Miért mondják az emberek, hogy a kéttényezős hitelesítés nem tökéletes?

A kéttényezős hitelesítés első bevezetésekor forradalmasította az eszközök biztonságát, és jelentősen megnehezítette a személyazonosság-lopást – a bejelentkezésekkel járó kisebb kellemetlenségek árán.

De nem tökéletes, és nem oldotta meg az összes hackelési és adatlopási problémánkat. Néhány közelmúltbeli hír bővebb kontextust adott ahhoz, hogy a hackerek hogyan kerülik meg a kéttényezős hitelesítést, és aláássák az ebbe vetett bizalmunkat.

Mi is pontosan a kéttényezős hitelesítés?

A kéttényezős hitelesítés további biztonsági réteget ad az eszközök és szolgáltatások bejelentkezési folyamatához. Korábban a bejelentkezésekhez egyetlen hitelesítési tényező tartozott – jellemzően jelszó vagy biometrikus bejelentkezés, például ujjlenyomat-leolvasás vagy arcazonosító, esetenként biztonsági kérdések hozzáadásával. Ez némi biztonságot nyújtott, de messze nem volt tökéletes, különösen gyenge jelszavak vagy automatikusan kitöltött jelszavak esetén (vagy ha a bejelentkezési adatbázisokat feltörték, és ez az információ megjelenik a sötét weben).

A kéttényezős hitelesítés megoldja ezeket a problémákat egy második tényező hozzáadásával, egy másik dologgal, amelyet a személynek meg kell tennie annak garantálására, hogy valóban ő az, és hozzáférési jogosultsága van. Ez általában azt jelenti, hogy egy másik csatornán keresztül küldenek egy kódot, például szöveges üzenetet vagy e-mailt kapnak a szolgáltatástól, amelyet ezután meg kell adnia.

Egyesek időérzékeny kódokat (TOTP, Time-Based One Time Password), mások pedig egy adott eszközhöz társított egyedi kódokat (HOTP, HMAC-alapú egyszeri jelszó) használnak. Egyes kereskedelmi verziók további fizikai kulcsokat is használhatnak, amelyeknek kéznél kell lenniük.

A biztonsági funkció annyira elterjedt, hogy valószínűleg hozzászokott a következő üzenetekhez: „Küldtünk egy e-mailt a belépéshez szükséges biztonsági kóddal. a spamszűrőjét, ha nem kapta meg." Ez a leggyakoribb az új eszközöknél, és bár kis időt vesz igénybe, óriási ugrás a biztonságban az egyfaktoroshoz képest mód. De van néhány hiba.

Ez elég biztonságosnak hangzik. Mi a baj?

Nemrég jelent meg a Sophos kiberbiztonsági cég jelentése, amely egy meglepő új módszert részletezett a hackerek kihagyják a kétfaktoros hitelesítést: süti. A rossz szereplők „sütilopás” voltak, ami gyakorlatilag bármilyen böngészőhöz, webszolgáltatáshoz, e-mail fiókhoz vagy akár fájlhoz hozzáférést biztosít számukra.

Hogyan jutnak hozzá ezek a kiberbűnözők ezekhez a cookie-khoz? Nos, a Sophos megjegyzi, hogy az Emotet botnet egy ilyen cookie-lopó rosszindulatú program, amely a Google Chrome böngészők adatait célozza meg. Az emberek földalatti piactereken is vásárolhatnak ellopott sütiket, ami az EA legutóbbi ügyében vált híressé, ahol a bejelentkezési adatok a Genesis nevű piactéren kötöttek ki. Az eredmény 780 gigabájtnyi ellopott adat volt, amellyel megpróbálták kizsarolni a céget.

Noha ez egy nagy horderejű eset, a mögöttes módszer létezik, és azt mutatja, hogy a kéttényezős hitelesítés korántsem egy ezüst golyó. A sütilopáson túl számos egyéb probléma is felmerült az évek során:

• Ha egy hacker rendelkezik megszerezte felhasználónevét vagy jelszavát egy szolgáltatáshoz, akkor hozzáférhetnek az Ön e-mailjéhez (különösen, ha ugyanazt a jelszót használja) vagy telefonszámát. Ez különösen az SMS/szöveges alapú kétfaktoros hitelesítésnél jelent problémát, mert a telefonszámok könnyen megtalálhatók, és a telefon másolására (egyéb trükkök mellett) és a szöveges kód fogadására is használható. Ez több munkát igényel, de egy elszánt hackernek még mindig világos az útja.
• A kétfaktoros hitelesítésre szolgáló különálló alkalmazások, mint például a Google Auth vagy a Duo, sokkal biztonságosabbak, de az elfogadási arány nagyon alacsony. Az emberek általában nem akarnak letölteni egy másik alkalmazást csak biztonsági okokból egyetlen szolgáltatáshoz, és A szervezetek sokkal könnyebben egyszerűen megkérdezik: „E-mail vagy SMS?” ahelyett, hogy megkövetelné az ügyfelektől, hogy töltsék le a harmadik féltől származó alkalmazás. Más szavakkal, a kéttényezős hitelesítés legjobb típusait nem igazán használják.
• Néha túl könnyű visszaállítani a jelszavakat. A személyazonosság-tolvajok elegendő információt gyűjthetnek egy fiókról ahhoz, hogy felhívják az ügyfélszolgálatot, vagy más módokat találjanak új jelszó kérésére. Ez gyakran megkerül minden kéttényezős hitelesítést, és ha működik, lehetővé teszi a tolvajok számára a közvetlen hozzáférést a fiókhoz.
• A kéttényezős hitelesítés gyengébb formái kevés védelmet nyújtanak a nemzetállamokkal szemben. A kormányok olyan eszközökkel rendelkeznek, amelyek könnyedén ellensúlyozhatják a kéttényezős hitelesítést, beleértve az SMS-üzenetek figyelését, a vezeték nélküli szolgáltatók kényszerítését vagy a hitelesítési kódok más módon történő elfogását. Ez nem jó hír azoknak, akik módot akarnak arra, hogy adataikat titokban tartsák a totalitáriusabb rezsimektől.
• Sok adatlopási rendszer teljesen megkerüli a kéttényezős hitelesítést, és inkább az emberek megtévesztésére összpontosít. Csak nézd az összes adathalász kísérlet, amelyek úgy tesznek, mintha bankoktól származnának, kormányzati szervek, internetszolgáltatók stb., amelyek fontos fiókadatokat kérnek. Ezek az adathalász üzenetek nagyon valósnak tűnhetnek, és valami ilyesmit tartalmazhatnak: „Szükségünk van az Önre hitelesítési kódot a mi oldalunkon, hogy megerősíthessük, hogy Ön a számlatulajdonos”, vagy más trükkökkel kódokat kapni.

Továbbra is használjam a kéttényezős hitelesítést?

Teljesen. Valójában át kell mennie a szolgáltatásokon és az eszközökön, és engedélyeznie kell a kéttényezős hitelesítést, ahol ez elérhető. Lényegesen jobb védelmet nyújt az olyan problémákkal szemben, mint a személyazonosság-lopás, mint egy egyszerű felhasználónév és jelszó.

Még az SMS-alapú kétfaktoros hitelesítés is sokkal jobb, mint a semmi. Valójában a Nemzeti Szabványügyi és Technológiai Intézet egykor azt javasolta, hogy ne használjon SMS-t a kétfaktoros hitelesítésben, de aztán a következő évben visszaforgatta mert a hibák ellenére mégis megérte.

Ha lehetséges, válasszon olyan hitelesítési módot, amely nem kapcsolódik szöveges üzenetekhez, és jobb biztonságot nyújt. Ezenkívül legyen erős jelszava és jelszókezelő segítségével generálja őket a bejelentkezéshez, ha tud.

Hogyan javítható a kéttényezős hitelesítés?

Az SMS-alapú hitelesítéstől való elmozdulás a jelenlegi nagy projekt. Elképzelhető, hogy a kéttényezős hitelesítés átáll egy maroknyira harmadik féltől származó alkalmazások, például a Duo, amelyek eltávolítják a folyamathoz kapcsolódó sok gyengeséget. És több magas kockázatú mező kerül át az MFA-ba, vagyis a többtényezős hitelesítésbe, ami egy harmadik követelményt is hozzáad, például ujjlenyomatot vagy további biztonsági kérdéseket.

A kéttényezős hitelesítéssel kapcsolatos problémák megoldásának legjobb módja azonban egy fizikai, hardver alapú szempont bevezetése. A cégek és a kormányzati szervek már most kezdik ezt megkövetelni bizonyos hozzáférési szintekhez. A közeljövőben jó eséllyel mindannyiunk személyre szabott hitelesítési kártyái lesznek a pénztárcánkban, amelyek készen állnak arra, hogy a szolgáltatásokba való bejelentkezéskor ráhúzzanak eszközeinkre. Lehet, hogy most furcsán hangzik, de a a kiberbiztonsági támadások meredek emelkedése, ez lehet a legelegánsabb megoldás.

Szerkesztői ajánlások

• Miért nem elég az Nvidia RTX 4060 Ti 2023-ra
• A hackerek sorai felrobbannak – így védheti meg magát
• Miért nem az, aminek állítja a Google Chrome inkognitómódját?
• Ezért mondják az emberek, hogy az Nvidia RTX 4090-re nem érdemes várni
• Ezért mondják az emberek, hogy az M2 helyett az M1 MacBook Air-t vegyük meg

Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.