Securitywatch: dělá vás dvoufaktorové ověření skutečně bezpečnějším?

Tento týden se kopím zpět do svého bezedného poštovního vaku, abych se zabýval další otázkou ohledně dvoufaktorové autentizace (2FA). Je to téma, které jsem se předtím dotýkal, ale soudě podle objemu a specifičnosti otázek, které jsem o něm dostal, je to evidentně problém, o kterém hodně lidí přemýšlí. Protože považuji 2FA za snad nejlepší jedinou věc, kterou mohou běžní lidé udělat, aby zůstali v bezpečí online, jsem nadšený, že o tom mohu nekonečně mluvit.

Dnešní otázka pochází od Teda, který psal s otázkou, zda systémy 2FA jsou opravdu všechno, na co jsou připravené. Vezměte prosím na vědomí, že Tedův dopis byl upraven pro stručnost. Ted začíná svou zprávu odkazem na některé z mých dalších písem na 2FA.

Napsali jste: „Jakmile zaregistrujete svůj bezpečnostní klíč, SMS kódy budou záložní možností v případě, že ztratíte nebo nemůžete získat přístup ke svému klíči.“ Pokud je to pravda, proč je toto zařízení bezpečnější než kód 2FA SMS? Jak jste také napsali, „Ale telefony mohou být odcizeny a zvedání SIM karty je očividně věcí, kterou si nyní musíme dělat starosti.“

Co brání někomu v tom, aby Googlu sdělil, že jste vy, ztratili bezpečnostní klíč a potřebujete SMS kód zaslaný na váš odcizený / zvednutý telefon? Pokud tomu rozumím správně, pak toto zařízení není bezpečnější než texty 2FA SMS. Je to mnohem pohodlnější, to je jisté, ale nechápu, jak je bezpečnější.

Je to výsledkem toho, že bezpečnostní klíč zvýší vaši bezpečnost, ale pouze proto, že jej pravděpodobněji použijete, ne proto, že je ve své podstatě bezpečnější než 2FA? Co mi chybí?

Nic ti nechybí, Tede. Ve skutečnosti jste chytrí, abyste se mohli zabývat zásadním problémem, který je základem bezpečnosti související s online ověřováním: jak bezpečně ověřujete, kdo jsou lidé, aniž by jim znemožnil obnovit své účty?

Základy 2FA

Nejprve pokryjme některé základy. Dvoufázová autentizace neboli 2FA je bezpečnostní koncept, ve kterém musíte předložit dva důkazy totožnosti, nazývané faktory, ze seznamu možných tří.

• Něco, co znáte , například heslo.

• Něco, co máte , například telefon.

• Něco jste, jako je váš otisk prstu.

V praxi to znamená, že 2FA často znamená druhou věc, kterou uděláte po zadání hesla pro přihlášení k webu nebo službě. Heslo je první faktor a druhým může být buď SMS zpráva zaslaná do vašeho telefonu se zvláštním kódem, nebo pomocí Apple FaceID na iPhone. Myšlenka je taková, že zatímco heslo lze uhádnout nebo odcizit, je méně pravděpodobné, že by útočník mohl získat jak vaše heslo, tak druhý faktor.

Ve svém dopise se Ted ptá konkrétně na hardwarové klíče 2FA. Řada Yubico YubiKey je pravděpodobně nejznámější možností, ale je daleko od jediné možnosti. Google má své vlastní bezpečnostní klíče Titan a Nitrokey nabízí otevřený zdrojový klíč, abychom jmenovali pouze dva.

Praktické nástrahy

Žádný bezpečnostní systém není dokonalý a 2FA se neliší. Guemmy Kim, vedoucí produktového týmu týmu Google Account Security, správně poukázal na to, že mnoho systémů, na které se spoléháme při obnově účtu a 2FA, jsou náchylné k phishingu. To je místo, kde špatní lidé používají falešné stránky, aby vás přiměli k zadávání soukromých informací.

Chytrý útočník by mohl infikovat váš telefon Trojanem pro vzdálený přístup, který by jim umožnil zobrazit nebo dokonce zachytit ověřovací kódy SMS zaslané do vašeho zařízení. Nebo by mohli vytvořit přesvědčivou phishingovou stránku, která by vás přiměla k zadání jednorázového kódu vygenerovaného z aplikace, jako je Google Authenticator. Dokonce i moje možnost jít na papírové záložní kódy mohla být zachycena phishingovým webem, který mě oklamal do zadávání kódu.

Jedním z nejexotičtějších útoků by bylo zvedání SIM karet, kdy útočník klonuje vaši SIM kartu nebo přiměje vaši telefonní společnost, aby zrušila registraci vaší SIM karty, aby zachytila ​​vaše SMS zprávy. V tomto scénáři by vás útočník mohl velmi vydat, protože mohl použít vaše telefonní číslo jako své vlastní.

Ne tak exotickým útokem jsou jasné ztráty a krádeže. Pokud je váš primární ověřovatel telefon nebo aplikace v telefonu a ztratíte to, bude to hlava. Totéž platí pro hardwarové klíče. Přestože hardwarové bezpečnostní klíče, jako je Yubico YubiKey, je těžké zlomit, je velmi snadné je ztratit.

Yubico Yubikey Series 5 přichází v mnoha různých konfiguracích.

Problém obnovení účtu

Ted ve svém dopise poukazuje na to, že mnoho společností vyžaduje, abyste kromě hardwarového bezpečnostního klíče nastavili druhou metodu 2FA. Google například vyžaduje, abyste používali buď SMS, nainstalovali aplikaci společnosti Authenticator, nebo se zaregistrovali své zařízení k přijímání oznámení push od Google, která ověřují váš účet. Zdá se, že potřebujete alespoň jednu z těchto tří možností jako zálohu jakékoli jiné možnosti 2FA, kterou používáte - jako jsou například klíče Titan od společnosti Google.

I když jako zálohu zaregistrujete druhý bezpečnostní klíč, stále musíte povolit SMS, Google Authenticator nebo oznámení push. Zejména, pokud chcete použít program pokročilé ochrany společnosti Google, je nutné zadat druhý klíč.

Podobně Twitter také vyžaduje, abyste kromě volitelného hardwarového bezpečnostního klíče používali buď kódy SMS nebo aplikaci ověřovatele. Bohužel, Twitter umožňuje pouze zaregistrovat jeden bezpečnostní klíč najednou.

Jak zdůraznil Ted, tyto alternativní metody jsou technicky méně bezpečné než samotné použití bezpečnostního klíče. Mohu jen hádat, proč byly tyto systémy implementovány tímto způsobem, ale mám podezření, že chtějí zajistit, aby jejich zákazníci měli vždy přístup ke svým účtům. Kódy SMS a aplikace pro ověřování jsou časem prověřené možnosti, které jsou pro lidi snadno srozumitelné a nevyžadují si, aby si kupovaly další zařízení. Kódy SMS také řeší problém krádeže zařízení. Pokud ztratíte telefon nebo je odcizen, můžete jej vzdáleně zamknout, zrušit autorizaci jeho SIM karty a získat nový telefon, který může přijímat SMS kódy pro návrat zpět online.

Osobně ráda mám k dispozici více možností, protože i když se obávám o bezpečnost, znám také sebe a vím, že věci ztratím nebo zlomím docela pravidelně. Vím, že lidé, kteří nikdy nepoužívali 2FA, se velmi obávají, že se ocitnou uzamčeni ze svého účtu, pokud používají 2FA.

2FA je ve skutečnosti velmi dobrá

Vždy je důležité pochopit nevýhody jakéhokoli bezpečnostního systému, ale to nezbavuje platnost systému. Zatímco 2FA má své slabiny, byla nesmírně úspěšná.

Opět musíme hledat pouze na Googlu. Společnost vyžadovala interní použití hardwarových klíčů 2FA a výsledky hovoří samy za sebe. Úspěšné převzetí účtů zaměstnanců Google účinně zmizelo. To je obzvláště důležité s ohledem na to, že zaměstnanci společnosti Google se svou pozicí v technologickém průmyslu a (předpokládaným) bohatstvím jsou základními cílenými útoky. To je místo, kde útočníci vynakládají velké úsilí na cílení na konkrétní jednotlivce při útoku. Je to vzácné a obvykle úspěšné, pokud má útočník dostatečné prostředky a trpělivost.

Balíček bezpečnostních klíčů Google Titan obsahuje klíče USB-A a Bluetooth.

Výzva je, že Google vyžadoval specifický typ 2FA: hardwarové bezpečnostní klíče. Tyto mají výhodu oproti jiným 2FA schématům, protože je velmi obtížné phishovat nebo jinak zachytit. Někteří by mohli říci nemožní, ale viděl jsem, co se stalo Titaniku, a vím to lépe.

Přesto jsou metody pro zachycení 2FA SMS kódů nebo autentizačních tokenů docela exotické a nejsou ve skutečném měřítku. To znamená, že je nepravděpodobné, že by je používal průměrný zločinec, který se snaží vydělat nějaké peníze co nejrychleji a nejjednodušším způsobem, na průměrného člověka, jako jste vy.

K věci Ted: Hardwarové bezpečnostní klíče jsou nejbezpečnějším způsobem, jaký jsme dosud viděli dělat 2FA. Je velmi těžké phishingovat a velmi obtížně zaútočit, i když nejsou bez jejich vlastních slabostí. Hardwarové klíče 2FA jsou navíc do jisté míry zajištěny do budoucna. Mnoho společností se vzdálilo od kódů SMS a některé dokonce přijaly bezlogová přihlášení, která se spoléhají výhradně na hardwarové klíče 2FA, které používají standard FIDO2. Pokud nyní používáte hardwarový klíč, existuje velká šance, že budete v nadcházejících letech v bezpečí.

Nitrokey FIDO U2F slibuje open-source zabezpečení.

• Ověření dvoufaktorem: Kdo to má a jak to nastavit Ověření dvoufaktorem: kdo to má a jak to nastavit
• Google: Phishingové útoky, které mohou porazit dva faktory, jsou na vzestupu Google: Phishingové útoky, které mohou porazit dva-faktory, jsou na vzestupu
• SecurityWatch: Jak se nezablokovat pomocí dvoufaktorového ověření SecurityWatch: Jak se nezastavit pomocí dvoufaktorového ověření

Stejně jako hardwarové klíče 2FA jsou, větší ekosystém vyžaduje určité kompromisy, aby vás zbytečně nezablokoval. 2FA musí být technologie, kterou lidé skutečně používají, jinak to vůbec nic nestojí.

Vzhledem k výběru si myslím, že většina lidí bude používat možnosti 2FA založené na aplikaci a SMS, protože je lze snadno nastavit a efektivně zdarma. To nemusí být nejlepší možné možnosti, ale pro většinu lidí fungují velmi dobře. To se však může brzy změnit, protože Google vám nyní umožňuje používat mobilní zařízení se systémem Android 7.0 nebo novějším jako hardwarový bezpečnostní klíč.

Navzdory svému omezení je 2FA pravděpodobně jedinou nejlepší věcí pro zabezpečení spotřebitele od antiviru. Úhledně a účinně zabraňuje některým z nejničivějších útoků, a to bez přidávání příliš velké složitosti do životů lidí. Přesto se rozhodnete použít 2FA, vyberte metodu, která vám dává smysl. Nepoužívání 2FA je mnohem škodlivější než použití trochu méně skvělé chuti 2FA.