Miksi ihmiset sanovat, että kaksivaiheinen todennus ei ole täydellinen

Kun kaksivaiheinen todennus esiteltiin ensimmäisen kerran, se mullisti laitteiden turvallisuuden ja auttoi tekemään identiteettivarkauksista paljon vaikeampaa – pienellä sisäänkirjautumiseen lisätyllä pienellä vaivalla.

Mutta se ei ole täydellinen, eikä se ole ratkaissut kaikkia hakkerointi- ja tietovarkausongelmiamme. Jotkut viimeaikaiset uutiset ovat antaneet lisäkontekstia hakkereille, jotka ovat ohittaneet kaksivaiheisen todennuksen ja heikentäneet luottamustamme siihen.

Mitä kaksivaiheinen todennus oikein on?

Kaksivaiheinen todennus lisää ylimääräisen suojauskerroksen laitteiden ja palvelujen kirjautumisprosessiin. Aiemmin kirjautumisissa oli yksi tekijä todennusta varten – tyypillisesti salasana tai biometrinen kirjautuminen, kuten sormenjälkiskannaus tai Face ID, joskus lisättynä turvakysymyksiin. Se tarjosi jonkin verran turvallisuutta, mutta se oli kaukana täydellisestä, varsinkin heikkojen salasanojen tai automaattisesti täytettyjen salasanojen kanssa (tai jos kirjautumistietokantoja hakkeroidaan ja tiedot alkavat näkyä pimeässä verkossa).

Kaksivaiheinen todennus ratkaisee nämä ongelmat lisäämällä toisen tekijän, toisen asian, joka henkilön on tehtävä varmistaakseen, että se on todella hän ja että hänellä on käyttöoikeus. Yleensä tämä tarkoittaa koodin lähettämistä toisen kanavan kautta, kuten tekstiviestin tai sähköpostin saamista palvelusta, joka sinun on sitten syötettävä.

Jotkut käyttävät aikaherkkiä koodeja (TOTP, Time-Based One Time Password), ja jotkut käyttävät yksilöllisiä koodeja, jotka liittyvät tiettyyn laitteeseen (HOTP, HMAC-pohjainen kertasalasana). Tietyt kaupalliset versiot voivat jopa käyttää fyysisiä lisäavaimia, jotka sinun on oltava käsillä.

Suojausominaisuudesta on tullut niin yleinen, että olet todennäköisesti tottunut näkemään viestejä, joiden tyyli on "Olemme lähettäneet sinulle sähköpostin, jossa on suojattu koodi syötettäväksi, tarkista roskapostisuodattimesi, jos et ole saanut sitä." Se on yleisin uusissa laitteissa, ja vaikka se vie vähän aikaa, se on valtava hyppy tietoturvassa verrattuna yksitekijäiseen. menetelmiä. Mutta on joitain puutteita.

Se kuulostaa aika turvalliselta. Mikä on ongelma?

Kyberturvallisuusyhtiö Sophos julkaisi äskettäin raportin, joka esitti yllättävän uuden tavan hakkerit ohittavat kaksivaiheisen todennuksen: keksit. Huonot toimijat ovat "varastaneet evästeitä", mikä antaa heille pääsyn käytännöllisesti katsoen mihin tahansa selaimeen, verkkopalveluun, sähköpostitiliin tai jopa tiedostoon.

Miten nämä kyberrikolliset saavat nämä evästeet? No, Sophos huomauttaa, että Emotet-botnet on yksi sellaisista evästeitä varastavista haittaohjelmista, jotka kohdistavat tietoja Google Chrome -selaimissa. Ihmiset voivat myös ostaa varastettuja evästeitä maanalaisten kauppapaikkojen kautta, mikä tuli tunnetuksi äskettäisessä EA-tapauksessa, jossa kirjautumistiedot päätyivät Genesis-nimiseen kauppapaikkaan. Tuloksena oli 780 gigatavua varastettua dataa, jota käytettiin yrityksen kiristämiseen.

Vaikka kyseessä on korkean profiilin tapaus, taustalla oleva menetelmä on olemassa, ja se osoittaa, että kaksivaiheinen todennus on kaukana hopealuotista. Evästeiden varastamisen lisäksi vuosien varrella on havaittu useita muitakin ongelmia:

• Jos hakkereilla on saanut käyttäjätunnuksesi tai salasanasi palvelua varten, heillä saattaa olla pääsy sähköpostiisi (varsinkin jos käytät samaa salasanaa) tai puhelinnumeroasi. Tämä on erityisen ongelmallista SMS/tekstipohjaisessa kaksivaiheisessa todennuksen yhteydessä, koska puhelinnumerot ovat helposti löydettävissä ja niillä voidaan kopioida puhelin (muiden temppujen ohella) ja vastaanottaa tekstiviestikoodi. Se vaatii enemmän työtä, mutta päättäväisellä hakkerilla on silti selkeä tie eteenpäin.
• Erilliset sovellukset kaksivaiheista todennusta varten, kuten Google Auth tai Duo, ovat paljon turvallisempia, mutta käyttöönottoasteet ovat erittäin alhaiset. Ihmiset eivät yleensä halua ladata toista sovellusta vain turvallisuussyistä yhtä palvelua varten organisaatioiden on paljon helpompi kysyä "Sähköposti vai tekstiviesti?" sen sijaan, että vaadittaisiin asiakkaita lataamaan a kolmannen osapuolen sovellus. Toisin sanoen parhaita kaksivaiheisen todennuksen tyyppejä ei todellakaan käytetä.
• Joskus salasanat on liian helppo nollata. Identiteettivarkaat voivat kerätä tilistä tarpeeksi tietoa soittaakseen asiakaspalveluun tai löytääkseen muita tapoja pyytää uutta salasanaa. Tämä usein kiertää mahdollisen kaksivaiheisen todennuksen, ja kun se toimii, se antaa varkaille suoran pääsyn tilille.
• Kaksivaiheisen todennuksen heikommat muodot tarjoavat vain vähän suojaa kansallisvaltioita vastaan. Hallituksella on työkaluja, joilla voidaan helposti torjua kaksivaiheista todennusta, mukaan lukien tekstiviestien valvonta, langattomien operaattoreiden pakottaminen tai todennuskoodien sieppaaminen muilla tavoilla. Se ei ole hyvä uutinen niille, jotka haluavat tapoja pitää tietonsa yksityisinä totalitaarisemmilta hallituksilta.
• Monet tietovarkausjärjestelmät ohittavat kaksivaiheisen todennuksen kokonaan keskittymällä ihmisten huijaamiseen. Katso vain kaikki tietojenkalasteluyritykset, jotka teeskentelevät olevan peräisin pankeista, valtion virastot, Internet-palveluntarjoajat jne., jotka pyytävät tärkeitä tilitietoja. Nämä tietojenkalasteluviestit voivat näyttää hyvin todellisilta, ja ne voivat sisältää jotain tällaista: "Tarvitsemme sinua todennuskoodin, jotta voimme myös vahvistaa, että olet tilin haltija”, tai muita temppuja saada koodeja.

Pitäisikö minun jatkaa kaksivaiheisen todennuksen käyttöä?

Ehdottomasti. Itse asiassa sinun pitäisi käydä läpi palvelusi ja laitteesi ja ottaa kaksivaiheinen todennus käyttöön siellä, missä se on saatavilla. Se tarjoaa huomattavasti paremman suojan identiteettivarkauksien kaltaisia ​​ongelmia vastaan ​​kuin yksinkertainen käyttäjätunnus ja salasana.

Jopa SMS-pohjainen kaksivaiheinen todennus on paljon parempi kuin ei ollenkaan. Itse asiassa National Institute of Standards and Technology suositteli kerran olemaan käyttämättä SMS kaksivaiheisessa todennuksena, mutta palautti sen takaisin ensi vuonna koska puutteista huolimatta se kannatti silti olla.

Jos mahdollista, valitse todennusmenetelmä, jota ei ole yhdistetty tekstiviesteihin, niin saat paremman suojan. Pidä myös salasanasi vahvoina ja käytä salasananhallintaohjelmaa niiden luomiseen kirjautumisille, jos voit.

Miten kaksivaiheista todennusta voidaan parantaa?

Tekstiviestipohjaisesta tunnistamisesta luopuminen on tämän hetken iso projekti. On mahdollista, että kaksivaiheinen todennus siirtyy kouralliseen kolmannen osapuolen sovellukset, kuten Duo, jotka poistavat monia prosessiin liittyviä heikkouksia. Ja lisää riskialttiita kenttiä siirretään MFA- eli monitekijätodennustilaan, mikä lisää kolmannen vaatimuksen, kuten sormenjäljen tai lisäturvakysymyksiä.

Mutta paras tapa poistaa kaksivaiheisen todennuksen ongelmat on ottaa käyttöön fyysinen, laitteistopohjainen näkökohta. Yritykset ja valtion virastot ovat jo alkaneet vaatia sitä tietyillä käyttöoikeustasoilla. Lähitulevaisuudessa meillä kaikilla on todennäköisesti räätälöityjä todennuskortteja lompakossamme, jotka ovat valmiita pyyhkäisemään laitteillamme kirjautuessasi palveluihin. Se voi kuulostaa nyt oudolta, mutta kyberturvallisuushyökkäysten jyrkkä nousu, se voi lopulta olla tyylikkäin ratkaisu.

Toimittajien suositukset

• Miksi Nvidia RTX 4060 Ti ei yksinkertaisesti riitä vuodelle 2023
• Hakkerijoukot räjähtävät – näin voit suojata itsesi
• Miksi Google Chromen incognito-tila ei ole sitä mitä se väittää olevansa
• Tästä syystä ihmiset sanovat, että Nvidia RTX 4090 ei ole odottamisen arvoinen
• Tästä syystä ihmiset sanovat ostavansa M1 MacBook Airin M2:n sijaan

Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.