Este timpul să nu mai utilizați aplicațiile SMS și 2FA pentru autentificarea în doi factori
Aceste zile, se pare că fiecare site pe care îl vizitați vreodată încearcă să vă încurajeze utilizarea autentificării cu două factori (2FA).
Una dintre cele mai frecvente moduri de a utiliza 2FA este introducerea unui cod unic de pe dispozitivul dvs. mobil. În mod obișnuit, primiți codul într-un mesaj text sau utilizați o aplicație terță parte 2FA pentru a genera unul.
Cele două metode sunt atât modalități populare de a utiliza codurile datorită confortului acestora. Cu toate acestea, ambele metode sunt, de asemenea, slabe din punct de vedere al securității. Și pentru că codul dvs. 2FA este la fel de sigur ca și tehnologia utilizată pentru livrarea acestuia, punctele slabe sunt importante.
Deci, ce este în neregulă cu utilizarea SMS-urilor și a aplicațiilor terță parte pentru a vă accesa codurile? Și există o alternativă la fel de convenabilă și mai sigură? Vom explica totul. Continuați să citiți pentru a afla mai multe.
Cum funcționează autentificarea cu două factori
Să facem un moment pentru a discuta despre funcționarea autentificării cu doi factori. Fără a înțelege mecanica din spatele tehnologiei, restul acestui articol nu va face prea mult sens.
În termeni generali, 2FA adaugă un plus de securitate în cont. De asemenea, cunoscut sub numele de autentificare multi-factor, acreditările de autentificare constă nu numai de o parolă, ci și de oa doua informație pe care doar proprietarul legitim al contului are acces la.
2FA vine în multe forme diferite Pro și Contra tipurilor și metodelor de autentificare cu două factori Pro și contra tipurilor și metodelor de autentificare cu două factori Metodele de autentificare cu două factori nu sunt create egale. Unele sunt în mod evident mai sigure și mai sigure. Iată o privire asupra metodelor cele mai comune și a celor care se potrivesc cel mai bine nevoilor dvs. individuale. Citeste mai mult . La nivelul cel mai de bază, ar putea fi ceva la fel de simplu ca și întrebările de securitate (pentru că nimeni altcineva nu ar putea cunoaște numele de familie al mamei dvs. De ce răspundeți la întrebările privind securitatea parolei greșite De ce răspundeți la întrebările privind securitatea parolei greșit Cum răspunzi online Probleme de securitate a contului? Răspunsuri cinstite? Din păcate, sinceritatea dvs. ar putea crea un chin în armura dvs. online. Să aruncăm o privire asupra modului în care să răspundem în siguranță la întrebările de securitate. La capătul mai complicat, ar putea fi un ID biometric, cum ar fi o scanare a retinei sau o amprentă digitală.
De ce ar trebui să evitați verificarea prin SMS
SMS-ul se bucură de o poziție ca cea mai accesibilă modalitate de accesare și utilizare a codurilor 2FA. Dacă un site oferă autentificări de autentificare cu două factori, acesta oferă aproape sigur o SMS ca una dintre opțiuni.
Dar SMS-ul nu este un mod sigur de a utiliza 2FA. Are două vulnerabilități cheie.
În primul rând, tehnologia este susceptibile la atacuri swap SIM. Nu este nevoie de mult pentru ca un hacker să efectueze un Swap SIM. Dacă au acces la o altă informație personală - cum ar fi numărul dvs. de securitate socială - ei pot apela transportatorul dvs. și pot muta numărul dvs. pe o nouă cartelă SIM.
În al doilea rând, hackerii pot intercepta mesajele SMS. Totul se întoarce la sistemul de rutare a telefonului din Sistemul de Semnalare nr. 7 (SS7). Metodologia a fost creată în 1975, dar este utilizată în continuare aproape în întreaga lume pentru a conecta și a deconecta apelurile. De asemenea, se ocupă de traducerile numerice, facturarea preplătită și, în mod esențial, mesajele SMS.
În mod surprinzător, această tehnologie din 1975 este plină de găuri de securitate. Iată cum descrie expertul în securitate Bruce Schneier defectele:
“Dacă atacatorii au acces la un portal SS7, aceștia vă pot transmite conversațiile către un dispozitiv de înregistrare online și pot redirecționa apelul către destinația dorită [...] Înseamnă că un criminal bine echipat ar putea să vă aplice mesajele de verificare și să le folosească înainte de a le chiar i-au văzut.”
Bineînțeles, descoperirea faptului că un infractor cibernetic a spart Facebook-ul dvs. Cum să aflați dacă contul dvs. Facebook a fost hacked Cum să aflați dacă contul dvs. Facebook a fost hacked Având în vedere numărul de date pe care le-am adăugat profilurilor noastre, este mai important ca niciodată să vă asigurați că rămâneți pe lângă setările de confidențialitate ale Facebook. Citește mai mult contul este departe de ideal. Dar situația este mai înspăimântătoare atunci când luați în considerare alte utilizări ale 2FA. Un criminal cibernetic poate să fure codurile pe care le folosiți în serviciile bancare online sau chiar să inițiați și să efectuați transferuri de bani 6 Aplicații care vă ajută să transferați bani între prieteni 6 Aplicații care vă ajută să transferați bani între prieteni Uneori trebuie să trimiteți bani prietenilor rapid și sigur . Iată câteva dintre cele mai bune opțiuni disponibile. Citeste mai mult .
Mai mult, Schneier susține că oricine poate achiziționa acces la rețeaua SS7 pentru aproximativ 1.000 de dolari. După ce au acces, pot trimite o cerere de rutare. Pentru a rezolva problema, este posibil ca rețeaua să nu autentifice sursa cererii.
Rețineți că utilizarea autentificării cu două factori prin SMS este mai bună decât lăsarea 2FA dezactivată. Și probabil că este puțin probabil să deveniți victimă. Cu toate acestea, dacă începeți să vă simțiți puțin îngrijorat, trebuie să continuați să citiți. Mulți oameni acceptă faptul că SMS-ul este nesigur și în schimb se adresează aplicațiilor terță parte.
Dar poate că nu este mult mai bine.
De ce ar trebui să evitați aplicațiile 2FA
Celălalt mod obișnuit de a utiliza codurile 2FA este să instalați o aplicație dedicată pentru smartphone. Sunt multe de ales. Google Authenticator este, fără îndoială, cel mai recunoscut, dar nu este neapărat cel mai bun. Există o mulțime de alternative acolo - verificați Authy, Authenticator Plus și Duo.
Dar cât de sigure sunt aplicațiile specializate 2FA? Cea mai mare slăbiciune este a lor dependența de o cheie secretă.
Să facem un pas înapoi o secundă. În cazul în care nu știți, atunci când vă înscrieți pentru mai multe aplicații pentru prima dată, va trebui să introduceți o cheie secretă. Secretul este împărțit între dvs. și furnizorul aplicației.
Când accesați un site, codul creat de aplicație se bazează pe o combinație a cheii dvs. și a timpului curent. În același moment, serverul generează un cod utilizând aceleași informații. Cele două coduri trebuie să se potrivească pentru ca accesul să fie acordat. Sună sensibil.
Deci, de ce sunt cheile punctul slab? Ei bine, ce se întâmplă dacă un infractor cibernetic reușește să obțină acces la baza de date a unei companii de parole și secrete? Fiecare cont va fi vulnerabil - atacatorul ar putea să vină și să meargă Cum să verificați dacă altcineva vă accesează contul Facebook Cum să verificați dacă altcineva accesează contul dvs. Facebook Este atât sinistru și îngrijorător dacă cineva are acces la contul dvs. Facebook fără dvs. cunoştinţe. Iată cum să știți dacă ați fost încălcat. Citește mai mult la voință.
În al doilea rând, secretul este afișat fie în text simplu, fie ca un cod QR; nu poate fi rupt sau utilizat cu o sare Ce înseamnă toate aceste lucruri MD5 Hash înseamnă în realitate [Technology Explained] Ce înseamnă toate aceste lucruri pentru MD5 Hash înseamnă în realitate [Tehnologie explicată] Iată o rulare completă a MD5, hashing și o imagine de ansamblu a computerelor și criptografie. Citeste mai mult . Este probabil, de asemenea, în text simplu pe serverele companiei.
Cheia secretă este defectul fundamental în parola temporară bazată pe timp (TOTP) utilizată de aplicațiile specializate. De aceea, o cheie fizică U2F este întotdeauna o opțiune mai sigură.
Defectele în design și securitate pentru aplicațiile 2FA
Bineînțeles, șansele unui criminal cibernetic de a accesa bazele de date necesare unei aplicații terță parte sunt destul de mici. Dar aplicația dvs. ar putea suferi, de asemenea, deficiențe de securitate de bază în designul său.
Manager de parole populare LastPass 8 modalități ușoare de a suprasolicita securitatea dvs. LastPass 8 modalități ușoare de a vă suprasolicita securitatea LastPass Este posibil să utilizați LastPass pentru a gestiona numeroasele parole online, dar îl folosiți corect? Iată opt pași pe care îi puteți lua pentru a vă face un cont LastPass și mai sigur. Citește mai mult a căzut victimă în decembrie 2017. Postarea pe blog a unui programator pe Mediu a relevat că cheile secrete 2FA pot fi accesate fără o amprentă, o parolă sau alte măsuri de securitate.
Soluționarea nu a fost chiar complicată. Prin accesarea activității setărilor aplicației LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), puteți accesa panoul de setări pentru aplicație, fără verificări. De acolo puteai să apăsați Înapoi o dată pentru a accesa toate codurile 2FA.
LastPass a remediat defectul, dar rămân întrebări. Potrivit programatorului, a încercat să-l spună lui LastPass despre această problemă timp de șapte luni, dar compania nu a stabilit-o niciodată. Câte alte aplicații 2FA ale terților sunt nesigure? Și câte vulnerabilități nefixate le știu dezvoltatorii, dar întârzierea de patch-uri? Există, de asemenea, preocupări atunci când vine vorba de a pierde accesul la generatorul de coduri pe Facebook Cum să vă conectați la Facebook Dacă ați pierdut accesul la generatorul de cod Cum să vă conectați la Facebook Dacă ați pierdut accesul la generatorul de coduri Ce se întâmplă dacă nu vă puteți conecta la Facebook pe noul computer pentru că nu aveți acces la Generatorul de coduri de pe telefonul dvs.? Citiți mai multe, de exemplu.
Ce trebuie să faceți în schimb: utilizați chei U2F
În loc să vă bazați pe SMS și pe 2FA pentru codurile dvs., ar trebui să utilizați cheile universale ale factorului 2. Ce sunt cheile U2F și unde sunt acestea acceptate? Ce sunt cheile U2F și unde sunt acestea acceptate? Cheile U2F reprezintă una dintre cele mai bune modalități de a vă menține conturile în siguranță și în siguranță. Dar unde sunt suportate cheile U2F? Citiți mai mult (U2F). Acestea reprezintă modalitatea cea mai sigură de generare de coduri și de accesare a serviciilor dvs..
Considerat pe scară largă ca fiind o versiune de 2A de generația a doua, ambele simplifică și consolidează protocolul actual. În plus, utilizarea cheilor U2F este aproape la fel de convenabilă ca deschiderea unui mesaj SMS sau a unei aplicații terțe.
Taste U2F utilizează o conexiune NFC sau USB. Când conectați dispozitivul la un cont pentru prima dată, acesta va genera un număr aleator numit a “Nonce.” Nonce este șters cu numele de domeniu al site-ului pentru a crea un cod unic.
Ulterior, puteți implementa cheia dvs. U2F conectându-l la dispozitiv și așteptând ca serviciul să o recunoască.
Deci, care este dezavantajul? Ei bine, chiar dacă U2F este un standard deschis, costă încă bani pentru a cumpăra o cheie fizică U2F. Și, poate, mai mult, sunteți în pericol de furt.
O cheie furată U2F nu vă face automat contul nesigur; un hacker ar trebui să știe încă parola ta. Dar într-o zonă publică, un hoț ar fi văzut văzând deja că vă introduceți parola de departe, înainte de a vă fura posesiunile.
Taste U2F pot fi costisitoare
Prețurile variază considerabil între producători, dar vă puteți aștepta să plătiți între aproximativ 15 și 50 de dolari.
În mod ideal, vrei să cumperi un model care să fie “Certificat FIDO.” Alianța FIDO (Fast IDentity Online) este responsabilă pentru realizarea interoperabilității între tehnologiile de autentificare. Membrii includ toți cei de la Google și Microsoft, la Bank of America și MasterCard.
Prin achiziționarea unui dispozitiv FIDO, puteți fi siguri că tasta U2F va funcționa cu toate serviciile pe care le utilizați în fiecare zi. Consultați cheia DIGIPASS SecureClick U2F dacă doriți să achiziționați una.
Digipass SecureClick Cheia de securitate FIDO U2F Digipass SecureClick Cheia de securitate FIDO U2F Cumpara acum la Amazon
Insecure 2FA este încă mai bună decât nr 2FA
Pentru a rezuma, cheile Universal 2nd Factor oferă un mediu fericit între ușurința utilizării și securitatea. SMS este abordarea cea mai puțin sigură, dar este, de asemenea, cea mai convenabilă.
Și amintiți-vă, orice 2FA este mai bun decât 2FA. Da, s-ar putea să vă dureze încă 10 secunde pentru a vă conecta la anumite aplicații, dar este mai bine decât sacrificarea securității.
Explorați mai multe despre: securizarea online, autentificarea în doi factori.