Kad pirmo reizi tika ieviesta divu faktoru autentifikācija, tā radīja revolūciju ierīces drošībā un palīdzēja daudz grūtāk veikt identitātes zādzību — par nelielu pieteikšanās dēļ radītajām neērtībām.
Saturs
- Kas īsti ir divu faktoru autentifikācija?
- Tas izklausās diezgan droši. Kāda ir problēma?
- Vai man vajadzētu turpināt izmantot divu faktoru autentifikāciju?
- Kā var uzlabot divu faktoru autentifikāciju?
Taču tas nav ideāls, kā arī nav atrisinājis visas mūsu uzlaušanas un datu zādzību problēmas. Dažas nesenās ziņas ir sniegušas plašāku kontekstu tam, kā hakeri ir izvairījušies no divu faktoru autentifikācijas un mazinājuši mūsu uzticību tai.
Kas īsti ir divu faktoru autentifikācija?
Divu faktoru autentifikācija pievieno papildu drošības līmeni ierīču un pakalpojumu pieteikšanās procesam. Iepriekš pieteikšanās autentifikācijai bija viens faktors — parasti parole vai biometriskā pieteikšanās, piemēram, pirkstu nospiedumu skenēšana vai sejas ID, dažkārt pievienojot drošības jautājumus. Tas nodrošināja zināmu drošību, taču tas bija tālu no ideāla, it īpaši ar vājām parolēm vai automātiski aizpildītām parolēm (vai ja tiek uzlauztas pieteikšanās datu bāzes un šī informācija sāk parādīties tumšajā tīmeklī).
Saistīts
- Lūk, kāpēc cilvēki saka, ka jāizvairās no sākuma līmeņa M2 Pro MacBook Pro
- Ir problēmas ar Twitter SMS divu faktoru autentifikāciju. Lūk, kā mainīt metodes
- Paroles ir sarežģītas, un cilvēki ir slinki, liecina jauns ziņojums
Divu faktoru autentifikācija risina šīs problēmas, pievienojot otru faktoru, kas ir vēl viena lieta, kas personai ir jādara, lai garantētu, ka tas tiešām ir viņš un viņam ir tiesības piekļūt. Parasti tas nozīmē, ka jums tiek nosūtīts kods, izmantojot citu kanālu, piemēram, īsziņas vai e-pasta saņemšana no pakalpojuma, kas jums pēc tam ir jāievada.
Daži izmanto laika jutīgus kodus (TOTP, Time-Based One Time Password), un daži izmanto unikālus kodus, kas saistīti ar konkrētu ierīci (HOTP, HMAC balstīta vienreizēja parole). Dažās komerciālajās versijās var pat izmantot papildu fiziskās atslēgas, kas jums ir vajadzīgas.
Ieteiktie videoklipi
Drošības līdzeklis ir kļuvis tik izplatīts, ka jūs, iespējams, esat pieradis redzēt ziņojumus, piemēram: "Mēs esam nosūtījuši jums e-pastu ar drošu kodu, lai ievadītu, lūdzu, pārbaudiet jūsu surogātpasta filtru, ja neesat to saņēmis." Tas ir visizplatītākais jaunām ierīcēm, un, lai gan tas aizņem nedaudz laika, tas ir milzīgs drošības lēciens salīdzinājumā ar viena faktora sistēmu. metodes. Bet ir daži trūkumi.
Tas izklausās diezgan droši. Kāda ir problēma?
Nesen tika publicēts kiberdrošības uzņēmuma Sophos ziņojums, kurā sīki aprakstīts pārsteidzošs jauns veids hakeri izlaiž divu faktoru autentifikāciju: cepumi. Slikti dalībnieki ir “sīkdatņu zagšana”, kas viņiem ļauj piekļūt praktiski jebkura veida pārlūkprogrammai, tīmekļa pakalpojumam, e-pasta kontam vai pat failam.
Kā šie kibernoziedznieki iegūst šos sīkfailus? Sophos atzīmē, ka Emotet robottīkls ir viens no sīkfailu zādzību ļaunprātīgas programmatūras vienumiem, kas ir mērķēti uz datiem Google Chrome pārlūkprogrammās. Cilvēki var arī iegādāties zagtus sīkfailus pazemes tirgos, kas kļuva slaveni nesenajā EA lietā, kurā pieteikšanās informācija nonāca tirgū ar nosaukumu Genesis. Rezultātā tika nozagti 780 gigabaiti datu, kas tika izmantoti, lai mēģinātu izspiest uzņēmumu.
Lai gan tas ir plaši pazīstams gadījums, pamatā esošā metode ir pieejama, un tas parāda, ka divu faktoru autentifikācija ir tālu no sudraba lodes. Papildus sīkfailu zagšanai gadu gaitā ir konstatētas vairākas citas problēmas:
- Ja hakeram ir ieguva jūsu lietotājvārdu vai paroli pakalpojumam, viņiem var būt piekļuve jūsu e-pastam (īpaši, ja izmantojat to pašu paroli) vai tālruņa numuram. Tas ir īpaši problemātiski īsziņā/īsziņā balstītai divu faktoru autentifikācijai, jo tālruņu numurus ir viegli atrast un tos var izmantot tālruņa kopēšanai (citu triku starpā) un īsziņas koda saņemšanai. Tas prasa vairāk darba, bet apņēmīgam hakeram joprojām ir skaidrs ceļš uz priekšu.
- Atsevišķas lietotnes divu faktoru autentifikācijai, piemēram, Google Auth vai Duo, ir daudz drošākas, taču to ieviešanas rādītāji ir ļoti zemi. Cilvēki mēdz nevēlēties lejupielādēt citu lietotni tikai drošības nolūkos vienam pakalpojumam, un organizācijām ir daudz vieglāk vienkārši uzdot jautājumu “E-pasts vai īsziņa?” nevis pieprasīt klientiem lejupielādēt a trešās puses lietotne. Citiem vārdiem sakot, labākie divu faktoru autentifikācijas veidi īsti netiek izmantoti.
- Dažreiz paroles ir pārāk viegli atiestatīt. Identitātes zagļi var savākt pietiekami daudz informācijas par kontu, lai izsauktu klientu apkalpošanas dienestu vai atrastu citus veidus, kā pieprasīt jaunu paroli. Tādējādi bieži tiek apieta jebkura iesaistītā divu faktoru autentifikācija, un, ja tā darbojas, tas ļauj zagļiem tieši piekļūt kontam.
- Vājākas divu faktoru autentifikācijas formas piedāvā nelielu aizsardzību pret nacionālajām valstīm. Valdībām ir rīki, kas var viegli novērst divu faktoru autentifikāciju, tostarp īsziņu uzraudzību, bezvadu operatoru piespiešanu vai autentifikācijas kodu pārtveršanu citos veidos. Tā nav laba ziņa tiem, kas vēlas savus datus aizsargāt no totalitāriem režīmiem.
- Daudzas datu zādzību shēmas pilnībā apiet divu faktoru autentifikāciju, tā vietā koncentrējoties uz cilvēku apmānīšanu. Vienkārši paskaties visi pikšķerēšanas mēģinājumi, kas izliekas no bankām, valsts aģentūras, interneta pakalpojumu sniedzēji utt., lūdzot svarīgu konta informāciju. Šie pikšķerēšanas ziņojumi var izskatīties ļoti reāli, un tie var ietvert kaut ko līdzīgu: “Mums ir vajadzīgs jūsu autentifikācijas kodu, lai mēs varētu arī apstiprināt, ka esat konta īpašnieks”, vai citus trikus saņemt kodus.
Vai man vajadzētu turpināt izmantot divu faktoru autentifikāciju?
Pilnīgi noteikti. Patiesībā jums vajadzētu izpētīt savus pakalpojumus un ierīces un iespējot divu faktoru autentifikāciju, kur tā ir pieejama. Tas piedāvā ievērojami labāku drošību pret tādām problēmām kā identitātes zādzība nekā vienkāršs lietotājvārds un parole.
Pat SMS balstīta divu faktoru autentifikācija ir daudz labāka nekā nekāda. Faktiski Nacionālais standartu un tehnoloģiju institūts savulaik ieteica nelietot SMS divu faktoru autentifikācijā, bet tad atcēla to nākamajā gadā jo, neskatoties uz trūkumiem, tas joprojām bija tā vērts.
Ja iespējams, izvēlieties autentifikācijas metodi, kas nav saistīta ar īsziņām, un jūs iegūsit labāku drošības veidu. Tāpat saglabājiet savas paroles spēcīgas un izmantojiet paroļu pārvaldnieku, lai tos ģenerētu par pieteikšanos, ja varat.
Kā var uzlabot divu faktoru autentifikāciju?
Atteikšanās no autentifikācijas, kas balstīta uz SMS, ir lielais pašreizējais projekts. Iespējams, ka divu faktoru autentifikācija tiks pārveidota par nedaudzām trešo pušu lietotnēm, piemēram, Duo, kas novērš daudzas ar procesu saistītās nepilnības. Un vairāk augsta riska lauku tiks pārvietoti uz MFA jeb daudzfaktoru autentifikāciju, kas pievieno trešo prasību, piemēram, pirkstu nospiedumu vai papildu drošības jautājumus.
Bet labākais veids, kā novērst problēmas ar divu faktoru autentifikāciju, ir ieviest fizisku, uz aparatūru balstītu aspektu. Uzņēmumi un valsts aģentūras jau sāk to pieprasīt noteiktiem piekļuves līmeņiem. Tuvākajā nākotnē pastāv liela iespēja, ka mūsu makos visiem būs pielāgotas autentifikācijas kartes, kas būs gatavas, lai, piesakoties pakalpojumos, pārvilktu mūsu ierīces. Tagad tas var izklausīties dīvaini, bet ar straujš kiberdrošības uzbrukumu skaits, tas varētu būt elegantākais risinājums.
Redaktoru ieteikumi
- Kāpēc ar Nvidia RTX 4060 Ti vienkārši nepietiek 2023. gadam
- Hakeru rindas eksplodē — lūk, kā jūs varat sevi pasargāt
- Kāpēc Google Chrome inkognito režīms nav tas, par ko tas tiek apgalvots
- Lūk, kāpēc cilvēki saka, ka Nvidia RTX 4090 nav vērts gaidīt
- Lūk, kāpēc cilvēki saka, ka ir jāiegādājas M1 MacBook Air, nevis M2
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
