Kodėl žmonės sako, kad dviejų veiksnių autentifikavimas nėra tobulas

Kai pirmą kartą buvo pristatytas dviejų veiksnių autentifikavimas, jis pakeitė įrenginio saugumą ir padėjo daug sunkiau pavogti tapatybę – už nedidelius prisijungimo metu patirtus nepatogumus.

Tačiau tai nėra tobula ir neišsprendė visų mūsų įsilaužimo ir duomenų vagysčių problemų. Kai kurios naujausios naujienos suteikė daugiau konteksto, kaip įsilaužėliai vengia dviejų veiksnių autentifikavimo ir sumažino mūsų pasitikėjimą juo.

Kas tiksliai yra dviejų veiksnių autentifikavimas?

Dviejų veiksnių autentifikavimas suteikia papildomą saugumo lygį įrenginių ir paslaugų prisijungimo procesui. Anksčiau prisijungimai turėjo vieną autentifikavimo veiksnį – paprastai slaptažodį arba biometrinį prisijungimą, pvz., pirštų atspaudų nuskaitymą arba veido ID, kartais pridedant saugos klausimus. Tai suteikė tam tikro saugumo, bet toli gražu nebuvo tobula, ypač naudojant silpnus slaptažodžius ar automatiškai užpildytus slaptažodžius (arba jei įsilaužta į prisijungimo duomenų bazes ir ta informacija pradedama rodyti tamsiajame žiniatinklyje).

Dviejų veiksnių autentifikavimas išsprendžia šias problemas pridedant antrą veiksnį, kitą veiksnį, kurį asmuo turi padaryti, kad garantuotų, jog tai tikrai jis ir turi teisę pasiekti. Paprastai tai reiškia, kad jums siunčiamas kodas kitu kanalu, pvz., gaunamas tekstinis pranešimas arba el. paštas iš tarnybos, kurį turite įvesti.

Kai kurie naudoja laikui jautrius kodus (TOTP, laiko pagrįstą vienkartinį slaptažodį), o kai kurie naudoja unikalius kodus, susietus su konkrečiu įrenginiu (HOTP, HMAC pagrįstas vienkartinis slaptažodis). Tam tikrose komercinėse versijose netgi gali būti naudojami papildomi fiziniai raktai, kuriuos turite turėti po ranka.

Saugos funkcija tapo tokia įprasta, kad tikriausiai esate įpratę matyti tokius pranešimus: „Išsiuntėme jums el. laišką su saugiu kodu, kurį norite įvesti, patikrinkite šlamšto filtrą, jei jo negavote“. Tai dažniausiai taikoma naujiems įrenginiams ir, nors tai užtrunka šiek tiek laiko, tai yra didžiulis saugumo šuolis, palyginti su vienu veiksniu. metodus. Tačiau yra keletas trūkumų.

Tai skamba gana saugiai. Kokia problema?

Neseniai kibernetinio saugumo bendrovės „Sophos“ paskelbė ataskaitą, kurioje išsamiai aprašytas naujas stebinantis būdas įsilaužėliai praleidžia dviejų veiksnių autentifikavimą: sausainiai. Blogi veikėjai buvo „slapukų vagystė“, o tai suteikia jiems prieigą prie beveik bet kokios naršyklės, žiniatinklio paslaugos, el. pašto paskyros ar net failo.

Kaip šie kibernetiniai nusikaltėliai gauna šiuos slapukus? Na, „Sophos“ pažymi, kad „Emotet“ botnetas yra viena iš tokių slapukų vagių kenkėjiškų programų, nukreiptų į duomenis „Google Chrome“ naršyklėse. Žmonės taip pat gali įsigyti pavogtų slapukų per požemines prekyvietes, kurios išgarsėjo neseniai įvykusioje EA byloje, kai prisijungimo duomenys atsidūrė prekyvietėje, pavadintoje Genesis. Rezultatas buvo 780 gigabaitų pavogtų duomenų, kurie buvo panaudoti bandant išvilioti įmonę.

Nors tai aukšto lygio atvejis, pagrindinis metodas yra žinomas ir rodo, kad dviejų veiksnių autentifikavimas toli gražu nėra sidabrinis kulka. Be slapukų vagystės, bėgant metams buvo nustatyta daugybė kitų problemų:

• Jei įsilaužėlis turi gavo jūsų paslaugos vartotojo vardą arba slaptažodį, jie gali turėti prieigą prie jūsų el. pašto (ypač jei naudojate tą patį slaptažodį) arba telefono numerį. Tai ypač problematiška naudojant SMS / tekstinį dviejų veiksnių autentifikavimą, nes telefono numerius lengva rasti ir juos galima naudoti norint nukopijuoti telefoną (be kitų gudrybių) ir gauti tekstinį kodą. Tai reikalauja daugiau darbo, tačiau ryžtingas įsilaužėlis vis tiek turi aiškų kelią į priekį.
• Atskiros dviejų veiksnių autentifikavimo programos, pvz., „Google Auth“ ar „Duo“, yra daug saugesnės, tačiau pritaikymo rodikliai yra labai žemi. Žmonės paprastai nenori atsisiųsti kitos programos tik saugumo sumetimais vienai paslaugai ir organizacijoms daug lengviau paprasčiausiai paklausti „El. paštas ar žinutė? o ne reikalauti, kad klientai atsisiųstų a trečiosios šalies programa. Kitaip tariant, geriausi dviejų veiksnių autentifikavimo tipai iš tikrųjų nenaudojami.
• Kartais slaptažodžius per lengva nustatyti iš naujo. Tapatybės vagys gali surinkti pakankamai informacijos apie paskyrą, kad galėtų paskambinti klientų aptarnavimo tarnybai arba rasti kitų būdų, kaip paprašyti naujo slaptažodžio. Tai dažnai apeina bet kokį dviejų veiksnių autentifikavimą ir, kai tai veikia, vagims suteikia tiesioginę prieigą prie paskyros.
• Silpnesnės dviejų veiksnių autentifikavimo formos suteikia mažai apsaugos nuo nacionalinių valstybių. Vyriausybės turi įrankius, kurie gali lengvai kovoti su dviejų veiksnių autentifikavimu, įskaitant SMS žinučių stebėjimą, belaidžio ryšio operatorių priverstinį veiksmą arba autentifikavimo kodų perėmimą kitais būdais. Tai nėra gera žinia tiems, kurie nori būdų apsaugoti savo duomenis nuo totalitarinių režimų.
• Daugelis duomenų vagysčių schemų visiškai apeina dviejų veiksnių autentifikavimą, sutelkdamos dėmesį į žmonių apgaudinėjimą. Tik pažiūrėk visų sukčiavimo bandymų, kurie apsimeta iš bankų, vyriausybinės agentūros, interneto tiekėjai ir kt., prašydami svarbios paskyros informacijos. Šie sukčiavimo pranešimai gali atrodyti labai tikroviškai ir gali apimti kažką panašaus į: „Mums reikia jūsų atpažinimo kodą, kad galėtume patvirtinti, kad esate paskyros savininkas“, arba kitų gudrybių gauti kodus.

Ar turėčiau ir toliau naudoti dviejų veiksnių autentifikavimą?

absoliučiai. Tiesą sakant, turėtumėte peržiūrėti savo paslaugas ir įrenginius ir įgalinti dviejų veiksnių autentifikavimą ten, kur jis yra. Jis siūlo daug geresnę apsaugą nuo tokių problemų kaip tapatybės vagystė nei paprastas vartotojo vardas ir slaptažodis.

Net SMS pagrįstas dviejų veiksnių autentifikavimas yra daug geriau nei jokio. Tiesą sakant, Nacionalinis standartų ir technologijos institutas kažkada rekomendavo nenaudoti SMS naudojant dviejų veiksnių autentifikavimą, bet tada atšaukė tai kitais metais nes, nepaisant trūkumų, vis tiek buvo verta turėti.

Jei įmanoma, pasirinkite autentifikavimo metodą, nesusietą su tekstiniais pranešimais, ir turėsite geresnę apsaugą. Be to, laikykite savo slaptažodžius tvirtus ir Norėdami juos sukurti, naudokite slaptažodžių tvarkyklę prisijungimams, jei galite.

Kaip galima pagerinti dviejų veiksnių autentifikavimą?

Atsisakyti SMS žinutėmis pagrįsto autentifikavimo yra didelis dabartinis projektas. Gali būti, kad dviejų veiksnių autentifikavimas pereis prie kelių trečiųjų šalių programos, pvz., „Duo“., kurie pašalina daugelį su procesu susijusių trūkumų. Ir daugiau didelės rizikos laukų bus perkelta į MFA arba kelių veiksnių autentifikavimą, kuris prideda trečią reikalavimą, pvz., piršto atspaudą arba papildomus saugos klausimus.

Tačiau geriausias būdas pašalinti problemas, susijusias su dviejų veiksnių autentifikavimu, yra įdiegti fizinį, aparatinės įrangos aspektą. Įmonės ir vyriausybinės agentūros jau pradeda to reikalauti tam tikriems prieigos lygiams. Netolimoje ateityje yra didelė tikimybė, kad visi savo piniginėse turėsime pritaikytas autentifikavimo korteles, kurios bus paruoštos perbraukti įrenginius prisijungiant prie paslaugų. Dabar tai gali skambėti keistai, bet su staigus kibernetinio saugumo atakų skaičius, tai gali būti pats elegantiškiausias sprendimas.

Redaktorių rekomendacijos

• Kodėl Nvidia RTX 4060 Ti tiesiog neužtenka 2023 m
• Įsilaužėlių gretos sprogsta – štai kaip galite apsisaugoti
• Kodėl „Google Chrome“ inkognito režimas nėra toks, koks jis teigia esąs
• Štai kodėl žmonės sako, kad „Nvidia RTX 4090“ neverta laukti
• Štai kodėl žmonės sako pirkti M1 MacBook Air, o ne M2

Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.