Време е да спрете да използвате SMS и 2FA приложения за двуфакторна автентификация

реклама

В наши дни изглежда, че всеки уебсайт, който някога посетите, се опитва да ви насърчи използвайте двуфакторна автентификация (2FA).

Един от най-разпространените начини за използване на 2FA е да въведете уникален код от мобилното си устройство. Обикновено получавате кода в текстово съобщение или използвате приложение 2FA на трета страна, за да генерирате такова.

Двата метода са популярни начини за използване на кодове поради тяхното удобство. И двата метода обаче са слаби от гледна точка на сигурността. И тъй като вашият 2FA код е толкова сигурен, колкото и технологията, използвана за неговото доставяне, слабостите са важни.

И така, какво не е наред използване на SMS и приложения на трети страни за достъп до кодовете ви Какво са без пароли? Наистина ли са сигурни?Идват без пароли регистрации. Сигурни ли са? Как на земята работят пароли без регистрация? Ето какво трябва да знаете. Прочетете още ? И има ли еднакво удобна алтернатива, която е по-сигурна? Ще обясним всичко. Продължете да четете, за да разберете повече.

Как работи двуфакторната автентификация

Нека отделим малко време да обсъдим как работи двуфакторната автентификация. Без да разбираме механиката зад технологията, останалата част от тази статия няма да има много смисъл.

В широк план 2FA добавя допълнителен слой сигурност към вашия акаунт Как да си осигурите акаунти с 2FA: Gmail, Outlook и дрМоже ли двуфакторното удостоверяване да ви помогне да защитите вашата електронна поща и социални мрежи? Ето какво трябва да знаете, за да се защитите онлайн. Прочетете още . Известен също като мултифакторно удостоверяване, идентификационните данни за вход се състоят не само от парола, но и от втора информация, до която има достъп само законният собственик на акаунта.

2FA се предлага в много различни форми Плюсовете и минусите на двуфакторните видове и методи за удостоверяванеДвуфакторните методи за удостоверяване не се създават равни. Някои от тях са демонстративно по-безопасни и по-сигурни. Ето поглед към най-често срещаните методи и кои най-добре отговарят на вашите индивидуални нужди. Прочетете още . На най-основното си ниво това може да е нещо толкова просто като въпросите за сигурността (защото никой друг не би могъл знаете моминското име на майка си Защо отговаряте на въпроси за сигурност с паролаКак отговаряте на въпроси за сигурност на онлайн акаунта? Честни отговори? За съжаление, честността ви би могла да създаде блясък във вашата онлайн броня. Нека да разгледаме как безопасно да отговорим на въпроси за сигурност. Прочетете още или любимия ви домашен любимец). В по-сложния край това може да бъде биометричен идентификационен номер, като сканиране на ретината или пръстов отпечатък.

Защо трябва да избягвате потвърждаването на SMS

SMS се радва на позиция като най-достъпния начин за достъп и използване на 2FA кодове. Ако сайтът предлага двуфакторни входни удостоверения, той почти сигурно предлага SMS като една от възможностите.

Но SMS не е сигурен начин за използване на 2FA. Той има две ключови уязвимости.

Първо, технологията е податливи на атаки на SIM размяна. Не е нужно много хакер да извърши размяна на SIM карта Ако имат достъп до друга лична информация - например вашия социалноосигурителен номер - те могат да се обадят на вашия оператор и да преместят номера ви на нова СИМ-карта.

Второ, хакерите могат прихващайте SMS съобщения. Всичко се връща към сега датираната система за маршрутизиране на телефона № 7 (SS7). Методиката е разработена през 1975 г., но все още се използва почти глобално за свързване и прекъсване на разговори. Той също така обработва преводи на номера, предплатено таксуване и най-важното SMS съобщения.

Не е изненадващо, че тази технология от 1975 г. е пълна с дупки в сигурността. Ето как експерт по сигурността Брус Шнайер описа недостатъците:

„Ако нападателите имат достъп до портал на SS7, те могат да препратят вашите разговори до онлайн записващо устройство и да пренасочат повикването към предназначението му […] Това означава, че добре оборудван престъпник може да вземе вашите съобщения за проверка и да ги използва, преди дори да сте виждали тях. "

Разбира се, откривайки, че има киберпрестъпник хакна вашия Facebook Как да разберете дали вашият Facebook акаунт е хакнатТъй като Facebook съдържа толкова много данни, трябва да пазите профила си в безопасност. Ето как да разберете дали вашият Facebook е бил хакнат. Прочетете още сметка далеч не е идеална. Но ситуацията е по-страшна, когато вземете предвид други употреби на 2FA. Киберпрестъпникът може да открадне кодове, които използвате във вашето онлайн банкиране, или дори инициирайте и завършете паричните преводи 6-те най-добри приложения за изпращане на пари на приятелиСледващия път, когато трябва да изпращате пари на приятели, разгледайте тези страхотни мобилни приложения, за да изпратите пари на всеки за минути. Прочетете още .

Освен това Schneier също така твърди, че всеки може да закупи достъп до SS7 мрежата за около 1000 долара. След като имат достъп, те могат да изпратят заявка за маршрутизация. За да завърши проблема, мрежата може да не удостоверява източника на заявката.

Не забравяйте, че използването на двуфакторно удостоверяване чрез SMS е по-добре, отколкото да оставите 2FA деактивиран. И вероятно няма да станете жертва. Ако обаче започнете да се чувствате малко загрижени, трябва да продължите да четете. Много хора приемат, че SMS е несигурен и вместо това се обръщат към приложения на трети страни.

Но това може да не е много по-добре.

Защо трябва да избягвате 2FA приложения

Другият често срещан начин за използване на 2FA кодове е да инсталирате специално приложение за смартфони. Има много за избор. Google Удостоверител е може би най-разпознаваемият, но не е непременно най-добрият. Има много алтернативи навън - вижте Authy, Authenticator Plus и Duo.

Но колко сигурни са специализираните 2FA приложения? Най-голямата им слабост е тяхната разчитане на секретен ключ.

Нека направим крачка назад за секунда В случай, че не сте наясно, когато се регистрирате за много от приложенията за първи път, ще трябва да въведете секретен ключ. Тайната е споделена между вас и доставчика на приложението.

Когато влизате в сайт, кодът, който приложението създава, се основава на комбинация от вашия ключ и текущото време. В същия момент сървърът генерира код, използвайки същата информация. Двата кода трябва да съвпадат, за да бъде предоставен достъп. Звучи разумно.

Така че защо ключовете са слабата точка? Е, какво се случва, ако киберпрестъпникът успее да получи достъп до базата данни за пароли и тайни на компанията? Всеки акаунт ще бъде уязвим - нападателят можеше да дойде и да си отиде Как да проверите дали някой друг има достъп до вашия акаунт във FacebookИ зловещо, и притеснително е, ако някой има достъп до акаунта ви във Facebook без ваше знание. Ето как да разберете дали сте нарушили. Прочетете още по желание.

Второ, тайната се показва или в обикновен текст или като QR код; не може да бъде разбърква се или се използва със сол Какво всъщност означава всичко това MD5 хеш неща [обяснена технология]Ето пълен срив на MD5, хеширане и малък преглед на компютрите и криптографията. Прочетете още . Вероятно е и в обикновен текст на сървърите на компанията.

Тайният ключ е основният недостатък в еднократната парола, базирана на времето (TOTP), която използват специализираните приложения. Ето защо физическият U2F ключ винаги е по-сигурен вариант.

Пропуски в дизайна и сигурността за приложения на 2FA

Разбира се, шансовете за киберпрестъпник да хакне необходимите бази данни от приложение на трети страни са доста малки. Но приложението ви също може да страда от основни недостатъци на сигурността в дизайна си.

Популярен парола мениджър LastPass 8 лесни начина за допълнително зареждане на вашата LastPass сигурностМоже да използвате LastPass за управление на многото си пароли онлайн, но правилно ли го използвате? Ето осем стъпки, които можете да направите, за да направите своя акаунт LastPass още по-сигурен. Прочетете още падна жертва през декември 2017г. А публикация в блога на програмист в Medium разкрити 2FA секретни ключове могат да бъдат достъпни без пръстов отпечатък, парола или други мерки за сигурност.

Решението не беше дори сложно. Чрез достъп до активността на настройките на приложението LastPass Authenticator (com.lastpass.authenticator.activities). SettingsActivity), човек може да влезе в панела с настройки за приложението без никакви проверки. Оттам можете да натиснете обратно веднъж за достъп до всички 2FA кодове.

LastPass вече отстрани недостатъка, но въпросите остават. Според програмиста той се е опитвал да каже на LastPass за проблема в продължение на седем месеца, но компанията така и не го е решила. Колко други приложения на 2FA на трети страни са несигурни? И за колко нефиксирани уязвимости знаят разработчиците, но забавят кръпката? Има и притеснения, когато става въпрос загуба на достъп до вашия генератор на кодове във Facebook Как да влезете във Facebook, ако сте загубили достъп до генератора на кодовеЗагубен достъп до генератора на кодове на Facebook? Тази статия обхваща алтернативни методи за влизане във вашия Facebook акаунт. Прочетете още например.

Какво да правите вместо това: Използвайте U2F клавиши

Вместо да разчитате на SMS и 2FA за вашите кодове, трябва да използвате Универсални 2-ри фактори Какво представляват U2F ключовете и къде се поддържат?U2F клавишите са един от най-добрите начини да защитите вашите акаунти. Но къде се поддържат U2F ключове? Прочетете още (U2F). Те са най-сигурният начин за генериране на кодове и достъп до вашите услуги.

Широко смятан за второ поколение версия на 2FA, той едновременно опростява и засилва текущия протокол. Освен това използването на U2F клавиши е почти толкова удобно, колкото и отваряне на SMS съобщение или приложение на трети страни.

U2F клавишите използват NFC или USB връзка. Когато свържете устройството си с акаунт за първи път, то ще генерира произволно число, наречено „Nonce“. Nonce се хешира с името на домейна на сайта, за да създаде уникален код.

След това можете да разгърнете вашия U2F ключ, като го свържете към устройството си и изчакате услугата да го разпознае.

И така, какъв е недостатъкът? Е, въпреки че U2F е отворен стандарт, все пак струва пари за закупуване на физически U2F ключ. И може би повече загриженост, рискувате от кражба.

Откраднат U2F ключ не прави акаунта ви несигурен; хакер все пак ще трябва да знае вашата парола. Но в обществена зона крадец може би вече е виждал да въвеждате паролата си отдалеч, преди да открадне вашите вещи.

U2F ключовете могат да бъдат скъпи

Цените варират значително между производителите, но можете да очаквате да платите между около 15 и 50 долара.

В идеалния случай искате да закупите модел, сертифициран по FIDO. Алиансът FIDO (Fast IDentity Online) е отговорен за постигането на оперативна съвместимост между технологиите за удостоверяване. Членовете включват всички от Google и Microsoft, до Bank of America и MasterCard.

Купувайки FIDO устройство, можете да сте сигурни, че ключът U2F ще работи с всички услуги, които използвате всеки ден. Вижте ключа DIGIPASS SecureClick U2F, ако искате да го закупите.

Несигурният 2FA все още е по-добър от не 2FA

В обобщение, Universal 2nd Factor клавишите осигуряват щастлив медиум между лекота на използване и сигурност. SMS е най-малко сигурният подход, но и най-удобният.

И не забравяйте, че всеки 2FA е по-добър от никой 2FA. Да, може да са ви необходими допълнителни 10 секунди, за да влезете в определени приложения, но е по-добре, отколкото да жертвате сигурността си.