Сегодня кажется, что каждый веб-сайт, который вы когда-либо посещали, пытается побудить вас использовать двухфакторную аутентификацию (2FA).
Одним из наиболее распространенных способов использования 2FA является ввод уникального кода с вашего мобильного устройства. Как правило, вы получаете код в текстовом сообщении или используете стороннее приложение 2FA для его создания.
Оба метода являются популярными способами использования кодов из-за их удобства. Однако оба метода также слабы с точки зрения безопасности. А поскольку ваш код 2FA безопасен настолько же, насколько и технология, используемая для его доставки, недостатки важны.
Итак, что не так с использованием SMS и сторонних приложений для доступа к вашим кодам? ? И есть ли такая же удобная альтернатива, которая более безопасна? Мы собираемся объяснить все. Продолжайте читать, чтобы узнать больше.
Как работает двухфакторная аутентификация
Давайте немного поговорим о том, как работает двухфакторная аутентификация. Без понимания механизма, лежащего в основе технологии, остальная часть этой статьи не будет иметь большого смысла.
В общих чертах, 2FA добавляет дополнительный уровень безопасности для вашей учетной записи. Также известные как многофакторная аутентификация, учетные данные для входа состоят не только из пароля, но и из второй части информации, к которой имеет доступ только законный владелец учетной записи.
2FA имеет множество различных форм На самом базовом уровне это могут быть такие же простые вопросы, как вопросы безопасности (потому что никто другой не может знать девичью фамилию вашей матери. или ваш любимый питомец). На более сложном конце это может быть биометрический идентификатор, такой как сканирование сетчатки или отпечаток пальца.
Почему вы должны избегать SMS-проверки
SMS пользуется позицией как наиболее доступный способ доступа и использования кодов 2FA. Если сайт предлагает логины двухфакторной аутентификации, он почти наверняка предлагает SMS в качестве одного из вариантов.
Но SMS не является безопасным способом использования 2FA. У него есть две ключевые уязвимости.
Во-первых, технология подвержена атакам подкачки SIM-карт . Хакеру не требуется много времени для замены SIM-карты. Если у них есть доступ к другой личной информации — например, к номеру вашего социального страхования — они могут позвонить вашему оператору и перенести ваш номер на новую SIM-карту.
Во-вторых, хакеры могут перехватывать SMS-сообщения . Все это восходит к современной телефонной системе маршрутизации системы сигнализации № 7 (SS7). Методология была разработана еще в 1975 году, но до сих пор используется почти во всем мире для подключения и отключения вызовов. Он также обрабатывает переводы номеров, выставление счетов с предоплатой и, что особенно важно, SMS-сообщения.
Неудивительно, что эта технология 1975 года полна дыр в безопасности. Вот как эксперт по безопасности Брюс Шнайер описал недостатки:
«Если злоумышленники имеют доступ к порталу SS7, они могут переадресовать ваши разговоры на онлайн-устройство записи и перенаправить звонок на его предполагаемое место назначения […] Это означает, что хорошо оборудованный преступник может захватить ваши проверочные сообщения и использовать их перед вами» мы даже видели их.
Конечно, обнаружив, что кибер-преступник взломал ваш Facebook узнать, был ли взломан ваш аккаунт Facebook взломан Facebook , на котором хранится аккаунт далек от идеала. Но ситуация страшнее, если рассмотреть другие варианты использования 2FA. Киберпреступник может украсть коды, которые вы используете в своем интернет-банке, или даже инициировать и завершить денежные переводы
Кроме того, Шнайер также утверждает, что любой может приобрести доступ к сети SS7 примерно за 1000 долларов. Получив доступ, они могут отправить запрос на маршрутизацию. Чтобы решить эту проблему, сеть может не аутентифицировать источник запроса.
Помните, что использование двухфакторной аутентификации через SMS лучше, чем отключение 2FA. И вряд ли вы станете жертвой. Однако, если вы начинаете чувствовать себя немного обеспокоенным, вам нужно продолжать читать. Многие люди признают, что SMS небезопасны, и вместо этого обращаются к сторонним приложениям.
Но это может быть не намного лучше.
Почему вы должны избегать приложений 2FA
Другим распространенным способом использования кодов 2FA является установка специального приложения для смартфона. Есть из чего выбирать. Google Authenticator, пожалуй, самый узнаваемый, но не обязательно лучший. Есть много альтернатив — проверьте Authy, Authenticator Plus и Duo.
Но насколько безопасны специализированные приложения 2FA? Их самая большая слабость — это их зависимость от секретного ключа .
Давайте сделаем шаг назад на секунду. Если вы не знаете, когда вы впервые зарегистрируетесь во многих приложениях, вам нужно будет ввести секретный ключ. Секрет делится между вами и поставщиком приложения.
Когда вы заходите на сайт, код, который создает приложение, основан на комбинации вашего ключа и текущего времени. В тот же момент сервер генерирует код, используя ту же информацию. Два кода должны совпадать, чтобы доступ был предоставлен. Звучит разумно.
Так почему же ключи являются слабым местом? Что же произойдет, если киберпреступнику удастся получить доступ к базе данных паролей и секретов компании? Каждая учетная запись будет уязвимой — злоумышленник может приходить и уходить по желанию.
Во-вторых, секрет отображается либо в виде простого текста, либо в виде QR-кода; его нельзя хешировать или использовать с солью Это, вероятно, также в виде простого текста на серверах компании.
Секретный ключ является фундаментальным недостатком временного одноразового пароля (TOTP), который используют специализированные приложения. Вот почему физический ключ U2F всегда является более безопасным вариантом.
Недостатки в дизайне и безопасности для приложений 2FA
Конечно, шансы кибер-преступника взломать необходимые базы данных стороннего приложения довольно малы. Но ваше приложение также может страдать от основных недостатков безопасности в своем дизайне.
Популярный менеджер паролей LastPass стал жертвой в декабре 2017 года. В блоге программиста на Medium сообщалось, что к секретным ключам 2FA можно получить доступ без отпечатка пальца, пароля или других мер безопасности.
Обходной путь даже не был сложным. Получив доступ к настройкам приложения LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), можно войти в панель настроек приложения без каких-либо проверок. Оттуда вы можете нажать Back один раз, чтобы получить доступ ко всем кодам 2FA.
LastPass теперь исправил ошибку, но вопросы остаются. По словам программиста, он пытался сообщить LastPass о проблеме в течение семи месяцев, но компания так и не исправила ее. Сколько других сторонних 2FA-приложений небезопасно? А сколько нефиксированных уязвимостей знают разработчики, но откладывают исправление? Существуют также проблемы, когда речь идет о потере доступа к генератору кода на Facebook. например.
Что делать вместо этого: используйте ключи U2F
Вместо того, чтобы полагаться на SMS и 2FA для ваших кодов, вы должны использовать универсальные ключи 2-го фактора ключи (U2F). Они являются наиболее безопасным способом генерации кодов и доступа к вашим услугам.
Широко признанная версия 2FA второго поколения, она одновременно упрощает и укрепляет существующий протокол. Кроме того, использование ключей U2F почти так же удобно, как открытие SMS-сообщения или стороннего приложения.
Ключи U2F используют соединение NFC или USB. Когда вы подключаете ваше устройство к учетной записи в первый раз, оно генерирует случайное число, называемое «Nonce». Nonce хэшируется с доменным именем сайта для создания уникального кода.
После этого вы можете развернуть свой ключ U2F, подключив его к своему устройству и ожидая, пока служба его распознает.
Так в чем же минус? Ну, хотя U2F является открытым стандартом, он все равно стоит денег, чтобы купить физический ключ U2F. И, возможно, более важно, вы рискуете получить воровство.
Украденный ключ U2F не делает вашу учетную запись небезопасной; хакеру все равно нужно будет знать ваш пароль. Но в общественных местах вор, возможно, уже видел, как вы вводите свой пароль издалека, до того, как похитить свое имущество.
Ключи U2F могут быть дорогими
Цены значительно варьируются между производителями, но вы можете ожидать, что вы заплатите от 15 до 50 долларов.
В идеале вы хотите приобрести модель, сертифицированную FIDO. Альянс FIDO (Fast IDentity Online) отвечает за обеспечение взаимодействия между технологиями аутентификации. Членами являются все от Google и Microsoft, до Bank of America и MasterCard.
Приобретая устройство FIDO, вы можете быть уверены, что ваш ключ U2F будет работать со всеми услугами, которые вы используете каждый день. Проверьте ключ DIGIPASS SecureClick U2F, если хотите приобрести его.
Небезопасный 2FA еще лучше, чем нет 2FA
Подводя итог, можно сказать, что универсальные ключи 2-го фактора обеспечивают удобную связь между простотой использования и безопасностью. СМС — это наименее безопасный подход, но также и самый удобный.
И помните, что любой 2FA лучше, чем никакой 2FA. Да, для входа в определенные приложения может потребоваться дополнительно 10 секунд, но это лучше, чем жертвовать своей безопасностью.