Tartalomjegyzék:
Ezen a héten visszatértek a fenéktelen postaládámba, hogy megvitassam egy másik kérdést a két tényezős hitelesítésről (2FA). Ez egy olyan téma, amelyet már érintettem, de a kérdéseim mennyiségét és specifikáját tekintve, amivel kapcsolatban velem érkezett, ez egyértelműen egy olyan kérdés, amelyre sok ember gondolkodik. Mivel a 2FA-t úgy gondolom, mint az egyetlen legjobb dolgot, amelyet a szokásos emberek megtehetnek azért, hogy online biztonságban maradjanak, több mint örülök, hogy végtelenségig beszélek róla.
A mai kérdés Tedtől származik, aki azt kérdezte, hogy vajon a 2FA rendszerek valóban olyanok-e, amelyekre meg vannak repedve. Felhívjuk figyelmét, hogy Ted levelét röviden szerkesztettük. Ted az üzenetét azzal indítja, hogy hivatkozom a 2FA más írásaimra.
Írta: "Miután regisztrálta a biztonsági kulcsot, az SMS-kódok biztonsági mentési lehetőség lesz, ha elveszíti vagy nem tudja elérni a kulcsát." Ha ez igaz, akkor miért biztonságosabb ez az eszköz, mint a 2FA SMS-kód? Ahogy Ön is írta: "De a telefonokat el lehet lopni, és a SIM-aljzat nyilvánvalóan olyan dolog, amelyet most aggódnunk kell."
Mi akadályozhatja meg, hogy valaki azt mondja a Google-nak, hogy Ön vagy, elvesztette a biztonsági kulcsot, és SMS-kódra van szüksége az ellopott / elosztott telefonjára? Ha ezt helyesen megértem, akkor ez az eszköz nem biztonságosabb, mint a 2FA SMS szövegek. Sokkal kényelmesebb, ez biztos, de nem látom, mennyire biztonságosabb.
Vajon ennek előnye az, hogy a biztonsági kulcs növeli a biztonságot, de csak azért, mert valószínűbb, hogy használja, nem azért, mert természetéből következően biztonságosabb, mint a 2FA? Mi hiányzik?
Semmi hiányzik, Ted. Valójában okos az, hogy felvet egy olyan alapvető kérdést, amely az online hitelesítéshez kapcsolódó sok biztonság alapjául szolgál: hogyan tudja biztonságosan ellenőrizni, hogy kik az emberek, anélkül hogy ez lehetetlenné tenné számuk helyreállítását?
A 2FA alapjai
Először fedezzük fel az alapokat. A két tényezős hitelesítés, vagy a 2FA egy biztonsági koncepció, ahol két lehetséges személyazonossági igazolást, úgynevezett tényezőket kell bemutatnia a lehetséges három listából.
- Valami, amit tudsz , például egy jelszó.
- Van valami, például telefonod.
- Valami vagy , például ujjlenyomata.
Gyakorlatilag a 2FA gyakran egy második dolgot jelent, amelyet a jelszó megadása után tesz, hogy bejelentkezzen egy webhelyre vagy szolgáltatásra. A jelszó az első tényező, a második pedig lehet SMS-üzenet, amelyet egy speciális kóddal küld a telefonjára, vagy az Apple FaceIDjének használata iPhone-on. Az ötlet az, hogy míg a jelszó kitalálható vagy ellopható, kevésbé valószínű, hogy a támadó megszerezheti mind a jelszavát, mind a második tényezőjét.
Ted levelében kifejezetten a hardver 2FA kulcsairól kérdezi. A Yubico YubiKey sorozat talán a legismertebb lehetőség, de messze nem az egyetlen lehetőség. A Google-nak saját Titan Security kulcsa van, és a Nitrokey nyílt forráskódú kulcsot kínál, mindössze kettő megnevezésére.
A gyakorlati buktatók
Egyetlen biztonsági rendszer sem tökéletes, és a 2FA sem különbözik egymástól. Guemmy Kim, a Google Fiókbiztonsági csapata termékmenedzsment vezetője, helyesen rámutatott, hogy sok olyan rendszer, amelyre számlák helyreállítására és a 2FA-ra támaszkodunk, érzékenyek az adathalászatra. A rossz fiúk itt hamis webhelyeket használnak, hogy becsapják téged a személyes adatok bevitelekor.
Az egyik leg egzotikusabb támadás a SIM-kártya eldobása, ahol a támadó klónozza a SIM-kártyát, vagy arra készteti a telefon társaságát, hogy törölje a SIM-kártya regisztrációját azért, hogy elfogja az SMS-üzeneteket. Ebben a forgatókönyvben a támadó nagyon hatékonyan megszemélyesíthet téged, mivel a telefonszámot maguknak használhatják.
Egy nem túl egzotikus támadás egyértelműen régi veszteség és lopás. Ha a telefon vagy a telefonon lévő alkalmazás az elsődleges hitelesítő, és elveszíti, akkor ez fejfájást okoz. Ugyanez vonatkozik a hardver kulcsokra. Bár a hardver biztonsági kulcsokat, például a Yubico YubiKey-t nehéz megtörni, nagyon könnyű elveszíteni őket.
A fiók helyreállítási problémája
Ted rámutatott levelében, hogy sok vállalat megköveteli egy második 2FA módszer beállítását egy hardver biztonsági kulcs mellett. A Google például megköveteli, hogy vagy SMS-t használjon, telepítse a vállalati hitelesítő alkalmazást, vagy regisztrálja készülékét, hogy megkapja a push értesítéseket a Google-tól, amelyek igazolják fiókját. Úgy tűnik, hogy a három opció közül legalább az egyikre szükség van másolatként más használt 2FA opciókhoz, például a Titan-kulcsokhoz a Google-tól.
Még ha második biztonsági kulcsot is biztonsági másolatként regisztrált, akkor is engedélyeznie kell az SMS-t, a Google Hitelesítőt vagy a push értesítéseket. Nevezetesen, ha a Google speciális védelmi programját szeretné használni, akkor egy második kulcs regisztrálására van szükség.
Hasonlóképpen, a Twitter azt is megköveteli, hogy az opcionális hardver biztonsági kulcs mellett SMS-kódokat vagy hitelesítő alkalmazást is használjon. Sajnos a Twitter egyszerre csak egy biztonsági kulcsot enged be.
Amint Ted rámutatott, ezek az alternatív módszerek technikailag kevésbé biztonságosak, mint önmagában a biztonsági kulcs használata. Csak azt tudom kitalálni, hogy miért éppen ezeket a rendszereket hajtották végre, de gyanítom, hogy biztosak akarnak lenni abban, hogy ügyfeleik mindig hozzáférhessenek a számláikhoz. Az SMS-kódok és a hitelesítő alkalmazások időben tesztelt lehetőségek, amelyeket az emberek könnyen megértenek, és nem igényelnek további eszközök vásárlását. Az SMS-kódok az eszközlopások problémájával is foglalkoznak. Ha elveszíti telefonját vagy ellopták, távolról lezárhatja, eltávolíthatja a SIM-kártya jogosultságát, és kaphat egy új telefont, amely képes fogadni az SMS-kódokat az online visszatéréshez.
Személy szerint szeretek, hogy többféle lehetőség álljon rendelkezésre, mert míg a biztonság iránti aggódásomban is ismerem magamat, és tudom, hogy elég rendszeresen elveszítek vagy megrontom a dolgokat. Tudom, hogy azok az emberek, akik még soha nem használtak 2FA-t, nagyon aggódnak amiatt, hogy a fiókjukból kizártak, ha 2FA-t használnak.
A 2FA valójában nagyon jó
Mindig fontos megérteni a biztonsági rendszerek hátrányait, de ez nem érvényteleníti a rendszert. Noha a 2FA-nak gyengeségei vannak, rendkívül sikeres volt.
Megint csak a Google felé kell figyelnünk. A társaság belsőleg kérte a hardver 2FA kulcsok használatát, és az eredmények magukért beszélnek. A Google alkalmazottainak sikeres számlaátvétele ténylegesen eltűnt. Ez különösen fontos, figyelembe véve, hogy a Google alkalmazottai - a technológiai iparban betöltött pozíciójukkal és (feltételezett) vagyonukkal szemben - elsődleges fontosságúak a célzott támadásokhoz. A támadók itt nagy erőfeszítéseket tesznek arra, hogy megtámadjanak egy adott személyt. Ez ritka, és általában sikeres, ha a támadó elegendő pénzzel és türelmével rendelkezik.
Fontos, hogy a Google egyfajta 2FA-t igényelt: hardver biztonsági kulcsokat. Ezeknek az az előnye, hogy más 2FA-sémákhoz viszonyítva nagyon nehéz nevezni vagy más módon elfogni. Néhányan lehetetlennek mondhatják, de láttam, hogy mi történt a Titanicnal, és jobban tudom.
Ennek ellenére a 2FA SMS kódok vagy a hitelesítő tokenek elfogásának módjai meglehetősen egzotikusak és nem igazán méretezhetők. Ez azt jelenti, hogy valószínűtlen, hogy egy átlagos bűnöző felhasználja őket, aki a lehető leggyorsabban és könnyebben keres pénzt egy átlagos személynél, mint te.
Ted szempontjából: a hardver biztonsági kulcsok a legbiztonságosabbak a 2FA végrehajtására. Nagyon nehéz megszerezni őket, és nagyon nehéz megtámadni, bár ők nem rendelkeznek vele járó gyengeségeikkel. Ezenkívül a 2FA hardverkulcsok bizonyos mértékben jövőbiztosak. Sok vállalat elmozdul az SMS-kódoktól, és néhányan már olyan jelszó nélküli bejelentkezéseket is elfogadtak, amelyek teljes mértékben a FIDO2 szabványt használó hardver 2FA kulcsokra támaszkodnak. Ha most hardverkulcsot használ, akkor nagy esély van arra, hogy biztonságban lesz az elkövetkező években.
- Kétfaktoros hitelesítés: ki rendelkezik és hogyan állíthatja be Kétfaktoros hitelesítés: ki rendelkezik és hogyan kell beállítani
- Google: A két tényezőt legyőző adathalász támadások száma növekszik Google: A két tényezőket legyőző adathalász támadások száma növekszik
- SecurityWatch: Hogyan ne kerülhessen ki a két tényezővel történő hitelesítés SecurityWatch: Hogyan ne szabaduljunk ki két tényezős hitelesítéssel
Akár olyan biztonságos, mint a hardver 2FA kulcsok, a nagyobb ökoszisztéma bizonyos kompromisszumokat igényel annak érdekében, hogy feleslegesen kizárja Önt a fiókjából. A 2FA-nak olyan technológiának kell lennie, amelyet az emberek ténylegesen használnak, különben semmit sem ér.
Figyelembe véve a választást, azt hiszem, a legtöbb ember alkalmazást és SMS-alapú 2FA opciókat fog használni, mivel ezek könnyebben beállíthatók és hatékonyan ingyenesek. Lehet, hogy nem a lehető legjobb lehetőségek, de a legtöbb ember számára nagyon jól működnek. Ez azonban hamarosan megváltozhat, most, hogy a Google hardver biztonsági kulcsként lehetővé teszi az Android 7.0 vagy újabb verziót futtató mobil eszköz használatát.
Korlátozásainak ellenére a 2FA valószínűleg az egyetlen legjobb dolog a fogyasztói biztonság szempontjából az antivírus óta. Ügyesen és hatékonyan megakadályozza a leg pusztítóbb támadásokat, mindezt anélkül, hogy az emberek életébe túl sok bonyolultságot keltenének. Azonban úgy dönt, hogy a 2FA-t használja, válasszon egy módszert, amely ésszerű az Ön számára. A 2FA használata nem sokkal károsabb, mint egy kissé kevésbé jó 2FA aroma használata.
