Защо хората казват, че двуфакторното удостоверяване не е перфектно

Когато двуфакторното удостоверяване беше въведено за първи път, то направи революция в сигурността на устройството и помогна да направи кражбата на самоличност много по-трудна – с леката цена на дребно неудобство, добавено към влизанията.

Но това не е перфектно, нито е решило всичките ни проблеми с хакерството и кражбата на данни. Някои скорошни новини предоставиха повече контекст за това как хакерите заобикалят двуфакторното удостоверяване и подкопават част от нашето доверие в него.

Какво точно е двуфакторна автентификация?

Двуфакторното удостоверяване добавя допълнителен слой сигурност към процеса на влизане за устройства и услуги. Преди влизанията имаха един фактор за удостоверяване - обикновено парола или биометрично влизане като сканиране на пръстов отпечатък или Face ID, понякога с добавяне на въпроси за сигурност. Това осигури известна сигурност, но далеч не беше перфектно, особено със слаби пароли или автоматично попълнени пароли (или ако базите данни за вход са хакнати и тази информация започне да се показва в тъмната мрежа).

Двуфакторното удостоверяване решава тези проблеми чрез добавяне на втори фактор, друго нещо, което човек трябва да направи, за да гарантира, че това наистина е той и има правомощия за достъп. Обикновено това означава изпращане на код през друг канал, като получаване на текстово съобщение или имейл от услугата, които след това трябва да въведете.

Някои използват чувствителни към времето кодове (TOTP, Time-Based One Time Password), а други използват уникални кодове, свързани с конкретно устройство (HOTP, HMAC-based One Time Password). Някои търговски версии може дори да използват допълнителни физически ключове, които трябва да имате под ръка.

Функцията за защита е станала толкова често срещана, че вероятно сте свикнали да виждате съобщения от рода на „Изпратихме ви имейл със защитен код за въвеждане, моля, проверете вашия спам филтър, ако не сте го получили.“ Това е най-често срещано за нови устройства и макар да отнема малко време, това е огромен скок в сигурността в сравнение с еднофакторния методи. Но има някои недостатъци.

Това звучи доста сигурно. Какъв е проблема?

Наскоро излезе доклад от компанията за киберсигурност Sophos, който подробно описва изненадващ нов начин за това хакерите прескачат двуфакторното удостоверяване: бисквитки. Лошите актьори са „крали бисквитки“, което им дава достъп до практически всякакъв вид браузър, уеб услуга, имейл акаунт или дори файл.

Как тези киберпрестъпници получават тези бисквитки? Е, Sophos отбелязва, че ботнетът Emotet е един такъв злонамерен софтуер за кражба на бисквитки, който е насочен към данни в браузърите Google Chrome. Хората също могат да купуват откраднати бисквитки чрез подземни пазари, което стана известно в неотдавнашния случай на EA, където данните за вход се озоваха на пазар, наречен Genesis. Резултатът беше 780 гигабайта откраднати данни, които бяха използвани за опит за изнудване на компанията.

Въпреки че това е нашумял случай, основният метод е там и показва, че двуфакторното удостоверяване далеч не е сребърен куршум. Освен само кражбата на бисквитки, има редица други проблеми, които са идентифицирани през годините:

• Ако хакер има се сдоби с вашето потребителско име или парола за услуга, може да имат достъп до вашия имейл (особено ако използвате същата парола) или телефонен номер. Това е особено проблематично за двуфакторно удостоверяване, базирано на SMS/текст, тъй като телефонните номера са лесни за намиране и могат да се използват за копиране на телефона ви (наред с други трикове) и получаване на текстовия код. Отнема повече работа, но решителният хакер все още има ясен път напред.
• Отделните приложения за двуфакторно удостоверяване, като Google Auth или Duo, са много по-сигурни, но нивата на приемане са много ниски. Хората са склонни да не искат да изтеглят друго приложение само за целите на сигурността за една услуга и организации намират за много по-лесно просто да попитат „Имейл или текстово съобщение?“ вместо да изискват клиентите да изтеглят a приложение на трета страна. С други думи, най-добрите видове двуфакторно удостоверяване всъщност не се използват.
• Понякога паролите са твърде лесни за нулиране. Крадците на самоличност могат да съберат достатъчно информация за акаунт, за да се обадят на обслужване на клиенти или да намерят други начини да поискат нова парола. Това често заобикаля всяко включено двуфакторно удостоверяване и, когато работи, позволява на крадците директен достъп до акаунта.
• По-слабите форми на двуфакторна автентификация предлагат малка защита срещу национални държави. Правителствата разполагат с инструменти, които могат лесно да се противопоставят на двуфакторното удостоверяване, включително наблюдение на SMS съобщения, принуждаване на безжични оператори или прихващане на кодове за удостоверяване по други начини. Това не е добра новина за тези, които искат начини да запазят данните си поверителни от по-тоталитарни режими.
• Много схеми за кражба на данни заобикалят изцяло двуфакторното удостоверяване, като вместо това се фокусират върху заблуда на хората. Просто погледнете всички опити за фишинг, които се преструват, че са от банки, правителствени агенции, интернет доставчици и др., които искат важна информация за акаунта. Тези фишинг съобщения могат да изглеждат много реални и може да включват нещо като „Нуждаем се от вашите код за удостоверяване от наша страна, за да можем също така да потвърдим, че сте титуляр на акаунта“, или други трикове за вземете кодове.

Трябва ли да продължа да използвам двуфакторно удостоверяване?

Абсолютно. Всъщност трябва да прегледате вашите услуги и устройства и да активирате двуфакторно удостоверяване, където е налично. Предлага значително по-добра сигурност срещу проблеми като кражба на самоличност, отколкото просто потребителско име и парола.

Дори базираното на SMS двуфакторно удостоверяване е много по-добро от никакво. Всъщност Националният институт за стандарти и технологии веднъж препоръча да не се използва SMS при двуфакторно удостоверяване, но след това върна това на следващата година защото, въпреки недостатъците, все още си заслужаваше.

Когато е възможно, изберете метод за удостоверяване, който не е свързан с текстови съобщения, и ще имате по-добра форма на сигурност. Освен това поддържайте паролите си силни и използвайте мениджър на пароли, за да ги генерирате за влизания, ако може.

Как може да се подобри двуфакторното удостоверяване?

Отдалечаването от удостоверяване, базирано на SMS, е големият настоящ проект. Възможно е двуфакторното удостоверяване да премине към няколко приложения на трети страни като Duo, които премахват много от слабостите, свързани с процеса. И повече полета с висок риск ще се преместят в MFA или многофакторно удостоверяване, което добавя трето изискване, като пръстов отпечатък или допълнителни въпроси за сигурност.

Но най-добрият начин да премахнете проблемите с двуфакторното удостоверяване е да въведете физически, хардуерен аспект. Компаниите и държавните агенции вече започват да изискват това за определени нива на достъп. В близко бъдеще има голяма вероятност всички да имаме персонализирани карти за удостоверяване в портфейлите си, готови да плъзнем към устройствата си, когато влизаме в услуги. Сега може да звучи странно, но с рязко нарастване на атаките срещу киберсигурността, може да се окаже най-елегантното решение.

Препоръки на редакторите

• Защо Nvidia RTX 4060 Ti просто не е достатъчна за 2023 г
• Ранговете на хакерите експлодират - ето как можете да се защитите
• Защо инкогнито режимът на Google Chrome не е това, за което се представя
• Ето защо хората казват, че Nvidia RTX 4090 не си струва да чакате
• Ето защо хората казват да купите M1 MacBook Air вместо M2

Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.