Hvorfor folk siger to-faktor-godkendelse er ikke perfekt

Da tofaktorautentificering først blev introduceret, revolutionerede det enhedssikkerhed og hjalp med at gøre identitetstyveri meget vanskeligere – til den lille pris af mindre besvær tilføjet til logins.

Men det er ikke perfekt, og det har heller ikke løst alle vores hacking- og datatyveriproblemer. Nogle seneste nyheder har givet mere kontekst for, hvordan hackere har omgået to-faktor-autentificering og eroderet noget af vores tillid til det.

Hvad er to-faktor autentificering helt præcist?

To-faktor autentificering tilføjer et ekstra lag af sikkerhed til login-processen for enheder og tjenester. Tidligere havde logins en enkelt faktor til godkendelse - typisk en adgangskode eller et biometrisk login som en fingeraftryksscanning eller Face ID, lejlighedsvis med tilføjelse af sikkerhedsspørgsmål. Det gav en vis sikkerhed, men det var langt fra perfekt, især med svage adgangskoder eller autoudfyldte adgangskoder (eller hvis login-databaser er hacket, og den information begynder at dukke op på det mørke web).

To-faktor autentificering løser disse problemer ved at tilføje en anden faktor, en anden ting, en person skal gøre for at garantere, at det virkelig er dem, og at de har autoritet til at få adgang. Typisk betyder det at få tilsendt en kode via en anden kanal, som at få en sms eller e-mail fra tjenesten, som du så skal indtaste.

Nogle bruger tidsfølsomme koder (TOTP, Time-Based One Time Password), og nogle bruger unikke koder forbundet med en bestemt enhed (HOTP, HMAC-baseret One Time Password). Visse kommercielle versioner kan endda bruge yderligere fysiske nøgler, som du skal have ved hånden.

Sikkerhedsfunktionen er blevet så almindelig, at du sikkert er vant til at se beskeder i stil med: "Vi har sendt dig en e-mail med en sikker kode du skal indtaste, tjek venligst dit spamfilter, hvis du ikke har modtaget det." Det er mest almindeligt for nye enheder, og selvom det tager lidt tid, er det et stort spring i sikkerhed sammenlignet med en faktor metoder. Men der er nogle mangler.

Det lyder ret sikkert. Hvad er problemet?

En rapport udkom for nylig fra cybersikkerhedsfirmaet Sophos, der beskriver en overraskende ny måde hackere springer over tofaktorautentificering: cookies. Dårlige skuespillere har "tyveret cookies", hvilket giver dem adgang til stort set enhver form for browser, webtjeneste, e-mail-konto eller endda fil.

Hvordan får disse cyberkriminelle disse cookies? Nå, Sophos bemærker, at Emotet-botnettet er et sådant cookie-stjælende stykke malware, der retter sig mod data i Google Chrome-browsere. Folk kan også købe stjålne cookies gennem underjordiske markedspladser, hvilket blev gjort berømt i den nylige EA-sag, hvor login-oplysningerne endte på en markedsplads kaldet Genesis. Resultatet var 780 gigabyte stjålne data, der blev brugt til at forsøge at afpresse virksomheden.

Selvom det er en højprofileret sag, er den underliggende metode derude, og den viser, at to-faktor autentificering er langt fra en sølvkugle. Udover blot at stjæle cookies, er der en række andre problemer, der er blevet identificeret gennem årene:

• Hvis en hacker har fået fat i dit brugernavn eller adgangskode til en tjeneste, kan de have adgang til din e-mail (især hvis du bruger den samme adgangskode) eller dit telefonnummer. Dette er især problematisk for SMS/tekst-baseret to-faktor autentificering, fordi telefonnumre er nemme at finde og kan bruges til at kopiere din telefon (blandt andre tricks) og modtage den tekstede kode. Det kræver mere arbejde, men en beslutsom hacker har stadig en klar vej frem.
• Separate apps til to-faktor-godkendelse, som Google Auth eller Duo, er langt mere sikre, men adoptionsraterne er meget lave. Folk har en tendens til ikke at ville downloade en anden app kun af sikkerhedsmæssige årsager for en enkelt tjeneste, og organisationer finder det meget nemmere blot at spørge "e-mail eller sms?" i stedet for at kræve, at kunderne downloader en tredjeparts app. Med andre ord bliver de bedste typer tofaktorautentificering ikke rigtig brugt.
• Nogle gange er adgangskoder for nemme at nulstille. Identitetstyve kan indsamle nok oplysninger om en konto til at ringe til kundeservice eller finde andre måder at anmode om en ny adgangskode på. Dette omgår ofte enhver involveret to-faktor-godkendelse, og når det virker, giver det tyvene direkte adgang til kontoen.
• Svagere former for tofaktorautentificering giver ringe beskyttelse mod nationalstater. Regeringer har værktøjer, der nemt kan imødegå to-faktor-godkendelse, herunder overvågning af SMS-beskeder, tvinge trådløse operatører eller opsnappe godkendelseskoder på andre måder. Det er ikke gode nyheder for dem, der ønsker måder at holde deres data private fra mere totalitære regimer.
• Mange datatyveriordninger omgår to-faktor-godkendelse fuldstændigt ved at fokusere på at narre mennesker i stedet for. Bare se på alle de phishing-forsøg, der foregiver at være fra banker, offentlige myndigheder, internetudbydere osv., der beder om vigtige kontooplysninger. Disse phishing-beskeder kan se meget virkelige ud og kan involvere noget som: "Vi har brug for din autentificeringskode på vores ende, så vi også kan bekræfte, at du er kontoindehaver,” eller andre tricks til få koder.

Skal jeg blive ved med at bruge to-faktor-godkendelse?

Absolut. Faktisk bør du gå gennem dine tjenester og enheder og aktivere to-faktor-godkendelse, hvor det er tilgængeligt. Det giver betydeligt bedre sikkerhed mod problemer som identitetstyveri end et simpelt brugernavn og adgangskode.

Selv SMS-baseret to-faktor-godkendelse er meget bedre end ingen overhovedet. Faktisk har National Institute of Standards and Technology engang anbefalet at bruge SMS i to-faktor-godkendelse, men så rullede det tilbage næste år fordi den trods fejlene stadig var værd at have.

Når det er muligt, skal du vælge en godkendelsesmetode, der ikke er forbundet med tekstbeskeder, og du vil have en bedre form for sikkerhed. Hold også dine adgangskoder stærke og bruge en password manager til at generere dem for logins, hvis du kan.

Hvordan kan to-faktor autentificering forbedres?

At bevæge sig væk fra SMS-baseret godkendelse er det store aktuelle projekt. Det er muligt, at to-faktor-godkendelse vil overgå til en håndfuld af tredjepartsapps som Duo, som fjerner mange af de svagheder, der er forbundet med processen. Og flere højrisikofelter vil flytte til MFA eller multi-faktor autentificering, som tilføjer et tredje krav, såsom et fingeraftryk eller yderligere sikkerhedsspørgsmål.

Men den bedste måde at fjerne problemer med tofaktorautentificering på er at introducere et fysisk, hardwarebaseret aspekt. Virksomheder og offentlige myndigheder er allerede begyndt at kræve det for visse adgangsniveauer. I den nærmeste fremtid er der en rimelig chance for, at vi alle vil have tilpassede godkendelseskort i vores tegnebøger, klar til at swipe på vores enheder, når du logger på tjenester. Det lyder måske mærkeligt nu, men med kraftig stigning i cybersikkerhedsangreb, kan det ende med at blive den mest elegante løsning.

Redaktørens anbefalinger

• Hvorfor Nvidia RTX 4060 Ti simpelthen ikke er nok til 2023
• Hackerrækker eksploderer - her er, hvordan du kan beskytte dig selv
• Hvorfor Google Chrome Inkognitotilstand ikke er, hvad den hævder at være
• Her er grunden til, at folk siger, at Nvidia RTX 4090 ikke er værd at vente på
• Her er grunden til, at folk siger, at de skal købe M1 MacBook Air i stedet for M2

Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.