Пора перестать использовать приложения SMS и 2FA для двухфакторной аутентификации

Сегодня кажется, что каждый веб-сайт, который вы когда-либо посещали, пытается побудить вас использовать двухфакторную аутентификацию (2FA).

Одним из наиболее распространенных способов использования 2FA является ввод уникального кода с вашего мобильного устройства. Как правило, вы получаете код в текстовом сообщении или используете стороннее приложение 2FA для его создания.

Оба метода являются популярными способами использования кодов из-за их удобства. Однако оба метода также слабы с точки зрения безопасности. А поскольку ваш код 2FA является настолько же безопасным, насколько и технология, используемая для его доставки, недостатки являются важными.

Итак, что не так с использованием SMS и сторонних приложений для доступа к вашим кодам? И есть ли такая же удобная альтернатива, которая более безопасна? Мы собираемся объяснить все. Продолжайте читать, чтобы узнать больше.

Как работает двухфакторная аутентификация

Давайте немного поговорим о том, как работает двухфакторная аутентификация. Без понимания механизма, лежащего в основе технологии, остальная часть этой статьи не будет иметь большого смысла.

В общих чертах, 2FA добавляет дополнительный уровень безопасности для вашей учетной записи

, Также известные как многофакторная аутентификация, учетные данные для входа состоят не только из пароля, но и из второй части информации, к которой имеет доступ только законный владелец учетной записи.

2FA поставляется в разных формах

, На самом базовом уровне это могут быть простые вопросы, связанные с безопасностью (поскольку никто другой не может знать девичью фамилию вашей матери).

или ваш любимый питомец). На более сложном конце это может быть биометрический идентификатор, такой как сканирование сетчатки или отпечаток пальца.

Почему вы должны избегать SMS-верификации

SMS пользуется позицией как наиболее доступный способ доступа и использования кодов 2FA. Если сайт предлагает логины двухфакторной аутентификации, он почти наверняка предлагает SMS в качестве одного из вариантов.

Но SMS не является безопасным способом использования 2FA. У него есть две ключевые уязвимости.

Во-первых, технология подвержен атакам подкачки SIM. Хакеру не требуется много времени для замены SIM-карты. Если у них есть доступ к другой личной информации — например, к номеру вашего социального страхования — они могут позвонить вашему оператору и перенести ваш номер на новую SIM-карту.

Во-вторых, хакеры могут перехватывать SMS сообщения. Все это восходит к современной телефонной системе маршрутизации системы сигнализации № 7 (SS7). Методология была разработана еще в 1975 году, но до сих пор используется практически во всем мире для подключения и отключения вызовов. Он также обрабатывает переводы номеров, выставление счетов с предоплатой и, что особенно важно, SMS-сообщения.

Неудивительно, что эта технология с 1975 года полна дыр в безопасности. Вот как эксперт по безопасности Брюс Шнайер описал недостатки:

«Если злоумышленники имеют доступ к порталу SS7, они могут переадресовать ваши разговоры на онлайн-устройство записи и перенаправить вызов в пункт назначения […] Это означает, что хорошо оборудованный преступник может захватить ваши проверочные сообщения и использовать их перед вами» мы даже видели их.

Конечно, обнаружив, что кибер-преступник взломал ваш Facebook

аккаунт далек от идеала. Но ситуация страшнее, если рассмотреть другие варианты использования 2FA. Киберпреступник может украсть коды, которые вы используете в своем онлайн-банке, или даже инициировать и завершить перевод денег

,

Кроме того, Шнайер также утверждает, что любой может приобрести доступ к сети SS7 примерно за 1000 долларов. Получив доступ, они могут отправить запрос на маршрутизацию. Чтобы решить эту проблему, сеть может не аутентифицировать источник запроса.

Помните, что использование двухфакторной аутентификации через SMS лучше, чем отключение 2FA. И вряд ли вы станете жертвой. Однако, если вы начинаете чувствовать себя немного обеспокоенным, вам нужно продолжать читать. Многие люди признают, что SMS небезопасны, и вместо этого обращаются к сторонним приложениям.

Но это может быть не намного лучше.

Почему вы должны избегать приложений 2FA

Другим распространенным способом использования кодов 2FA является установка специального приложения для смартфона. Есть из чего выбирать. Google Authenticator, пожалуй, самый узнаваемый, но не обязательно лучший. Существует множество альтернатив — проверьте Authy, Authenticator Plus и Duo.

Но насколько безопасны специализированные приложения 2FA? Их самая большая слабость это их опора на секретный ключ.

Давайте сделаем шаг назад на секунду. Если вы не знаете, когда вы впервые зарегистрируетесь во многих приложениях, вам потребуется ввести секретный ключ. Секрет делится между вами и поставщиком приложения.

Когда вы заходите на сайт, код, который создает приложение, основан на комбинации вашего ключа и текущего времени. В тот же момент сервер генерирует код, используя ту же информацию. Два кода должны совпадать, чтобы доступ был предоставлен. Звучит разумно.

Так почему же ключи являются слабым местом? Что же произойдет, если киберпреступнику удастся получить доступ к базе данных паролей и секретов компании? Каждый аккаунт будет уязвим — злоумышленник может приходить и уходить

по желанию.

Во-вторых, секрет отображается либо в виде простого текста, либо в виде QR-кода; его нельзя хешировать или использовать с солью

, Это, вероятно, также в виде простого текста на серверах компании.

Секретный ключ — фундаментальный недостаток одноразового пароля на основе времени (TOTP), который используют специализированные приложения. Вот почему физический ключ U2F всегда является более безопасным вариантом.

Недостатки в дизайне и безопасности для приложений 2FA

Конечно, шансы киберпреступника взломать необходимые базы данных стороннего приложения довольно малы. Но ваше приложение также может страдать от основных недостатков безопасности в своем дизайне.

Популярный менеджер паролей LastPass

стал жертвой в декабре 2017 года. В блоге программиста на Medium сообщалось, что к секретным ключам 2FA можно получить доступ без отпечатка пальца, пароля или других мер безопасности.

Обходной путь даже не был сложным. Получив доступ к настройкам приложения LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), можно войти в панель настроек приложения без каких-либо проверок. Оттуда вы можете нажать назад один раз, чтобы получить доступ ко всем кодам 2FA.

LastPass теперь исправил ошибку, но вопросы остаются. По словам программиста, он пытался рассказать LastPass о проблеме в течение семи месяцев, но компания так и не исправила ее. Сколько других сторонних 2FA-приложений небезопасно? А сколько нефиксированных уязвимостей знают разработчики, но откладывают исправление? Есть также проблемы, когда речь заходит о потере доступа к вашему генератору кода на Facebook

например.

Что делать вместо этого: используйте ключи U2F

Вместо того, чтобы полагаться на SMS и 2FA для ваших кодов, вы должны использовать универсальные ключи 2-го фактора

(U2f). Они являются наиболее безопасным способом генерации кодов и доступа к вашим услугам.

Широко признанная версия 2FA второго поколения, она одновременно упрощает и укрепляет существующий протокол. Кроме того, использование ключей U2F почти так же удобно, как открытие SMS-сообщения или стороннего приложения.

Ключи U2F используют соединение NFC или USB. При первом подключении устройства к учетной записи оно генерирует случайное число, называемое «Nonce». Nonce хэшируется с доменным именем сайта для создания уникального кода.

Сертифицированный Fido ключ U2F

После этого вы можете развернуть свой ключ U2F, подключив его к своему устройству и ожидая, пока служба его распознает.

Так в чем же минус? Ну, хотя U2F является открытым стандартом, он все равно стоит денег, чтобы купить физический ключ U2F. И, возможно, более важно, вы рискуете получить воровство.

Украденный ключ U2F не делает вашу учетную запись небезопасной; хакеру все равно нужно будет знать ваш пароль. Но в общественных местах вор, возможно, уже видел, как вы вводите свой пароль издалека, до того, как похитить свое имущество.

Ключи U2F могут быть дорогими

Цены значительно варьируются между производителями, но вы можете ожидать, что вы заплатите от 15 до 50 долларов.

В идеале вы хотите приобрести модель, которая «сертифицирована FIDO». Альянс FIDO (Fast IDentity Online) отвечает за обеспечение взаимодействия между технологиями аутентификации. Членами являются все от Google и Microsoft, до Bank of America и MasterCard.

Покупая устройство FIDO, вы можете быть уверены, что ваш ключ U2F будет работать со всеми услугами, которые вы используете каждый день. Проверьте ключ DIGIPASS SecureClick U2F, если хотите приобрести его.



Ключ безопасности Digipass SecureClick FIDO U2F


Ключ безопасности Digipass SecureClick FIDO U2F
Купить сейчас на Amazon

Небезопасный 2FA все еще лучше, чем нет 2FA

Подводя итог, можно сказать, что универсальные ключи 2-го фактора обеспечивают удобную связь между простотой использования и безопасностью. SMS — наименее безопасный подход, но он также и самый удобный.

И помните, что любой 2FA лучше, чем никакой 2FA. Да, для входа в определенные приложения может потребоваться дополнительно 10 секунд, но это лучше, чем жертвовать своей безопасностью.

Ссылка на основную публикацию
Adblock
detector