William Charles
0 
3697
470
Ovih dana čini se da vas svaka web stranica koju posjetite pokušava potaknuti na dvofaktornu provjeru autentičnosti (2FA).
Jedan od najčešćih načina za korištenje 2FA je unos jedinstvenog koda s vašeg mobilnog uređaja. Kôd obično primate u tekstualnoj poruci ili koristite 2FA aplikaciju za generiranje iste.
Ove su dvije metode popularne načine upotrebe kodova zbog njihove praktičnosti. No, obje su metode sa sigurnosnog stajališta također slabe. A budući da je vaš 2FA kôd jednako siguran koliko i tehnologija koja se koristi za njegovo isporučivanje, važne su slabosti.
Dakle, što nije u redu s korištenjem SMS-a i aplikacija treće strane za pristup vašim kodovima Što su lozinke bez lozinke? Jesu li zapravo sigurni? Što su lozinke? Jesu li zapravo sigurni? Dolaze prijave bez lozinke. Jesu li sigurni? Kako na svijetu rade prijave bez lozinke? Evo što trebate znati. ? A postoji li jednako prikladna alternativa koja je sigurnija? Objasnit ćemo sve. Nastavite čitati da biste saznali više.
Kako djeluje dvofaktorska provjera autentičnosti
Uzmimo trenutak za razgovor o tome kako funkcionira dvofaktorska provjera autentičnosti. Bez razumijevanja mehanike koja stoji iza tehnologije, ostatak ovog članka neće imati puno smisla.
U širokom smislu, 2FA dodaje dodatni sloj sigurnosti vašem računu Kako osigurati svoje račune pomoću 2FA: Gmail, Outlook i još više Kako osigurati svoje račune pomoću 2FA: Gmail, Outlook i više Mogu li dvofaktorska provjera autentičnosti pomoći da osigurate svoju e-poštu i društvene mreže? Evo što trebate znati kako biste bili sigurni na mreži. , Također poznat kao multifaktorska provjera identiteta, vjerodajnice za prijavu sastoje se ne samo od zaporke, već i od drugog podatka kojem samo zakoniti vlasnik računa ima pristup.
2FA dolazi u puno različitih oblika Prednosti i nedostatke dvofaktorskih vrsta i metoda provjere autentičnosti i nedostatke dvofaktorskih vrsta i metoda provjere autentičnosti nisu stvorene jednakim. Neki su demonstrirano sigurniji i sigurniji. Evo pregleda najčešćih metoda i one koje najbolje zadovoljavaju vaše pojedinačne potrebe. , Na najosnovnijoj razini to bi moglo biti nešto tako jednostavno kao sigurnosna pitanja (jer nitko drugi ne bi mogao znati djevojačko prezime vaše majke. Zašto odgovarate na lozinka Sigurnosna pitanja pogrešno Zašto odgovarate na pitanja sigurnosti lozinke Pogrešno Kako odgovarate na mreži sigurnosna pitanja računa? Iskreni odgovori? Nažalost, vaša bi iskrenost mogla stvoriti mrvicu u vašem mrežnom oklopu. Pogledajmo kako sigurno odgovoriti na sigurnosna pitanja. ili svog omiljenog kućnog ljubimca). Na složenijem kraju, to bi mogao biti biometrijski ID poput skeniranja mrežnice ili otiska prsta.
Zašto biste trebali izbjegavati provjeru SMS-a
SMS uživa u položaju kao najpristupačniji način za pristup i korištenje 2FA kodova. Ako web lokacija nudi dvofaktornu prijavu za autentifikaciju, gotovo sigurno nudi SMS kao jednu od opcija.
Ali SMS nije siguran način korištenja 2FA. Ima dvije ključne ranjivosti.
Prvo, tehnologija je osjetljiv na napade SIM swapa. Ne treba puno da haker izvrši zamjenu SIM kartice. Ako imaju pristup nekom drugom osobnom podatku, poput vašeg socijalnog broja, mogu nazvati vašeg mobilnog operatera i premjestiti vaš broj na novu SIM karticu.
Drugo, hakeri mogu presresti SMS poruke. Sve se vraća na sada datirani sustav signalizacije br. 7 (SS7) telefona. Metodologija je osmišljena još 1975. godine, ali se još uvijek koristi gotovo na globalnoj razini za povezivanje i prekid poziva. Također se bavi prevođenjem broja, unaprijed plaćenim naplatom i presudno, SMS porukama.
Ne iznenađuje da je ova tehnologija iz 1975. puna sigurnosnih rupa. Evo kako je stručnjak za sigurnost Bruce Schneier opisao nedostatke:
“Ako napadači imaju pristup SS7 portalu, mogu proslijediti vaše razgovore na mrežni uređaj za snimanje i preusmjeriti poziv na predviđeno odredište […] To znači da će dobro opremljeni zločinac moći ugrabiti vaše potvrdne poruke i upotrijebiti ih prije nego što to učinite čak ih i vidio.”
Naravno, otkrivši da je cyber-zločinac hakirao vaš Facebook Kako doznati je li vaš Facebook račun hakiran Kako saznati je li vaš Facebook račun hakiran jer Facebook sadrži toliko podataka, morate čuvati svoj račun. Evo kako saznati je li vaš Facebook hakiran. račun je daleko od idealnog. Ali situacija je zastrašujuća ako razmislite o drugim upotrebama 2FA. Internetski zločinac mogao bi ukrasti kodove koje koristite u vašem bankarstvu na mreži ili čak pokrenuti i dovršiti novčane transfere. 6 najboljih aplikacija za slanje novca prijateljima 6 najboljih aplikacija za slanje novca prijateljima Sljedeći put kada novac trebate poslati prijateljima, provjerite iz ovih sjajnih mobilnih aplikacija za slanje novca bilo kome za nekoliko minuta. .
Nadalje, Schneier također tvrdi da svatko može kupiti pristup SS7 mreži za oko 1000 dolara. Jednom kada imaju pristup, mogu poslati zahtjev za usmjeravanje. Da bi dovršio problem, mreža možda neće potvrditi izvor zahtjeva.
Zapamtite, korištenje dvofaktorske provjere identiteta putem SMS-a je bolje nego ostavljanje 2FA onemogućeno. I vjerojatno je malo vjerojatno da ćete postati žrtva. Međutim, ako se počnete osjećati malo zabrinuto, nastavite čitati. Mnogi ljudi prihvaćaju da je SMS nesiguran i umjesto toga se okreću trećim aplikacijama.
Ali to možda nije puno bolje.
Zašto biste trebali izbjegavati 2FA aplikacije
Drugi uobičajeni način upotrebe 2FA kodova jest instaliranje namjenske aplikacije za pametne telefone. Ima puno izbora. Google Autentifikator je vjerojatno najprepoznatljiviji, ali nije nužno i najbolji. Postoji puno alternativa, provjerite Authy, Authenticator Plus i Duo.
Ali koliko su sigurne specijalne aplikacije 2FA? Njihova je najveća slabost oslanjanje na tajni ključ.
Napravimo korak na trenutak. U slučaju da niste svjesni, kada se prvi put prijavite za mnoge aplikacije, morat ćete unijeti tajni ključ. Tajna je podijeljena između vas i davatelja aplikacije.
Kada pristupite web mjestu, kôd koji aplikacija stvara temelji se na kombinaciji vašeg ključa i trenutnog vremena. U istom trenutku poslužitelj generira kôd koristeći iste podatke. Za pristup odobrenju dva koda moraju se podudarati. Zvuči razumno.
Pa zašto su ključevi slaba točka? Pa, što se događa ako cyber-zločinac uspije dobiti pristup kompanijskoj bazi podataka o lozinkama i tajnama? Svaki bi račun bio ranjiv - napadač bi mogao doći i otići. Kako provjeriti ima li netko drugi pristup vašem Facebook računu Kako provjeriti da li netko drugi pristupa vašem Facebook računu Zaslužan je i zabrinjavajući ako netko ima pristup vašem Facebook računu bez vašeg znanje. Evo kako znati jeste li prekršili. po volji.
Drugo, tajna je prikazana u običnom tekstu ili u obliku QR koda; Što se sve s tim MD5 proizvodima za mrlje zapravo znači [objašnjava tehnologija] Što sve ovo MD5 sjeckanje stvari zapravo znači (objašnjena tehnologija) Evo potpunog propadanja MD5, hashiranja i malog pregleda računala i kriptografija. , Vjerojatno je i u običnom tekstu na poslužiteljima tvrtke.
Tajni ključ je temeljna mana vremenske jednokratne lozinke (TOTP) koju koriste specijalističke aplikacije. Zato je fizički U2F ključ uvijek sigurnija opcija.
Nedostaci dizajna i sigurnosti za 2FA aplikacije
Naravno, šanse da cyber-zločinac hakuje potrebne baze podataka treće aplikacije prilično je mali. Ali vaša aplikacija može trpjeti i osnovne nedostatke u sigurnosti u svom dizajnu.
Popularni upravitelj lozinki LastPass 8 Jednostavni načini za nadopunu LastPass sigurnosti 8 Jednostavni načini za nadopunu vaše LastPass sigurnosti Možda LastPass koristite za upravljanje brojnim lozinkama na mreži, ali upotrebljavate li ih dobro? Evo osam koraka koje možete poduzeti kako biste učinili svoj račun LastPass još sigurnijim. postala žrtva u prosincu 2017. Objavi bloga programera na Medium otkriveni tajni ključevi 2FA mogu se pristupiti bez otiska prsta, lozinke ili drugih sigurnosnih mjera.
Rešavanje nije bilo čak ni komplicirano. Pristupom aktivnostima postavki postavki aplikacije LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity) moglo bi se ući u okno s postavkama aplikacije bez ikakvih provjera. Od tamo možete pritisnuti leđa jednom za pristup svim 2FA kodovima.
LastPass je sad ispravio nedostatak, ali pitanja ostaju. Prema riječima programera, sedam je mjeseci pokušavao reći LastPass-u o tom problemu, ali tvrtka to nikada nije riješila. Koliko je drugih aplikacija 2FA treće strane nesigurno? I koliko nefiksnih ranjivosti znaju programeri, ali odgađaju krpanje? Postoje i zabrinutosti kada je u pitanju gubitak pristupa generatoru koda na Facebooku Kako se prijaviti na Facebook ako ste izgubili pristup Generatoru koda Kako se prijaviti na Facebook ako ste izgubili pristup Generatoru koda Izgubili pristup Facebookovom generatoru koda? Ovaj članak govori o alternativnim metodama za prijavu na svoj Facebook račun. na primjer.
Što učiniti umjesto toga: koristite U2F tipke
Umjesto da se za svoje kodove oslanjate na SMS i 2FA, upotrijebite univerzalne tipke 2. faktora Što su U2F tipke i gdje se podržavaju? Što su U2F tipke i gdje se podržavaju? U2F ključevi jedan su od najboljih načina zaštite računa i zaštite. Ali gdje su podržani U2F ključevi? (U2F). Oni su najsigurniji način generiranja kodova i pristup vašim uslugama.
Naširoko smatrani drugom generacijom inačice 2FA, ona pojednostavljuje i jača trenutni protokol. Uz to, korištenje U2F tipki gotovo je prikladno kao i otvaranje SMS poruke ili aplikacije treće strane.
U2F tipke koriste ili NFC ili USB vezu. Kad prvi put povežete svoj uređaj s računom, on će generirati slučajni broj zvan a “nPo.” Nonce se usitnjava s nazivom domene web mjesta kako bi se stvorio jedinstveni kôd.
Nakon toga možete uvesti ključ za U2F tako da ga povežete s uređajem i čekate da ga usluga prepozna.
Pa, u čemu je nedostatak? Pa iako je U2F otvoreni standard, još uvijek košta novac za kupnju fizičkog U2F ključa. A što se možda tiče, riskirate od krađe.
Ukradeni U2F ključ automatski ne čini vaš račun nesigurnim; haker će i dalje morati znati vašu lozinku. Ali na javnom području lopov vas je već vidio kako unosite zaporku izdaleka, prije nego što vam je ukrao imetak.
U2F ključevi mogu biti skupi
Cijene znatno variraju između proizvođača, ali možete očekivati da ćete platiti između oko 15 i 50 dolara.
U idealnom slučaju želite kupiti model koji je to “FIDO certifikat.” Savez FIDO (Fast IDentity Online) odgovoran je za postizanje interoperabilnosti između tehnologija za provjeru autentičnosti. Članovi uključuju sve od Googlea i Microsofta, do Bank of America i MasterCard.
Kupnjom FIDO uređaja možete biti sigurni da će U2F ključ raditi sa svim uslugama koje svakodnevno koristite. Pogledajte ključ DIGIPASS SecureClick U2F ako ga želite kupiti.
Nesigurna 2FA još je bolja nego bez 2FA
Da zaključimo, Universal 2. faktor tipke pružaju sretan medij između jednostavnosti uporabe i sigurnosti. SMS je najmanje siguran pristup, ali ujedno i najpovoljniji.
I zapamtite, bilo koji 2FA je bolji od ne 2FA. Da, možda će vam trebati dodatnih 10 sekundi da se prijavite u određene aplikacije, ali bolje je nego žrtvovati svoju sigurnost.