U2F. In morda še bolj, ogroženi ste zaradi kraje.

Ukradeni ključ U2F vašega računa samodejno ne varuje; heker bi še vedno moral vedeti vaše geslo. Toda na javnem območju je morda tat že videl, da geslo vnašate že od daleč, preden vam je ukradel posest.

U2F ključi so lahko drago

Cene se med proizvajalci precej razlikujejo, vendar lahko pričakujete, da boste plačali med približno 15 in 50 dolarji.

V idealnem primeru želite kupiti model s certifikatom FIDO. Zavezništvo FIDO (Fast IDentity Online) je odgovorno za doseganje interoperabilnosti med tehnologijami za preverjanje pristnosti. Člani vključujejo vse od Googla in Microsofta, do Bank of America in MasterCard.

Z nakupom naprave FIDO ste lahko prepričani, da bo ključ U2F deloval z vsemi storitvami, ki jih uporabljate vsak dan. Oglejte si tipko DIGIPASS SecureClick U2F, če jo želite kupiti.

Nezanesljiva 2FA je še vedno boljša kot ne 2FA

Če povzamem, univerzalne tipke 2. faktorja zagotavljajo srečen medij med enostavno in varnostno uporabo. SMS je najmanj varen pristop, a hkrati tudi najbolj priročen.

In zapomnite si, da je kateri koli 2FA boljši kot noben 2FA. Da, lahko se vpišete dodatnih 10 sekund, da se prijavite v določene aplikacije, vendar je bolje kot žrtvovati svojo varnost.