Zašto ljudi kažu da autentifikacija u dva faktora nije savršena

Kada je prvi put uvedena autentifikacija s dva faktora, revolucionirala je sigurnost uređaja i pomogla da se krađa identiteta znatno oteža – uz malu cijenu manjih neugodnosti koje su dodane prijavama.

Sadržaj

  • Što je zapravo dvofaktorska autentifikacija?
  • To zvuči prilično sigurno. U čemu je problem?
  • Trebam li nastaviti koristiti dvofaktorsku provjeru autentičnosti?
  • Kako se može poboljšati dvofaktorska autentifikacija?

Ali nije savršen, niti je riješio sve naše probleme s hakiranjem i krađom podataka. Neke nedavne vijesti pružile su više konteksta za to kako su hakeri zaobilazili dvofaktorsku provjeru autentičnosti i nagrizali dio našeg povjerenja u nju.

Dvofaktorska autentifikacija preko prijenosnog računala.

Što je zapravo dvofaktorska autentifikacija?

Dvofaktorska autentifikacija dodaje dodatni sloj sigurnosti procesu prijave za uređaje i usluge. Ranije su prijave imale jedan faktor za autentifikaciju - obično lozinku ili biometrijsku prijavu poput skeniranja otiska prsta ili Face ID-a, povremeno uz dodatak sigurnosnih pitanja. To je pružilo određenu sigurnost, ali bilo je daleko od savršenog, osobito sa slabim lozinkama ili automatski popunjenim lozinkama (ili ako su baze podataka za prijavu hakirane i te se informacije počnu pojavljivati ​​na mračnom webu).

Povezano

  • Evo zašto ljudi govore da izbjegavate početni M2 Pro MacBook Pro
  • Twitterova SMS autentifikacija u dva faktora ima problema. Evo kako promijeniti metode
  • Lozinke su teške, a ljudi lijeni, pokazuje novo izvješće

Dvofaktorska autentifikacija rješava ove probleme dodavanjem drugog faktora, što je još jedna stvar koju osoba mora učiniti kako bi zajamčila da je to stvarno ona i da ima ovlasti za pristup. Obično to znači slanje koda preko drugog kanala, kao što je primanje tekstualne poruke ili e-pošte od usluge, koji zatim morate unijeti.

Primjer duo provjere autentičnosti.

Neki koriste vremenski osjetljive kodove (TOTP, Time-Based One Time Password), a neki koriste jedinstvene kodove povezane s određenim uređajem (HOTP, HMAC-based One Time Password). Određene komercijalne verzije mogu čak koristiti dodatne fizičke ključeve koje morate imati pri ruci.

Preporučeni videozapisi

Sigurnosna značajka postala je toliko uobičajena da ste vjerojatno navikli vidjeti poruke poput: "Poslali smo vam e-poruku sa sigurnim kodom za unos, provjerite vaš filter neželjene pošte ako ga niste primili." Najčešći je za nove uređaje i iako oduzima malo vremena, velik je skok u sigurnosti u usporedbi s jednofaktorskim metode. Ali postoje neke mane.

To zvuči prilično sigurno. U čemu je problem?

Nedavno je izašlo izvješće tvrtke Sophos za kibernetičku sigurnost u kojem se detaljno opisuje iznenađujući novi način hakeri preskaču dvofaktornu provjeru autentičnosti: kolačići. Loši glumci bili su "krađa kolačića", što im daje pristup gotovo svim vrstama preglednika, web usluga, računa e-pošte ili čak datoteke.

Kako ovi kibernetički kriminalci dolaze do ovih kolačića? Pa, Sophos primjećuje da je Emotet botnet jedan takav zlonamjerni softver koji krade kolačiće i cilja podatke u preglednicima Google Chrome. Ljudi također mogu kupiti ukradene kolačiće putem podzemnih tržišta, što je postalo poznato u nedavnom slučaju EA gdje su podaci za prijavu završili na tržištu zvanom Genesis. Rezultat je bilo 780 gigabajta ukradenih podataka koji su korišteni za pokušaj iznude tvrtke.

Iako je to slučaj visokog profila, temeljna metoda je vani i pokazuje da je dvofaktorska autentifikacija daleko od srebrnog metka. Osim krađe kolačića, postoji niz drugih problema koji su identificirani tijekom godina:

  • Ako haker ima došao do vašeg korisničkog imena ili lozinke za uslugu, mogu imati pristup vašoj e-pošti (osobito ako koristite istu lozinku) ili telefonskom broju. Ovo je posebno problematično za dvofaktorsku autentifikaciju temeljenu na SMS-u/tekstu jer je telefonske brojeve lako pronaći i mogu se koristiti za kopiranje vašeg telefona (između ostalih trikova) i primanje koda poslanog SMS-om. Potrebno je više rada, ali odlučan haker i dalje ima jasan put naprijed.
  • Zasebne aplikacije za dvofaktornu autentifikaciju, poput Google Auth ili Duo, mnogo su sigurnije, ali su stope usvajanja vrlo niske. Ljudi obično ne žele preuzeti drugu aplikaciju samo iz sigurnosnih razloga za jednu uslugu, i organizacijama je puno lakše jednostavno pitati "E-pošta ili SMS?" umjesto da od kupaca zahtijevaju preuzimanje a aplikacija treće strane. Drugim riječima, najbolje vrste dvofaktorske autentifikacije zapravo se ne koriste.
  • Ponekad je lozinke prelako poništiti. Kradljivci identiteta mogu prikupiti dovoljno informacija o računu da pozovu službu za korisnike ili pronađu druge načine da zatraže novu lozinku. Ovo često zaobilazi bilo koju uključenu dvofaktorsku autentifikaciju i, kada radi, omogućuje lopovima izravan pristup računu.
  • Slabiji oblici dvofaktorske autentifikacije nude slabu zaštitu od nacionalnih država. Vlade imaju alate koji se lako mogu suprotstaviti dvofaktorskoj autentifikaciji, uključujući praćenje SMS poruka, prisiljavanje bežičnih operatera ili presretanje autentifikacijskih kodova na druge načine. To nije dobra vijest za one koji žele načine kako svoje podatke zaštititi od totalitarnijih režima.
  • Mnoge sheme za krađu podataka u potpunosti zaobilaze dvofaktorsku provjeru autentičnosti fokusirajući se na zavaravanje ljudi. Samo pogledajte svi pokušaji krađe identiteta koji se pretvaraju da su iz banaka, vladine agencije, pružatelji internetskih usluga itd., tražeći važne informacije o računu. Ove phishing poruke mogu izgledati vrlo stvarno i mogu uključivati ​​nešto poput: “Trebamo vaše autentifikacijski kod s naše strane kako bismo također mogli potvrditi da ste vlasnik računa” ili druge trikove za dobiti kodove.

Trebam li nastaviti koristiti dvofaktorsku provjeru autentičnosti?

Apsolutno. Zapravo, trebali biste proći kroz svoje usluge i uređaje i omogućiti dvofaktorsku autentifikaciju tamo gdje je dostupna. Nudi znatno bolju sigurnost protiv problema poput krađe identiteta od jednostavnog korisničkog imena i lozinke.

Čak je i dvofaktorska provjera autentičnosti temeljena na SMS-u mnogo bolja nego nikakva. Zapravo, Nacionalni institut za standarde i tehnologiju jednom je preporučio da se ne koristi SMS u dvofaktorskoj autentifikaciji, ali je to vratio sljedeće godine jer, unatoč manama, ipak ga je vrijedilo imati.

Kad je moguće, odaberite metodu provjere autentičnosti koja nije povezana s tekstualnim porukama i imat ćete bolji oblik sigurnosti. Također, neka vaše lozinke budu jake i koristite upravitelj lozinki za njihovo generiranje za prijave ako možete.

Postavke sigurnosti i privatnosti otvaraju se na MacBooku.

Kako se može poboljšati dvofaktorska autentifikacija?

Udaljavanje od autentifikacije temeljene na SMS-u veliki je trenutačni projekt. Moguće je da će dvofaktorska provjera autentičnosti prijeći na nekolicinu aplikacije trećih strana kao što je Duo, koji uklanjaju mnoge slabosti povezane s procesom. A više visokorizičnih polja premjestit će se u MFA ili višefaktorsku autentifikaciju, koja dodaje treći zahtjev, poput otiska prsta ili dodatnih sigurnosnih pitanja.

Ali najbolji način za uklanjanje problema s dvofaktorskom autentifikacijom je uvođenje fizičkog, hardverskog aspekta. Tvrtke i vladine agencije to već počinju zahtijevati za određene razine pristupa. U bliskoj budućnosti, postoji velika šansa da ćemo svi imati prilagođene kartice za autentifikaciju u našim novčanicima, spremne za prst prema našim uređajima kada se prijavljujemo na usluge. Možda sada zvuči čudno, ali s nagli porast kibernetičkih napada, moglo bi se pokazati kao najelegantnije rješenje.

Preporuke urednika

  • Zašto Nvidia RTX 4060 Ti jednostavno nije dovoljna za 2023
  • Broj hakera raste - evo kako se možete zaštititi
  • Zašto Google Chrome Incognito Mode nije ono za što se predstavlja
  • Evo zašto ljudi kažu da se Nvidia RTX 4090 ne isplati čekati
  • Evo zašto ljudi govore da kupite M1 MacBook Air umjesto M2

Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.