Drošības pulkstenis: vai divu faktoru autentifikācija tiešām padara jūs drošāku?

Šonedēļ es atkal pievērsos savam bezaugļu pasta maisiņam, lai risinātu vēl vienu jautājumu par divu faktoru autentifikāciju (2FA). Tas ir temats, kuru esmu skāris jau iepriekš, bet, spriežot pēc to jautājumu apjoma un specifikas, ko esmu par to saņēmis, tas acīmredzami ir jautājums, par kuru domā daudzi cilvēki. Tā kā es uzskatu, ka 2FA ir vienīgais labākais, ko parasti var darīt cilvēki, lai būtu drošībā tiešsaistē, es esmu priecīgs par to runāt bezgalīgi.

Šodienas jautājumu nāk no Teds, kurš uzdeva jautājumu par to, vai 2FA sistēmas tiešām ir visas, par kurām viņi ir sašķelti. Lūdzu, ņemiet vērā, ka Ted vēstule ir rediģēta īsuma dēļ. Teds savu vēstījumu sāk, atsaucoties uz dažiem citiem maniem rakstiem vietnē 2FA.

Jūs rakstījāt: "Kad būsit reģistrējis drošības atslēgu, SMS piekļuves kodi būs rezerves iespēja, ja pazaudēsit vai nevarēsit tiem piekļūt." Ja tā ir taisnība, tad kāpēc šī ierīce ir daudz drošāka nekā 2FA SMS kods? Kā jūs jau rakstījāt: "Bet tālruņus var nozagt, un SIM pakļūšana acīmredzot ir lieta, par kuru mums tagad jāuztraucas."

Kas neļauj kādam pateikt Google, ka esat jūs, esat pazaudējis drošības atslēgu un ir nepieciešams īsziņas kods, kas nosūtīts uz jūsu nozagto / iespiesto tālruni? Ja es to pareizi saprotu, šī ierīce nav drošāka par 2FA SMS tekstiem. Tas ir daudz ērtāk, tas ir droši, bet es neredzu, kā tas ir drošāk.

Vai visa tā rezultāts ir tāds, ka drošības atslēga palielinās jūsu drošību, bet tikai tāpēc, ka jūs, visticamāk, to izmantojat, nevis tāpēc, ka tā būtībā ir drošāka nekā 2FA? Ko man pietrūkst?

Jums neko netrūkst, Ted. Patiesībā jūs esat prātīgs pievērsties pamatjautājumam, kas ir pamatā lielajai tiešsaistes autentifikācijas drošībai: kā jūs droši pārbaudāt, kas ir cilvēki, nepadarot viņiem neiespējamu kontu atkopšanu?

2FA pamati

Vispirms apskatīsim dažus pamatus. Divfaktoru autentifikācija jeb 2FA ir drošības koncepcija, kurā jums ir jāuzrāda divi identitātes pierādījumi, ko sauc par faktoriem, no iespējamo trīs saraksta.

• Kaut kas jums zināms , piemēram, parole.

• Kaut kas jums ir , piemēram, tālrunis.

• Kaut kas jūs esat , piemēram, pirkstu nospiedums.

Praktiski 2FA bieži nozīmē otru lietu, ko jūs darāt pēc paroles ievadīšanas, lai pierakstītos vietnē vai pakalpojumā. Parole ir pirmais faktors, un otrais varētu būt SMS īsziņa, kas tiek nosūtīta uz jūsu tālruni ar īpašu kodu, vai arī Apple FaceID izmantojot iPhone. Ideja ir tāda, ka, kamēr paroli var uzminēt vai nozagt, ir mazāka iespēja, ka uzbrucējs varētu iegūt gan jūsu paroli, gan otro faktoru.

Teds savā vēstulē īpaši jautā par aparatūras 2FA taustiņiem. Yubico YubiKey sērija, iespējams, ir vispazīstamākais variants, taču tā nebūt nav vienīgā iespēja. Google ir savas Titan Security atslēgas, un Nitrokey piedāvā atvērtā koda atslēgu, lai nosauktu tikai divas.

Praktiskās nepilnības

Neviena drošības sistēma nav perfekta, un 2FA neatšķiras. Džemijs Kims, Google konta drošības komandas produktu pārvaldības vadītājs, pareizi norādīja, ka daudzas sistēmas, uz kurām mēs paļaujamies konta atkopšanā, un 2FA ir pakļautas pikšķerēšanai. Šajā vietā sliktie puiši izmanto viltotas vietnes, lai krāptu jūs privātas informācijas ievadīšanā.

Gudrs uzbrucējs, iespējams, varētu inficēt jūsu tālruni ar Remote Access Trojan, kas viņiem ļautu apskatīt vai pat pārtvert uz jūsu ierīci nosūtītos SMS verifikācijas kodus. Vai arī viņi var izveidot pārliecinošu pikšķerēšanas lapu, lai jūs viltu ievadīt vienreizēju kodu, kas ģenerēts no tādas lietotnes kā Google autentifikators. Pikšķerēšanas vietne varēja pārtvert pat manu piekļuves variantu - papīra rezerves kodus -, kas mani apmānīja ievadīt kodu.

Viens no eksotiskākajiem uzbrukumiem būtu SIM pakļūšana, kad uzbrucējs klonē jūsu SIM karti vai liek jūsu tālruņu uzņēmumam noņemt jūsu SIM kartes reģistrāciju, lai pārtvertu jūsu SMS ziņas. Šajā gadījumā uzbrucējs var ļoti efektīvi uzdoties par jums, jo viņi var izmantot jūsu tālruņa numuru kā savu.

Ne tik eksotisks uzbrukums ir acīmredzami veci zaudējumi un zādzības. Ja tālrunis vai tālruņa lietotne ir jūsu galvenais autentificētājs un jūs to pazaudējat, tas sagādā galvassāpes. Tas pats attiecas uz aparatūras taustiņiem. Lai arī aparatūras drošības atslēgas, piemēram, Yubico YubiKey, ir grūti salauzt, tās ir ļoti viegli pazaudēt.

Yubico Yubikey Series 5 ir daudz dažādu konfigurāciju.

Konta atkopšanas problēma

Teds savā vēstulē norāda, ka daudzi uzņēmumi pieprasa, lai jūs papildus aparatūras drošības atslēgai iestatītu arī otro 2FA metodi. Piemēram, Google pieprasa, lai jūs izmantotu SMS, instalētu uzņēmuma lietotni Autentifikators vai reģistrētu ierīci, lai saņemtu Google push paziņojumus, kas verificē jūsu kontu. Šķiet, ka jums ir nepieciešama vismaz viena no šīm trim opcijām kā rezerves kopija jebkurai citai jūsu izmantotajai 2FA opcijai, piemēram, Titan taustiņiem no Google.

Pat ja kā rezerves kopiju reģistrējat otro drošības atslēgu, jums joprojām ir jāiespējo SMS, Google autentifikators vai push paziņojumi. It īpaši, ja vēlaties izmantot Google uzlaboto aizsardzības programmu, ir jāreģistrē otra atslēga.

Tāpat Twitter arī pieprasa, lai papildus izvēles aparatūras drošības atslēgai tiktu izmantoti vai nu SMS kodi, vai autentifikatora lietotne. Diemžēl Twitter ļauj vienlaikus reģistrēt tikai vienu drošības atslēgu.

Kā uzsvēra Teds, šīs alternatīvās metodes ir tehniski mazāk drošas nekā pati drošības atslēgas izmantošana. Es varu tikai uzminēt, kāpēc šīs sistēmas tika ieviestas šādā veidā, bet man ir aizdomas, ka viņi vēlas pārliecināties, ka klienti vienmēr var piekļūt viņu kontiem. SMS kodi un autentifikatora lietotnes ir laika pārbaudītas iespējas, kuras cilvēkiem ir viegli saprast, un neprasa, lai viņi iegādātos papildu ierīces. SMS kodi risina arī ierīces zādzību problēmu. Ja pazaudējat tālruni vai tas tiek nozagts, varat to attālināti bloķēt, atcelt tās SIM kartes autoritāti un iegūt jaunu tālruni, kas var saņemt SMS kodus, lai atgrieztos tiešsaistē.

Personīgi man patīk, ka ir pieejamas vairākas iespējas, jo, kaut arī es uztraucos par drošību, es arī pazīstu sevi un zinu, ka diezgan regulāri pazaudēju vai sabojāju lietas. Es zinu, ka cilvēki, kuri nekad iepriekš nav izmantojuši 2FA, ir ļoti noraizējušies par atrašanos no konta, ja viņi izmanto 2FA.

2FA patiesībā ir ļoti labs

Vienmēr ir svarīgi saprast jebkuras drošības sistēmas trūkumus, taču tas sistēmu neatceļ. Kaut arī 2FA ir savas vājās puses, tā ir bijusi ļoti veiksmīga.

Atkal mums ir jāmeklē tikai Google. Uzņēmums pieprasīja aparatūras 2FA atslēgu izmantošanu iekšēji, un rezultāti paši par sevi runā. Veiksmīga Google darbinieku kontu pārņemšana faktiski izzuda. Tas ir īpaši svarīgi, ņemot vērā, ka Google darbinieki ar savu stāvokli tehnoloģiju nozarē un (domājamā) bagātība ir galvenie mērķtiecīgu uzbrukumu gadījumos. Šeit uzbrucēji pieliek lielas pūles, lai uzbrukumā mērķētu uz konkrētām personām. Tas notiek reti, un parasti tas ir veiksmīgi, ja uzbrucējam ir pietiekami daudz līdzekļu un pacietības.

Google Titan drošības atslēgu komplektā ietilpst USB-A un Bluetooth taustiņi.

Šeit tiek apgalvots, ka Google pieprasīja noteikta veida 2FA: aparatūras drošības atslēgas. Tām ir priekšrocība salīdzinājumā ar citām 2FA shēmām, jo ​​tās ir ļoti grūti pikšķerēt vai kā citādi pārtvert. Daži varētu teikt neiespējami, bet es redzēju, kas notika ar Titāniku, un zinu labāk.

Tomēr 2FA SMS kodu vai autentificētāja marķieru pārtveršanas metodes ir diezgan eksotiskas un īsti neatbilst mērogam. Tas nozīmē, ka maz ticams, ka tos izmantos vidusmēra noziedznieks, kurš vēlas nopelnīt naudu pēc iespējas ātrāk un vieglāk vidusmēra cilvēkam, piemēram, jūs.

Teda teiktajam: aparatūras drošības atslēgas ir visdrošākais veids, kā mēs vēl esam redzējuši, kā veikt 2FA. Viņus ir ļoti grūti pikšķerēt un ļoti grūti uzbrukt, lai gan viņi nav bez viņu raksturīgajām vājībām. Turklāt 2FA aparatūras atslēgas zināmā mērā ir drošas nākotnē. Daudzi uzņēmumi atkāpjas no SMS kodiem, un daži pat ir pieņēmuši pieteikumus bez paroles, kas pilnībā paļaujas uz aparatūras 2FA taustiņiem, kuri izmanto FIDO2 standartu. Ja jūs tagad izmantojat aparatūras atslēgu, pastāv liela iespēja, ka būsit drošs nākamajiem gadiem.

Nitrokey FIDO U2F sola atvērtā koda drošību.

• Divfaktoru autentifikācija: kam tā ir un kā to iestatīt Divfaktoru autentifikācija: kam tā ir un kā to iestatīt
• Google: pieaug pikšķerēšanas uzbrukumi, kas var pārspēt divfaktorus, un pieaug Google: pikšķerēšanas uzbrukumi, kas var pārspēt divfaktorus, pieaug
• SecurityWatch: Kā neaiztikt ar divu faktoru autentifikāciju SecurityWatch: Kā netikt atslēgtam ar divu faktoru autentifikāciju

Tikpat droši kā aparatūras 2FA taustiņi, lielākai ekosistēmai ir nepieciešami daži kompromisi, lai nevajadzīgi bloķētu jūs no konta. 2FA jābūt tehnoloģijai, kuru cilvēki faktiski izmanto, pretējā gadījumā tā nemaz nav vērts.

Ņemot vērā izvēli, es domāju, ka lielākā daļa cilvēku izmantos uz lietotnēm un SMS balstītas 2FA opcijas, jo tās ir vieglāk uzstādīt un efektīvi izmantot bezmaksas. Iespējams, ka šīs nav labākās iespējamās iespējas, taču lielākajai daļai cilvēku tās darbojas ļoti labi. Tas drīz varētu mainīties, tagad, kad Google ļauj aparatūras drošības atslēgai izmantot mobilo ierīci, kurā darbojas operētājsistēma Android 7.0 vai jaunāka.

Neskatoties uz ierobežojumiem, 2FA, iespējams, ir vienīgā labākā lieta patērētāju drošībai kopš antivīrusa. Tas glīti un efektīvi novērš dažus postošākos uzbrukumus - tas viss cilvēku dzīvi nerada pārāk sarežģītu. Tomēr, ja jūs nolemjat izmantot 2FA, izvēlieties metodi, kas jums ir jēga. 2FA nelietošana ir daudz kaitīgāka nekā nedaudz mazāk lielisku 2FA garšu izmantošana.