Sisällysluettelo:
- 2FA: n perusteet
- Käytännölliset sudenkuopat
- Tilin palauttamisen ongelma
- 2FA on oikeastaan erittäin hyvä
Video: Kohti vaikuttavuuslähtöistä toimintaa -webinaari (Lokakuu 2024)
Tällä viikolla kaivaudun takaisin pohjattomaan postilaukkuihini käsittelemään toista kysymystä kaksifaktorisesta todennuksesta (2FA). Se on aihe, jota olen koskettanut aiemmin, mutta päätellen siitä saatujen kysymysten määrästä ja spesifisyydestä se on selvästi kysymys, jota monet ihmiset ajattelevat. Koska katson 2FA: ta ehkä parhaaksi, jota tavalliset ihmiset voivat tehdä pysyäkseen turvassa verkossa, olen enemmän kuin mielelläni puhunut siitä loputtomasti.
Päivän kysymys tulee Tediltä, joka kirjoitti kysyessään, ovatko 2FA-järjestelmät todella kaikki, joihin ne ovat murtuneet. Huomaa, että Tedin kirje on muokattu lyhyyden vuoksi. Ted aloittaa viestinsä viittaamalla joihinkin muihin kirjoituksiini 2FA: lla.
Kirjoitit "Kun olet rekisteröinyt suojausavaimen, SMS-salasanat ovat varmuuskopiovaihtoehto, jos kadotat tai et pääse avaimeesi." Jos tämä on totta, miksi tämä laite on turvallisempi kuin 2FA SMS-koodi? Kuten myös kirjoitit: "Mutta puhelimet voidaan varastaa ja SIM-korttien liittäminen on ilmeisesti asia, josta meidän on nyt huolehdittava."
Mikä estää jotakuta sanomasta Googlelle, että olet sinä, kadonnut suojausavaimen ja tarvitsevan SMS-koodin, joka lähetetään varastettuun / liitettyyn puhelimeesi? Jos ymmärrän tämän oikein, tämä laite ei ole siis turvallisempi kuin 2FA SMS-tekstit. Se on varmasti paljon mukavampaa, mutta en ymmärrä, kuinka se on turvallisempaa.
Onko kaiken tämän seurauksena se, että suojausavain lisää tietoturvaa, mutta vain siksi, että käytät sitä todennäköisemmin, ei siksi, että se on luonnostaan turvallisempi kuin 2FA? Mitä minulta puuttuu?
Sinusta ei puuttu mitään, Ted. Itse asiassa olet fiksu pohtimaan perustavanlaatuista kysymystä, joka perustuu paljon online-todennukseen liittyvään tietoturvaan: kuinka voit varmistaa henkilöiden turvallisuuden, tekemättä heidän tilien palauttamisen mahdotonta?
2FA: n perusteet
Tarkastellaan ensin joitain perusteita. Kaksikerroinen todennus, tai 2FA, on turvallisuuskonsepti, jossa sinun on esitettävä kaksi henkilöllisyystodistusta, nimeltään tekijät, luettelosta mahdollisista kolmesta.
- Jotain mitä tiedät , kuten salasana.
- Jotain sinulla, kuten puhelin.
- Jotain olet, kuten sormenjälkesi.
Käytännössä 2FA tarkoittaa usein toista asiaa, jonka teet kirjoittaessasi salasanasi kirjautuaksesi sivustoon tai palveluun. Salasana on ensimmäinen tekijä, ja toinen voi olla joko tekstiviesti, joka lähetetään puhelimeesi erityisellä koodilla, tai käyttämällä Applen FaceID -sovellusta iPhonessa. Ajatuksena on, että vaikka salasana voidaan arvata tai varastaa, on vähemmän todennäköistä, että hyökkääjä voi hankkia sekä salasanasi että toisen tekijän.
Ted kysyy kirjeessään erityisesti laitteisto 2FA-avaimia. Yubicon YubiKey-sarja on luultavasti tunnetuin vaihtoehto, mutta se ei kaukana ainoasta vaihtoehdosta. Googlella on omat Titan Security -avaimet ja Nitrokey tarjoaa avoimen lähdekoodin avaimen, vain kahden nimeämiseksi.
Käytännölliset sudenkuopat
Mikään turvajärjestelmä ei ole täydellinen, eikä 2FA ole eroa. Guemmy Kim, Googlen tilinturvallisuustiimin tuotejohtamisen johtaja, huomautti perustellusti, että monet järjestelmistä, joihin luotamme tilin palauttamisessa, ja 2FA ovat alttiita tietojenkalastelulle. Täällä pahat pojat käyttävät vääriä sivustoja huijataksesi sinut yksityisten tietojen syöttämiseen.
Yksi eksoottisimmista hyökkäyksistä olisi SIM-kortin purkaminen, jossa hyökkääjä kloonaa SIM-korttisi tai huijaa puhelinyhtiötä poistamaan SIM-kortin rekisteröinnin, jotta siepata tekstiviestisi. Tässä tilanteessa hyökkääjä voi hyvin tehokkaasti esiintyä sinussa, koska he voivat käyttää puhelinnumeroasi omaksi.
Ei-eksoottinen hyökkäys on selvästi vanha menetys ja varkaus. Jos puhelimesi tai puhelimesi sovellus on ensisijainen todentajasi ja menetät sen, siitä tulee päänsärky. Sama pätee laitteistoavaimiin. Vaikka laitteistoturva-avaimia, kuten Yubico YubiKey, on vaikea murtaa, ne ovat erittäin helppo kadottaa.
Tilin palauttamisen ongelma
Ted huomauttaa kirjeessään, että monet yritykset vaativat sinua määrittämään toisen 2FA-menetelmän laitteistoturva-avaimen lisäksi. Esimerkiksi Google vaatii, että käytät joko tekstiviestejä, asentamaan yrityksen todennussovellus tai rekisteröimällä laitteesi vastaanottamaan Googlelta push-ilmoituksia, jotka vahvistavat tilisi. Vaikuttaa siltä, että tarvitset ainakin yhden näistä kolmesta vaihtoehdosta kaikille käyttämillesi 2FA-vaihtoehdoille - kuten Googlen Titan-avaimille.
Vaikka rekisteröit toisen varmuuskopion varmuuskopiona, sinun on silti sallittava tekstiviestit, Google Authenticator tai push-ilmoitukset. Erityisesti, jos haluat käyttää Googlen Advanced Protection Program -sovellusta, toisen avaimen rekisteröinti vaaditaan.
Samoin Twitter vaatii valinnaisen laitteistoturva-avaimen lisäksi käyttämään joko SMS-koodeja tai todennussovellusta. Valitettavasti Twitter antaa sinun rekisteröidä vain yhden suojausavaimen kerrallaan.
Kuten Ted huomautti, nämä vaihtoehtoiset menetelmät ovat teknisesti vähemmän turvallisia kuin turva-avaimen käyttö itsessään. Voin vain arvata, miksi nämä järjestelmät otettiin käyttöön tällä tavalla, mutta epäilen, että he haluavat varmistaa, että asiakkaat pääsevät aina käyttämään tiliään. SMS-koodit ja todennussovellukset ovat aikatestattuja vaihtoehtoja, jotka ovat helppoja ymmärtää ihmisille ja jotka eivät vaadi heitä ostamaan lisälaitteita. SMS-koodit käsittelevät myös laitevarkausongelmia. Jos kadotat puhelimesi tai se varastetaan, voit lukita sen etäyhteyden avulla, poistaa SIM-kortin luvan ja saada uuden puhelimen, joka voi vastaanottaa tekstiviestejä palataksesi verkkoon.
Henkilökohtaisesti haluan, että käytettävissä on useita vaihtoehtoja, koska vaikka olen huolissani turvallisuudesta, tunnen myös itseni ja tiedän, että kadon tai rikkoan asiat melko säännöllisesti. Tiedän, että ihmiset, jotka eivät ole koskaan käyttäneet 2FA: ta aikaisemmin, ovat erittäin huolissaan siitä, että heidät lukitaan tililleen, jos he käyttävät 2FA: ta.
2FA on oikeastaan erittäin hyvä
On aina tärkeää ymmärtää minkä tahansa turvajärjestelmän haitat, mutta se ei mitätöi järjestelmää. Vaikka 2FA: lla on heikkouksia, se on ollut erittäin menestyvä.
Jälleen kerran meidän on vain otettava huomioon Google. Yhtiö vaati laitteisto-2FA-avainten käyttöä sisäisesti, ja tulokset puhuvat puolestaan. Google-työntekijöiden onnistuneet tilinotot katosivat käytännössä. Tämä on erityisen tärkeää, kun otetaan huomioon, että Googlen työntekijät ovat asemansa teknologiateollisuudessa ja (oletetut) vauraudet ovat ensisijaisia kohdistettuihin hyökkäyksiin. Täällä hyökkääjät käyttävät paljon ponnistuksia kohdistaakseen tiettyihin yksilöihin hyökkäyksessä. Se on harvinaista ja yleensä onnistunut, jos hyökkääjällä on riittävästi varoja ja kärsivällisyyttä.
Varoitus on, että Google vaati tietyn tyyppistä 2FA: laitteistoturva-avainta. Niillä on etuna muihin 2FA-järjestelmiin verrattuna, koska ne ovat erittäin vaikeita kalastaa tai muuten siepata. Jotkut saattavat sanoa mahdotonta, mutta näin mitä Titanicille tapahtui ja tiedän paremmin.
Silti menetelmät 2FA SMS -koodien tai autentikointitunnusten sieppaamiseksi ovat melko eksoottisia, eivätkä mitenkään mitoita hyvin. Tämä tarkoittaa, että todennäköisesti he eivät käytä keskimääräistä rikollista, joka haluaa ansaita rahaa mahdollisimman nopeasti ja helposti keskimääräisen ihmisen, kuten sinä.
Tedin huomautukseen: laitteistoturva-avaimet ovat turvallisin tapa, jonka olemme vielä nähneet tehdä 2FA. Heitä on erittäin vaikea kalastaa ja erittäin vaikea hyökätä, vaikka heillä ei olekin ominaisia heikkouksiaan. Lisäksi 2FA-laitteistoavaimet ovat jossain määrin tulevaisuuden suojattuja. Monet yritykset ovat siirtymässä SMS-koodeista, ja jotkut ovat jopa omaksuneet salasanattomat kirjautumistunnukset, jotka tukeutuvat täysin FIDO2-standardia käyttäviin laitteisto-2FA-avaimiin. Jos käytät laitteistoavainta nyt, sinulla on hyvät mahdollisuudet olla turvassa tulevina vuosina.
- Kaksitekijäinen todennus: kenellä se on ja kuinka se asennetaan Kaksitekijäinen todennus: kenellä se on ja kuinka se asennetaan
- Google: Tietokalasteluhyökkäykset, jotka voivat lyödä kaksifaktorisia, ovat nousussa Google: Tietokalasteluhyökkäykset, jotka voivat lyödä kaksifaktorisia, ovat nousussa
- SecurityWatch: Kuinka ei pääse lukkiutumaan kaksifaktorisella todennuksella SecurityWatch: Kuinka ei pääse lukkiutumaan kaksifaktorisella todennuksella
Niin turvalliset kuin 2FA-avaimet ovat, suurempi ekosysteemi vaatii joitain kompromisseja estääksesi sinua lukitsemasta tiliäsi tarpeettomasti. 2FA: n on oltava tekniikka, jota ihmiset todella käyttävät, tai muuten se ei ole minkään arvoinen.
Valinnan perusteella luulen, että useimmat ihmiset käyttävät sovellus- ja tekstiviestipohjaisia 2FA-vaihtoehtoja, koska niiden asentaminen on helpompaa ja tehokkaasti ilmainen. Nämä eivät ehkä ole parhaat mahdolliset vaihtoehdot, mutta ne toimivat erittäin hyvin useimmille ihmisille. Tämä saattaa kuitenkin muuttua pian, kun Google antaa sinun käyttää laitteistoavaimena mobiililaitetta, jossa on Android 7.0 tai uudempi.
Rajoituksistaan huolimatta 2FA on luultavasti paras asia kuluttajien turvallisuuteen virustentorjunnan jälkeen. Se estää siististi ja tehokkaasti joitain tuhoisimpia hyökkäyksiä, lisäämättä liikaa monimutkaisuutta ihmisten elämään. Päätät kuitenkin käyttää 2FA: ta, valitse menetelmä, joka on sinulle järkevä. 2FA: n käyttämättä jättäminen on paljon vahingollisempaa kuin lievästi 2FA-maun käyttäminen.
