2단계 인증이 처음 도입되었을 때 장치 보안에 혁명을 일으켰고 로그인에 약간의 불편을 가하는 약간의 비용으로 신원 도용을 훨씬 더 어렵게 만들었습니다.
내용물
- 이중 인증이란 정확히 무엇입니까?
- 꽤 안전한 것 같습니다. 뭐가 문제 야?
- 이중 인증을 계속 사용해야 합니까?
- 이중 인증을 어떻게 개선할 수 있습니까?
그러나 완벽하지도 않고 모든 해킹 및 데이터 도용 문제를 해결하지도 못했습니다. 일부 최근 뉴스는 해커가 이중 인증을 회피하고 그것에 대한 우리의 신뢰를 일부 약화시키는 방법에 대한 더 많은 컨텍스트를 제공했습니다.
이중 인증이란 정확히 무엇입니까?
2단계 인증은 장치 및 서비스의 로그인 프로세스에 추가 보안 계층을 추가합니다. 이전에는 로그인에 인증을 위한 단일 요소가 있었습니다. 일반적으로 암호 또는 지문 스캔이나 얼굴 ID와 같은 생체 인식 로그인이었으며 때때로 보안 질문이 추가되었습니다. 그것은 약간의 보안을 제공했지만, 특히 취약한 암호나 자동 완성 암호(또는 로그인 데이터베이스가 해킹되어 해당 정보가 다크 웹에 표시되기 시작하는 경우)에는 완벽하지 않았습니다.
관련된
- 사람들이 보급형 M2 Pro MacBook Pro를 피하라고 말하는 이유는 다음과 같습니다.
- Twitter의 SMS 이중 인증에 문제가 있습니다. 방법을 전환하는 방법은 다음과 같습니다.
- 암호는 어렵고 사람들은 게으르다는 새로운 보고서가 나타납니다.
2단계 인증은 두 번째 요소를 추가하여 이러한 문제를 해결합니다. 두 번째 요소는 사용자가 실제로 본인이며 액세스 권한이 있음을 보장하기 위해 수행해야 하는 또 다른 작업입니다. 일반적으로 이는 서비스에서 문자 메시지나 이메일을 받은 다음 입력해야 하는 것과 같이 다른 채널을 통해 코드를 전송받는 것을 의미합니다.
일부는 시간에 민감한 코드(TOTP, Time-Based One Time Password)를 사용하고 일부는 특정 장치와 관련된 고유 코드(HOTP, HMAC 기반 일회용 암호)를 사용합니다. 특정 상용 버전은 필요한 추가 물리적 키를 사용할 수도 있습니다.
추천 동영상
보안 기능이 너무 보편화되어 "입력할 보안 코드가 포함된 이메일을 보냈습니다. 확인하십시오. 스팸 필터를 받지 못했다면." 새로운 장치에 가장 일반적이며 약간의 시간이 걸리지만 단일 요소에 비해 보안이 크게 향상됩니다. 행동 양식. 그러나 몇 가지 결함이 있습니다.
꽤 안전한 것 같습니다. 뭐가 문제 야?
최근 사이버 보안 회사인 소포스(Sophos)에서 발표한 보고서에 따르면 해커는 2단계 인증을 건너뛰고 있습니다.: 쿠키. 악의적인 행위자는 거의 모든 종류의 브라우저, 웹 서비스, 이메일 계정 또는 파일에 대한 액세스 권한을 부여하는 "쿠키 도용"입니다.
이러한 사이버 범죄자는 이러한 쿠키를 어떻게 얻습니까? Sophos는 Emotet 봇넷이 Google Chrome 브라우저의 데이터를 대상으로 하는 쿠키를 훔치는 맬웨어 중 하나라고 지적합니다. 사람들은 또한 지하 시장을 통해 훔친 쿠키를 구입할 수 있습니다. 이는 최근 EA 사례에서 로그인 세부 정보가 Genesis라는 시장에서 끝나는 것으로 유명해졌습니다. 그 결과 회사를 갈취하는 데 사용된 780GB의 데이터가 도난당했습니다.
이는 중요한 사례이지만 기본 방법은 밖에 있으며 이중 인증이 묘책과는 거리가 멀다는 것을 보여줍니다. 쿠키 도용 외에도 수년에 걸쳐 확인된 여러 다른 문제가 있습니다.
- 해커가 있는 경우 서비스에 대한 사용자 이름 또는 비밀번호를 확보했습니다., 그들은 귀하의 이메일(특히 동일한 암호를 사용하는 경우) 또는 전화번호에 액세스할 수 있습니다. 이것은 SMS/텍스트 기반 2단계 인증에서 특히 문제가 됩니다. 전화번호는 찾기 쉽고 (다른 트릭 중에서도) 전화를 복사하고 문자 코드를 받는 데 사용할 수 있기 때문입니다. 더 많은 작업이 필요하지만 단호한 해커에게는 여전히 명확한 경로가 있습니다.
- Google Auth 또는 Duo와 같은 이중 인증을 위한 별도의 앱은 훨씬 더 안전하지만 채택률은 매우 낮습니다. 사람들은 단일 서비스에 대한 보안 목적으로만 다른 앱을 다운로드하고 싶어하지 않는 경향이 있으며, 조직은 단순히 "이메일 또는 텍스트?"라고 묻는 것이 훨씬 더 쉽다는 것을 알게 됩니다. 고객에게 다운로드를 요구하는 대신 타사 앱. 즉, 최상의 이중 요소 인증 유형은 실제로 사용되지 않습니다.
- 때때로 암호는 너무 쉽게 재설정할 수 있습니다. 신원 도용자는 계정에 대한 충분한 정보를 수집하여 고객 서비스에 전화를 걸거나 새 암호를 요청할 다른 방법을 찾을 수 있습니다. 이는 관련된 2단계 인증을 우회하는 경우가 많으며 작동하면 도둑이 계정에 직접 액세스할 수 있습니다.
- 약한 형태의 2단계 인증은 국가에 대한 보호를 거의 제공하지 않습니다. 정부는 SMS 메시지 모니터링, 무선 통신사 강제 또는 다른 방식으로 인증 코드 가로채기와 같은 2단계 인증에 쉽게 대응할 수 있는 도구를 보유하고 있습니다. 더 많은 전체주의 정권으로부터 데이터를 비공개로 유지하는 방법을 원하는 사람들에게는 좋은 소식이 아닙니다.
- 많은 데이터 도용 체계는 사람을 속이는 데 집중함으로써 2단계 인증을 완전히 우회합니다. 그냥 봐 은행을 사칭하는 모든 피싱 시도, 정부 기관, 인터넷 제공업체 등에서 중요한 계정 정보를 요청합니다. 이러한 피싱 메시지는 매우 실제처럼 보일 수 있으며 다음과 같은 내용이 포함될 수 있습니다. 귀하가 계정 소유자임을 확인할 수 있도록 인증 코드를 입력하거나 다른 트릭을 사용하여 코드를 얻습니다.
이중 인증을 계속 사용해야 합니까?
전적으로. 실제로 서비스와 장치를 살펴보고 가능한 경우 이중 인증을 활성화해야 합니다. 단순한 사용자 이름과 암호보다 신원 도용과 같은 문제에 대해 훨씬 더 나은 보안을 제공합니다.
SMS 기반의 2단계 인증도 전혀 없는 것보다 훨씬 낫습니다. 실제로 국립 표준 기술 연구소(National Institute of Standards and Technology)는 이중 인증에서 SMS를 사용하지 말라고 권고한 적이 있습니다. 하지만 다음 해에 다시 롤백했습니다. 결함에도 불구하고 여전히 가질 가치가 있기 때문입니다.
가능하면 문자 메시지에 연결되지 않은 인증 방법을 선택하면 더 나은 보안을 유지할 수 있습니다. 또한 암호를 강력하게 유지하고 암호 관리자를 사용하여 생성 가능한 경우 로그인을 위해.
이중 인증을 어떻게 개선할 수 있습니까?
SMS 기반 인증에서 벗어나는 것은 현재 큰 프로젝트입니다. 이중 인증이 소수의 인증으로 전환될 가능성이 있습니다. Duo와 같은 타사 앱, 프로세스와 관련된 많은 약점을 제거합니다. 그리고 더 많은 고위험 분야가 지문 또는 추가 보안 질문과 같은 세 번째 요구 사항을 추가하는 MFA 또는 다단계 인증으로 이동할 것입니다.
그러나 2단계 인증 문제를 제거하는 가장 좋은 방법은 물리적인 하드웨어 기반 측면을 도입하는 것입니다. 회사와 정부 기관은 이미 특정 액세스 수준에 대해 이를 요구하기 시작했습니다. 가까운 장래에 우리 모두 지갑에 맞춤형 인증 카드를 가지고 서비스에 로그인할 때 장치에서 스와이프할 수 있는 공정한 기회가 있습니다. 지금은 이상하게 들릴지 모르지만 사이버 보안 공격의 급증, 가장 우아한 솔루션이 될 수 있습니다.
편집자 추천
- Nvidia RTX 4060 Ti가 2023년에 충분하지 않은 이유
- 폭발적인 해커 순위 — 자신을 보호할 수 있는 방법은 다음과 같습니다.
- Google 크롬 시크릿 모드가 주장하는 것과 다른 이유
- 사람들이 Nvidia RTX 4090을 기다릴 가치가 없다고 말하는 이유는 다음과 같습니다.
- 사람들이 M2 대신 M1 MacBook Air를 사라고 말하는 이유는 다음과 같습니다.
라이프스타일을 업그레이드하세요Digital Trends는 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 독자가 빠르게 변화하는 기술 세계를 파악할 수 있도록 도와줍니다.
