Дом Securitywatch Securitywatch: действительно ли двухфакторная аутентификация делает вас более безопасным?

Securitywatch: действительно ли двухфакторная аутентификация делает вас более безопасным?

Оглавление:

Видео: whatsaper ru Недетские анекдоты про Вовочку (Ноябрь 2024)

Видео: whatsaper ru Недетские анекдоты про Вовочку (Ноябрь 2024)
Anonim

На этой неделе я копаюсь в своем бездонном почтовом пакете, чтобы решить еще один вопрос о двухфакторной аутентификации (2FA). Это тема, о которой я говорил ранее, но, судя по объему и специфике вопросов, которые я получил по этому поводу, это явно проблема, о которой думают многие люди. Поскольку я рассматриваю 2FA как, пожалуй, единственную лучшую вещь, которую обычные люди могут сделать, чтобы оставаться в безопасности в Интернете, я более чем рад бесконечно говорить об этом.

Сегодняшний вопрос пришел от Теда, который задал вопрос о том, действительно ли 2FA-системы - это все, что им нужно. Обратите внимание, что письмо Теда было отредактировано для краткости. Тед начинает свое послание, ссылаясь на некоторые другие мои статьи о 2FA.

Вы написали: «После того, как вы зарегистрируете свой ключ безопасности, пароли SMS станут резервным вариантом на случай, если вы потеряете или не сможете получить доступ к своему ключу». Если это так, то почему это устройство безопаснее, чем код 2FA SMS? Как вы также писали: «Но телефоны могут быть украдены, и использование SIM-карты, по-видимому, является проблемой, о которой мы сейчас должны беспокоиться».
Что может помешать кому-то сказать Google, что это вы, потеряли ключ безопасности и нуждаетесь в SMS-коде, отправленном на ваш украденный / взломанный телефон? Если я правильно понимаю, это устройство тогда не более безопасно, чем текстовые сообщения 2FA. Это намного удобнее, это точно, но я не вижу, как это более безопасно.
Результатом всего этого является то, что ключ безопасности повысит вашу безопасность, но только потому, что вы с большей вероятностью будете его использовать, а не потому, что он по своей природе более безопасен, чем 2FA? Чего мне не хватает?

Ты ничего не упустил, Тед. На самом деле, вы разумны, чтобы разобраться в фундаментальной проблеме, лежащей в основе безопасности, связанной с онлайн-аутентификацией: как вы надежно проверяете, кто такие люди, не делая невозможным восстановление их учетных записей?

Основы 2FA

Давайте сначала рассмотрим некоторые основы. Двухфакторная аутентификация, или 2FA, представляет собой концепцию безопасности, в которой необходимо представить два доказательства идентичности, называемые факторами, из списка возможных трех.

  • То, что вы знаете , например, пароль.
  • Что-то у вас есть , например, телефон.
  • То, что вы есть , например, ваш отпечаток пальца.

С практической точки зрения 2FA часто означает второе, что вы делаете после ввода пароля для входа на сайт или службу. Пароль является первым фактором, а вторым может быть либо SMS-сообщение, отправленное на ваш телефон со специальным кодом, либо использование Apple FaceID на iPhone. Идея состоит в том, что хотя пароль можно угадать или украсть, менее вероятно, что злоумышленник сможет получить как ваш пароль, так и ваш второй фактор.

В своем письме Тед спрашивает конкретно об аппаратных ключах 2FA. Серия YubicoKey от Yubico, вероятно, самая известная опция, но далеко не единственная. У Google есть свои собственные ключи безопасности Titan, а Nitrokey предлагает ключ с открытым исходным кодом, назовем только два.

Практические ловушки

Ни одна система безопасности не идеальна, и 2FA ничем не отличается. Guemmy Kim, руководитель отдела управления продуктами в Google Security Account, справедливо отметил, что многие системы, на которые мы полагаемся для восстановления аккаунта, и 2FA подвержены фишингу. Именно здесь плохие парни используют фальшивые сайты, чтобы обмануть вас и ввести личную информацию.

Умный злоумышленник может заразить ваш телефон трояном удаленного доступа, который позволит им просматривать или даже перехватывать коды подтверждения SMS, отправленные на ваше устройство. Или же они могут создать убедительную фишинговую страницу, чтобы заставить вас ввести одноразовый код, сгенерированный из приложения, такого как Google Authenticator. Даже мой вариант с бумажными резервными кодами мог быть перехвачен фишинговым сайтом, который обманул меня при вводе кода.

Одной из самых экзотических атак может быть взлом SIM-карты, когда злоумышленник клонирует вашу SIM-карту или обманывает вашу телефонную компанию, чтобы перерегистрировать SIM-карту для перехвата ваших SMS-сообщений. В этом случае злоумышленник может очень эффективно выдать себя за вас, поскольку он может использовать ваш номер телефона в качестве своего собственного.

Не очень экзотическая атака - это просто старая потеря и воровство. Если ваш телефон или приложение на вашем телефоне - ваш основной аутентификатор, и вы потеряете его, это будет головной болью. То же самое относится и к аппаратным ключам. Хотя аппаратные ключи безопасности, такие как Yubico YubiKey, сложно взломать, их очень легко потерять.

Yubico Yubikey Series 5 поставляется во многих различных конфигурациях.

Проблема восстановления аккаунта

В своем письме Тед отмечает, что многие компании требуют, чтобы вы установили второй метод 2FA, в дополнение к ключу безопасности оборудования. Например, Google требует, чтобы вы использовали либо SMS, либо установили приложение Authenticator, либо зарегистрировали свое устройство для получения push-уведомлений от Google, которые подтверждают вашу учетную запись. Похоже, вам нужен по крайней мере один из этих трех вариантов в качестве резервной копии для любого другого варианта 2FA, который вы используете, например ключей Titan от Google.

Даже если вы зарегистрируете второй ключ безопасности в качестве резервной копии, вам все равно нужно включить SMS, Google Authenticator или push-уведомления. В частности, если вы хотите использовать программу расширенной защиты Google, необходимо зарегистрировать второй ключ.

Точно так же Twitter также требует, чтобы вы использовали либо коды SMS, либо приложение-аутентификатор в дополнение к дополнительному ключу безопасности оборудования. К сожалению, Twitter позволяет зарегистрировать только один ключ безопасности одновременно.

Как указал Тед, эти альтернативные методы технически менее безопасны, чем сам по себе ключ безопасности. Я могу только догадываться, почему эти системы были реализованы таким образом, но я подозреваю, что они хотят, чтобы их клиенты всегда могли получить доступ к своим учетным записям. SMS-коды и приложения-аутентификаторы - проверенные временем варианты, которые легко понять и не требуют от них покупки дополнительных устройств. СМС-коды также решают проблему кражи устройства. Если вы потеряли свой телефон или его украли, вы можете удаленно заблокировать его, деавторизовать его SIM-карту и получить новый телефон, который может получать коды SMS, чтобы вернуться в онлайн.

Лично мне нравится иметь несколько доступных вариантов, потому что, хотя я обеспокоен безопасностью, я тоже знаю себя и знаю, что я регулярно теряю или ломаю вещи. Я знаю, что люди, которые никогда ранее не использовали 2FA, очень обеспокоены тем, что их заблокируют, если они будут использовать 2FA.

2FA на самом деле очень хорошо

Всегда важно понимать недостатки любой системы безопасности, но это не делает систему недействительной. Хотя у 2FA есть свои слабые стороны, она была чрезвычайно успешной.

Опять же, нам остается только взглянуть на Google. Компания потребовала использовать аппаратные 2FA-ключи внутри страны, и результаты говорят сами за себя. Успешные поглощения аккаунтов сотрудников Google фактически исчезли. Это особенно важно, если учесть, что сотрудники Google, с их положением в технологической отрасли и (предполагаемым) богатством, являются главными для целевых атак. Именно здесь злоумышленники тратят большие усилия, чтобы нацеливаться на конкретных людей в атаке. Это редко и обычно успешно, если у злоумышленника достаточно средств и терпения.

Набор ключей безопасности Google Titan включает ключи USB-A и Bluetooth.

Предостережение заключается в том, что Google требуется определенный тип 2FA: аппаратные ключи безопасности. Они имеют преимущество перед другими схемами 2FA, поскольку их очень трудно фишировать или иным образом перехватывать. Некоторые могут сказать, что это невозможно, но я видел, что случилось с Титаником, и знаю лучше.

Тем не менее методы перехвата 2FA-кодов SMS или токенов аутентификатора довольно экзотичны и не очень хорошо масштабируются. Это означает, что они вряд ли будут использоваться обычным преступником, который хочет заработать немного денег как можно быстрее и проще для обычного человека, такого как вы.

С точки зрения Теда: аппаратные ключи безопасности являются наиболее безопасным способом из 2FA. Их очень трудно фишировать и очень трудно атаковать, хотя они не лишены присущих им слабостей. Более того, аппаратные ключи 2FA в определенной степени рассчитаны на будущее. Многие компании отказываются от использования SMS-кодов, а некоторые даже используют логин без пароля, полностью основанный на аппаратных ключах 2FA, использующих стандарт FIDO2. Если вы используете аппаратный ключ сейчас, есть большая вероятность, что вы будете в безопасности на долгие годы.

Nitrokey FIDO U2F обещает безопасность с открытым исходным кодом.

  • Двухфакторная аутентификация: у кого она есть и как ее настроить Двухфакторная аутентификация: у кого она и как ее настроить
  • Google: фишинговые атаки, которые могут победить двухфакторный, на подъеме Google: фишинговые атаки, которые могут победить двухфакторный, нарастают
  • SecurityWatch: как не получить блокировку с помощью двухфакторной аутентификации SecurityWatch: как не получить блокировку с помощью двухфакторной аутентификации

Как бы ни были безопасны аппаратные ключи 2FA, большая экосистема требует некоторых компромиссов, чтобы избежать ненужной блокировки вашей учетной записи. 2FA должна быть технологией, которую на самом деле используют люди, иначе она вообще ничего не стоит.

Учитывая выбор, я думаю, что большинство людей будут использовать опции 2FA для приложений и SMS-сообщений, поскольку их проще в настройке и эффективно бесплатно. Это могут быть не самые лучшие варианты, но они работают очень хорошо для большинства людей. Однако это может скоро измениться, теперь, когда Google позволяет использовать мобильное устройство под управлением Android 7.0 или более поздней версии в качестве ключа безопасности оборудования.

Несмотря на свои ограничения, 2FA, пожалуй, единственная лучшая вещь для обеспечения безопасности потребителя со времен антивируса. Он аккуратно и эффективно предотвращает некоторые из самых разрушительных атак, не добавляя при этом чрезмерной сложности жизни людей. Однако вы решите использовать 2FA, выберите метод, который имеет смысл для вас. Не использовать 2FA намного вреднее, чем использовать немного менее вкусный 2FA.

Securitywatch: действительно ли двухфакторная аутентификация делает вас более безопасным?