Proč lidé říkají, že dvoufaktorové ověřování není dokonalé

Když byla poprvé představena dvoufaktorová autentizace, způsobila revoluci v zabezpečení zařízení a pomohla mnohem ztížit krádež identity – za mírnou cenu drobných nepříjemností spojených s přihlašováním.

Obsah

  • Co je to vlastně dvoufaktorová autentizace?
  • To zní docela bezpečně. Co je za problém?
  • Mám nadále používat dvoufaktorové ověřování?
  • Jak lze zlepšit dvoufaktorovou autentizaci?

Ale není to dokonalé a ani to nevyřešilo všechny naše problémy s hackováním a krádeží dat. Některé nedávné zprávy poskytly více kontextu pro to, jak hackeři obcházeli dvoufaktorové ověřování a narušovali část naší důvěry v něj.

Dvoufaktorová autentizace přes notebook.

Co je to vlastně dvoufaktorová autentizace?

Dvoufaktorová autentizace přidává další vrstvu zabezpečení do procesu přihlašování pro zařízení a služby. Dříve měla přihlášení jediný faktor pro ověřování – obvykle heslo nebo biometrické přihlášení, jako je skenování otisků prstů nebo Face ID, občas s přidáním bezpečnostních otázek. To poskytovalo určité zabezpečení, ale nebylo to zdaleka dokonalé, zvláště se slabými hesly nebo automaticky vyplněnými hesly (nebo pokud jsou přihlašovací databáze hacknuty a tyto informace se začnou objevovat na temném webu).

Příbuzný

  • Zde je důvod, proč lidé říkají, že se mají vyhnout základnímu MacBooku Pro M2 Pro
  • Dvoufaktorové ověřování SMS na Twitteru má problémy. Zde je návod, jak přepnout metody
  • Hesla jsou tvrdá a lidé jsou líní, ukazuje nová zpráva

Dvoufaktorová autentizace řeší tyto problémy přidáním druhého faktoru, což je další věc, kterou musí člověk udělat, aby zaručil, že je to skutečně on a že má oprávnění k přístupu. Obvykle to znamená odeslání kódu přes jiný kanál, jako je získání textové zprávy nebo e-mailu ze služby, které pak musíte zadat.

Příklad Duo autentizace.

Některé používají časově citlivé kódy (TOTP, Time-Based One Time Password) a některé používají jedinečné kódy spojené s konkrétním zařízením (HOTP, HMAC-based One Time Password). Některé komerční verze mohou dokonce používat další fyzické klíče, které musíte mít po ruce.

Doporučená videa

Funkce zabezpečení se stala tak běžnou, že jste si pravděpodobně zvykli na zprávy ve stylu: „Poslali jsme vám e-mail se zabezpečeným kódem k zadání, zkontrolujte váš spamový filtr, pokud jste jej neobdrželi.“ Je to nejběžnější u nových zařízení, a i když to trvá trochu času, je to obrovský skok v zabezpečení ve srovnání s jednofaktorovým metody. Ale jsou tu nějaké nedostatky.

To zní docela bezpečně. Co je za problém?

Nedávno vyšla zpráva od společnosti Sophos zabývající se kybernetickou bezpečností, která podrobně popisuje překvapivý nový způsob hackeři přeskakují dvoufaktorovou autentizaci: sušenky. Špatní herci byli „krádež souborů cookie“, což jim umožňuje přístup prakticky k jakémukoli typu prohlížeče, webové služby, e-mailového účtu nebo dokonce souboru.

Jak tito kyberzločinci získávají tyto soubory cookie? Sophos poznamenává, že botnet Emotet je jedním z takových malwarů, které kradou soubory cookie a cílí na data v prohlížečích Google Chrome. Lidé si také mohou zakoupit ukradené cookies prostřednictvím podzemních tržišť, což se proslavilo v nedávném případu EA, kdy přihlašovací údaje skončily na tržišti zvaném Genesis. Výsledkem bylo 780 gigabajtů ukradených dat, která byla použita k pokusu o vydírání společnosti.

I když se jedná o vysoce profilovaný případ, základní metoda existuje a ukazuje, že dvoufaktorová autentizace není zdaleka stříbrná kulka. Kromě pouhé krádeže souborů cookie existuje řada dalších problémů, které byly v průběhu let zjištěny:

  • Pokud má hacker získali vaše uživatelské jméno nebo heslo pro službu, mohou mít přístup k vašemu e-mailu (zejména pokud používáte stejné heslo) nebo telefonnímu číslu. To je problematické zejména u dvoufaktorové autentizace založené na SMS/textu, protože telefonní čísla lze snadno najít a lze je použít ke zkopírování telefonu (mimo jiné triky) a obdržení kódu v textové zprávě. Dá to více práce, ale odhodlaný hacker má stále jasnou cestu vpřed.
  • Samostatné aplikace pro dvoufaktorové ověřování, jako je Google Auth nebo Duo, jsou mnohem bezpečnější, ale míra přijetí je velmi nízká. Lidé obvykle nechtějí stahovat další aplikaci pouze z bezpečnostních důvodů pro jednu službu a pro organizace je mnohem jednodušší jednoduše se zeptat „E-mail nebo SMS?“ místo toho, aby zákazníci požadovali stažení a aplikace třetí strany. Jinými slovy, nejlepší typy dvoufaktorové autentizace se ve skutečnosti nepoužívají.
  • Někdy je resetování hesel příliš snadné. Zloději identity mohou získat dostatek informací o účtu, aby mohli zavolat zákaznický servis nebo najít jiné způsoby, jak požádat o nové heslo. Tím se často obchází jakákoliv dvoufaktorová autentizace a když funguje, umožňuje zlodějům přímý přístup k účtu.
  • Slabší formy dvoufaktorové autentizace nabízejí malou ochranu proti národním státům. Vlády mají nástroje, které mohou snadno čelit dvoufaktorové autentizaci, včetně monitorování SMS zpráv, vynucování bezdrátových operátorů nebo zachycování ověřovacích kódů jinými způsoby. To není dobrá zpráva pro ty, kteří chtějí způsoby, jak udržet svá data v soukromí před totalitnějšími režimy.
  • Mnoho schémat krádeže dat zcela obchází dvoufaktorové ověřování tím, že se místo toho zaměřují na oklamání lidí. Jen se podívejte všechny pokusy o phishing, které předstírají, že jsou z bank, vládní agentury, poskytovatelé internetu atd. s žádostí o důležité informace o účtu. Tyto phishingové zprávy mohou vypadat velmi reálně a mohou zahrnovat něco jako: „Potřebujeme vaše ověřovací kód na naší straně, abychom mohli také potvrdit, že jste majitelem účtu,“ nebo jiné triky získat kódy.

Mám nadále používat dvoufaktorové ověřování?

Absolutně. Ve skutečnosti byste měli projít své služby a zařízení a povolit dvoufaktorové ověřování tam, kde je k dispozici. Nabízí výrazně lepší zabezpečení proti problémům, jako je krádež identity, než jednoduché uživatelské jméno a heslo.

I dvoufaktorová autentizace založená na SMS je mnohem lepší než žádná. Ve skutečnosti Národní institut pro standardy a technologie kdysi doporučil nepoužívat SMS ve dvoufaktorové autentizaci, ale pak to příští rok vrátil zpět protože i přes nedostatky to stále stálo za to mít.

Pokud je to možné, zvolte metodu ověřování, která není připojena k textovým zprávám, a budete mít lepší formu zabezpečení. Také udržujte svá hesla silná a k jejich vygenerování použijte správce hesel pro přihlášení, pokud můžete.

Nastavení zabezpečení a soukromí se otevírají na MacBooku.

Jak lze zlepšit dvoufaktorovou autentizaci?

Velkým současným projektem je odklon od autentizace založené na SMS. Je možné, že dvoufaktorová autentizace přejde na několik aplikace třetích stran, jako je Duo, které odstraňují mnoho slabin spojených s procesem. A více vysoce rizikových polí se přesune do MFA neboli vícefaktorové autentizace, která přidává třetí požadavek, jako je otisk prstu nebo další bezpečnostní otázky.

Ale nejlepší způsob, jak odstranit problémy s dvoufaktorovou autentizací, je zavést fyzický aspekt založený na hardwaru. Společnosti a vládní agentury to již začínají vyžadovat pro určité úrovně přístupu. V blízké budoucnosti existuje reálná šance, že všichni budeme mít v peněženkách přizpůsobené ověřovací karty, které budou připraveny k přejetí na naše zařízení při přihlašování do služeb. Možná to teď zní divně, ale s prudký nárůst kybernetických útoků, mohlo by to skončit jako nejelegantnější řešení.

Doporučení redakce

  • Proč Nvidia RTX 4060 Ti prostě nestačí pro rok 2023
  • Řady hackerů explodují – zde je návod, jak se můžete chránit
  • Proč anonymní režim Google Chrome není tím, za co se vydává
  • Zde je důvod, proč lidé říkají, že Nvidia RTX 4090 nestojí za čekání
  • Zde je důvod, proč lidé říkají, že si mají koupit M1 MacBook Air místo M2

Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.