Je čas přestat používat SMS a 2FA aplikace pro dvoufaktorové ověření

reklama

Dnes se zdá, že se vás každý web, který jste kdy navštívili, snaží povzbudit používat dvoufaktorové ověřování (2FA).

Jedním z nejčastějších způsobů použití 2FA je zadání jedinečného kódu z vašeho mobilního zařízení. Obvykle obdržíte kód v textové zprávě nebo k vygenerování kódu použijete aplikaci 2FA od jiného výrobce.

Obě metody jsou díky své výhodě oběma způsoby použití kódů. Obě metody jsou však z bezpečnostního hlediska také slabé. A protože váš kód 2FA je pouze tak bezpečný jako technologie použitá k jeho dodání, jsou jeho slabiny důležité.

Takže, co je špatného pomocí SMS a aplikací třetích stran pro přístup k vašim kódům Co jsou přihlášení bez hesla? Jsou skutečně bezpečné?Přihlášení bez hesla se blíží. Jsou bezpečné? Jak na zemi fungují přihlášení bez hesla? Zde je to, co potřebujete vědět. Přečtěte si více ? A existuje ještě výhodnější alternativa, která je bezpečnější? Vše vysvětlíme. Pokračujte ve čtení a zjistěte více.

Jak funguje dvoufaktorové ověřování

Udělejme si chvíli diskutovat o tom, jak funguje dvoufaktorové ověřování. Bez pochopení mechaniky za technologií, zbytek tohoto článku nebude mít velký smysl.

Obecně řečeno, 2FA přidává do vašeho účtu další vrstvu zabezpečení Jak zabezpečit své účty pomocí 2FA: Gmail, Outlook a dalšíMůže dvoufaktorové ověření pomoci zajistit váš e-mail a sociální sítě? Zde je to, co potřebujete vědět, abyste se mohli zabezpečit online. Přečtěte si více . Přihlašovací údaje, známé také jako vícefaktorové ověřování, sestávají nejen z hesla, ale také z druhé informace, ke které má přístup pouze oprávněný vlastník účtu.

2FA přichází v mnoha různých formách Výhody a nevýhody dvoufaktorových typů a metod autentizaceMetody dvoufaktorové autentizace nejsou vytvořeny rovnocenné. Některé jsou prokazatelně bezpečnější a bezpečnější. Zde je přehled nejběžnějších metod, které nejlépe vyhovují vašim individuálním potřebám. Přečtěte si více . Na své nejzákladnější úrovni by to mohlo být něco tak jednoduchého jako bezpečnostní otázky (protože nikdo jiný by možná nebyl znát své matčino jméno Proč odpovídáte na otázky týkající se zabezpečení heslem špatněJak odpovídáte na bezpečnostní otázky online účtu? Čestné odpovědi? Bohužel, vaše upřímnost by mohla ve vaší online brnění vytvořit chink. Pojďme se podívat, jak bezpečně odpovídat na bezpečnostní otázky. Přečtěte si více nebo vašeho oblíbeného domácího mazlíčka). Na komplikovanějším konci by to mohlo být biometrické ID, jako je skenování sítnice nebo otisk prstu.

Proč byste se měli vyhnout ověřování SMS

SMS má pozici nejpřístupnějšího způsobu přístupu a používání kódů 2FA. Pokud web nabízí přihlášení pomocí dvou faktorů, téměř určitě nabízí jako jednu z možností SMS.

SMS však není bezpečným způsobem, jak používat 2FA. Má dvě klíčové zranitelnosti.

Za prvé, technologie je náchylné k útokům na SIM kartu. Pro hackera není nutné provést výměnu SIM karty. Pokud mají přístup k jedné další osobní informaci - například k vašemu číslu sociálního zabezpečení - mohou zavolat operátorovi a přesunout číslo na novou SIM kartu.

Za druhé, hackeři mohou zachytit SMS zprávy. Všechno se vrací k nyní datovému signalizačnímu systému číslo 7 (SS7) pro směrování telefonů. Metodika byla navržena již v roce 1975, ale stále se používá téměř celosvětově pro spojení a odpojování hovorů. Zabývá se také překlady čísel, předplacenou fakturací a zásadně SMS zprávami.

Není překvapením, že tato technologie z roku 1975 je plná bezpečnostních děr. Zde je návod bezpečnostní expert Bruce Schneier popsal nedostatky:

„Pokud mají útočníci přístup k portálu SS7, mohou předat vaše konverzace online záznamovému zařízení a přesměrovat hovor na jeho zamýšlený cíl […] Znamená to, že dobře vybavený zločince by mohl vzít vaše ověřovací zprávy a použít je dříve, než jste je viděli jim."

Samozřejmě zjištění, že kybernetický zločin má prolomil váš Facebook Jak zjistit, zda byl váš účet na Facebooku napadenS Facebookem, který obsahuje tolik dat, musíte svůj účet udržovat v bezpečí. Zde je návod, jak zjistit, zda byl váš Facebook hacknut. Přečtěte si více účet zdaleka není ideální. Situace je však děsivější, pokud uvažujete o dalším využití 2FA. Počítačový zločin mohl ukrást kódy, které používáte ve svém online bankovnictví, nebo dokonce iniciovat a dokončit převody peněz 6 nejlepších aplikací pro posílání peněz přátelůmAž budete příště muset poslat peníze přátelům, podívejte se na tyto skvělé mobilní aplikace, abyste mohli poslat peníze komukoli během několika minut. Přečtěte si více .

Schneier dále tvrdí, že kdokoli si může koupit přístup do sítě SS7 za zhruba 1 000 USD. Jakmile mají přístup, mohou odeslat požadavek na směrování. K dokončení problému síť pravděpodobně neověřuje zdroj požadavku.

Pamatujte, že použití dvoufaktorové autentizace pomocí SMS je lepší, než nechat 2FA deaktivovanou. A je pravděpodobně nepravděpodobné, že se stanete obětí. Pokud se však začínáte cítit trochu znepokojeně, musíte si přečíst. Mnoho lidí připouští, že SMS je nejistá, a místo toho se obracejí na aplikace třetích stran.

Ale to nemusí být mnohem lepší.

Proč byste se měli vyvarovat aplikací 2FA

Dalším běžným způsobem použití kódů 2FA je instalace vyhrazené aplikace pro chytré telefony. Existuje mnoho z čeho vybírat. Google Authenticator je patrně nejznámější, ale není to nutně nejlepší. Existuje spousta alternativ - podívejte se na Authy, Authenticator Plus a Duo.

Jak bezpečné jsou však speciální aplikace 2FA? Jejich největší slabinou je jejich spoléhat se na tajný klíč.

Vraťme se na chvilku zpět. V případě, že si nejste vědomi, při prvním přihlášení k mnoha aplikacím budete muset zadat tajný klíč. Tajemství je sdíleno mezi vámi a poskytovatelem aplikace.

Při přístupu na web je kód, který aplikace vytvoří, založen na kombinaci klíče a aktuálního času. Ve stejnou chvíli server generuje kód využívající stejné informace. Aby bylo možné udělit přístup, musí se oba kódy shodovat. Zní to rozumně.

Tak proč jsou klíče slabou stránkou? Co se stane, když se kybernetickému zločinu podaří získat přístup k firemní databázi hesel a tajemství? Každý účet by byl zranitelný - útočník mohl přijít a odejít Jak zkontrolovat, zda někdo jiný nemá přístup k vašemu účtu FacebookJe to zlověstné i znepokojivé, pokud má někdo přístup k vašemu účtu na Facebooku bez vašeho vědomí. Zde je návod, jak zjistit, zda vás někdo porušil. Přečtěte si více na přání.

Za druhé, tajemství je buď zobrazeno jako prostý text, nebo jako QR kód; to nemůže být hashed nebo použitý se solí Co to všechno vlastně znamená, že látka MD5 hasí [vysvětlení technologie]Zde je kompletní přehled MD5, hashování a malý přehled počítačů a kryptografie. Přečtěte si více . Pravděpodobně je také ve formě prostého textu na serverech společnosti.

Tajný klíč je základní chyba v časově založeném jednorázovém hesle (TOTP), které používají speciální aplikace. Proto je fyzický klíč U2F vždy bezpečnější možností.

Nedostatky v designu a bezpečnosti pro 2FA aplikace

Šance, že počítačový kriminálník hackne potřebné databáze aplikací třetích stran, jsou samozřejmě poměrně malé. Vaše aplikace však může ve svém návrhu také trpět základními bezpečnostními nedostatky.

Populární správce hesel LastPass 8 snadných způsobů, jak doplnit zabezpečení LastPassMožná používáte LastPass ke správě svých mnoha online hesel, ale používáte to správně? Zde je osm kroků, jak učinit svůj účet LastPass ještě bezpečnějším. Přečtěte si více se stal obětí v prosinci 2017. A programový blogový příspěvek na médiu odhalené tajné klíče 2FA lze získat bez otisku prstu, hesla nebo jiných bezpečnostních opatření.

Řešení nebylo ani komplikované. Otevřením nastavení aktivity aplikace LastPass Authenticator (com.lastpass.authenticator.activities). SettingsActivity), bylo by možné vstoupit do podokna nastavení aplikace bez jakýchkoli kontrol. Odtud můžete stisknout Zadní jednou získáte přístup ke všem kódům 2FA.

LastPass nyní opravil chybu, ale otázky zůstávají. Podle programátora se pokusil vyprávět LastPass o problému po dobu sedmi měsíců, ale společnost to nikdy neopravila. Kolik dalších aplikací třetích stran 2FA není zabezpečeno? A kolik neopravených zranitelností vědí vývojáři, ale oprava zpoždění? Existují také obavy, pokud jde o ztrácíte přístup k vašemu generátoru kódu na Facebooku Jak se přihlásit na Facebook, pokud jste ztratili přístup k generátoru kóduZtratili jste přístup k generátoru kódu Facebooku? Tento článek popisuje alternativní způsoby přihlášení k vašemu účtu Facebook. Přečtěte si více například.

Co místo toho dělat: Použijte klíče U2F

Místo spoléhání se na SMS a 2FA pro své kódy byste měli použít Univerzální klíče 2. faktoru Co jsou klíče U2F a kde jsou podporovány?Klíče U2F jsou jedním z nejlepších způsobů, jak udržet své účty v bezpečí. Ale kde jsou podporovány klíče U2F? Přečtěte si více (U2F). Jsou nejbezpečnějším způsobem generování kódů a přístupu k vašim službám.

Široce považován za druhou generaci verze 2FA, jak zjednodušuje a posiluje současný protokol. Použití kláves U2F je navíc téměř stejně pohodlné jako otevírání zpráv SMS nebo aplikací třetích stran.

Klíče U2F používají připojení NFC nebo USB. Když připojíte zařízení k účtu poprvé, vygeneruje náhodné číslo zvané „Nonce“. Nonce je hashed s názvem domény webu vytvořit jedinečný kód.

Poté můžete svůj klíč U2F nasadit jeho připojením k zařízení a čekáním, až ho služba rozpozná.

Co je tedy nevýhodou? I když je U2F otevřený standard, stále stojí peníze za nákup fyzického klíče U2F. A možná ještě více, pokud jde o krádež.

Ukradený klíč U2F automaticky nezabezpečí váš účet; hacker by stále potřeboval znát vaše heslo. Ale ve veřejném prostoru vás mohl zloděj už viděl, jak zadáváte své heslo z dálky, než ukradl váš majetek.

Klíče U2F mohou být drahé

Ceny se mezi výrobci značně liší, ale můžete očekávat, že zaplatíte mezi přibližně 15 a 50 USD.

V ideálním případě chcete koupit model, který je „FIDO certifikován“. Aliance FIDO (Fast IDentity Online) je zodpovědná za dosažení interoperability mezi autentizačními technologiemi. Mezi členy patří všichni od společností Google a Microsoft, Bank of America a MasterCard.

Zakoupením zařízení FIDO si můžete být jisti, že klíč U2F bude fungovat se všemi službami, které používáte každý den. Pokud si chcete koupit klíč DIGIPASS SecureClick U2F, podívejte se na něj.

Nejistá 2FA je stále lepší než 2FA

Abych to shrnul, klíče Universal 2nd Factor poskytují šťastné médium mezi snadností použití a bezpečností. SMS je nejméně bezpečný přístup, ale také nejpohodlnější.

A nezapomeňte, že každá 2FA je lepší než žádná 2FA. Ano, přihlášení k určitým aplikacím může trvat dalších 10 sekund, ale je to lepší než obětovat vaši bezpečnost.