Hvorfor folk sier tofaktorautentisering er ikke perfekt

Da tofaktorautentisering først ble introdusert, revolusjonerte det enhetssikkerhet og bidro til å gjøre identitetstyveri mye vanskeligere – til den lille kostnaden av mindre ulemper lagt til pålogginger.

Men det er ikke perfekt, og det har heller ikke løst alle våre hacking- og datatyveriproblemer. Noen nylige nyheter har gitt mer kontekst for hvordan hackere har unngått tofaktorautentisering og erodert noe av tilliten vår til den.

Hva er egentlig tofaktorautentisering?

Tofaktorautentisering legger til et ekstra lag med sikkerhet til påloggingsprosessen for enheter og tjenester. Tidligere hadde pålogginger en enkelt faktor for autentisering - vanligvis et passord eller en biometrisk pålogging som en fingeravtrykkskanning eller Face ID, noen ganger med tillegg av sikkerhetsspørsmål. Det ga en viss sikkerhet, men det var langt fra perfekt, spesielt med svake passord eller autoutfylte passord (eller hvis påloggingsdatabaser er hacket og den informasjonen begynner å dukke opp på det mørke nettet).

Tofaktorautentisering løser disse problemene ved å legge til en annen faktor, en annen ting en person må gjøre for å garantere at det virkelig er dem og at de har myndighet til å få tilgang. Vanligvis betyr det å få tilsendt en kode via en annen kanal, som å få en tekstmelding eller e-post fra tjenesten, som du deretter må legge inn.

Noen bruker tidssensitive koder (TOTP, Time-Based One Time Password), og noen bruker unike koder knyttet til en bestemt enhet (HOTP, HMAC-basert One Time Password). Enkelte kommersielle versjoner kan til og med bruke ekstra fysiske nøkler som du må ha for hånden.

Sikkerhetsfunksjonen har blitt så vanlig at du sannsynligvis er vant til å se meldinger i retning av: "Vi har sendt deg en e-post med en sikker kode du må angi, vennligst sjekk spamfilteret ditt hvis du ikke har mottatt det." Det er mest vanlig for nye enheter, og selv om det tar litt tid, er det et stort hopp i sikkerhet sammenlignet med en-faktor metoder. Men det er noen feil.

Det høres ganske sikkert ut. Hva er problemet?

En rapport kom nylig fra nettsikkerhetsselskapet Sophos som beskrev en overraskende ny måte som hackere hopper over tofaktorautentisering: informasjonskapsler. Dårlige skuespillere har "stjelet informasjonskapsler", noe som gir dem tilgang til praktisk talt alle typer nettlesere, webtjenester, e-postkontoer eller til og med filer.

Hvordan får disse nettkriminelle disse informasjonskapslene? Vel, Sophos bemerker at Emotet-botnettet er et slikt stykke skadelig programvare som stjeler informasjonskapsler som retter seg mot data i Google Chrome-nettlesere. Folk kan også kjøpe stjålne informasjonskapsler gjennom underjordiske markedsplasser, som ble gjort kjent i den nylige EA-saken der påloggingsdetaljer havnet på en markedsplass kalt Genesis. Resultatet var 780 gigabyte med stjålne data som ble brukt til å prøve å presse selskapet.

Selv om det er en høyprofilert sak, er den underliggende metoden der ute, og den viser at tofaktorautentisering er langt fra en sølvkule. Utover bare å stjele informasjonskapsler, er det en rekke andre problemer som har blitt identifisert gjennom årene:

• Hvis en hacker har fått tak i brukernavnet eller passordet ditt for en tjeneste, kan de ha tilgang til din e-post (spesielt hvis du bruker samme passord) eller telefonnummer. Dette er spesielt problematisk for SMS/tekstbasert tofaktorautentisering, fordi telefonnumre er enkle å finne og kan brukes til å kopiere telefonen din (blant andre triks) og motta den tekstede koden. Det krever mer arbeid, men en målbevisst hacker har fortsatt en klar vei videre.
• Separate apper for tofaktorautentisering, som Google Auth eller Duo, er langt sikrere, men adopsjonsratene er svært lave. Folk har en tendens til ikke å ønske å laste ned en annen app bare for sikkerhetsformål for en enkelt tjeneste, og organisasjoner synes det er mye lettere å bare spørre "e-post eller tekst?" i stedet for å kreve at kundene laster ned en tredjeparts app. Med andre ord, de beste typene tofaktorautentisering blir egentlig ikke brukt.
• Noen ganger er passord for enkle å tilbakestille. Identitetstyver kan samle nok informasjon om en konto til å ringe kundeservice eller finne andre måter å be om et nytt passord. Dette omgår ofte all tofaktorautentisering involvert, og når det fungerer, gir det tyven direkte tilgang til kontoen.
• Svakere former for tofaktorautentisering gir liten beskyttelse mot nasjonalstater. Myndigheter har verktøy som enkelt kan motvirke tofaktorautentisering, inkludert overvåking av SMS-meldinger, tvinging av trådløse operatører eller avskjæring av autentiseringskoder på andre måter. Det er ikke gode nyheter for de som ønsker måter å holde dataene sine private fra mer totalitære regimer.
• Mange datatyveriordninger omgår tofaktorautentisering fullstendig ved å fokusere på å lure mennesker i stedet. Bare se på alle phishing-forsøkene som utgir seg for å være fra banker, offentlige etater, internettleverandører osv., som ber om viktig kontoinformasjon. Disse phishing-meldingene kan se veldig ekte ut, og kan innebære noe sånt som «Vi trenger din autentiseringskode på vår side, slik at vi også kan bekrefte at du er kontoinnehaveren,” eller andre triks for å få koder.

Bør jeg fortsette å bruke tofaktorautentisering?

Absolutt. Faktisk bør du gå gjennom tjenestene og enhetene dine og aktivere tofaktorautentisering der den er tilgjengelig. Det gir betydelig bedre sikkerhet mot problemer som identitetstyveri enn et enkelt brukernavn og passord.

Selv SMS-basert tofaktorautentisering er mye bedre enn ingen i det hele tatt. Faktisk anbefalte National Institute of Standards and Technology en gang å ikke bruke SMS i tofaktorautentisering, men rullet det tilbake neste år fordi, til tross for manglene, var det fortsatt verdt å ha.

Når det er mulig, velg en autentiseringsmetode som ikke er koblet til tekstmeldinger, og du vil ha en bedre form for sikkerhet. Hold også passordene dine sterke og bruk en passordbehandling for å generere dem for pålogginger hvis du kan.

Hvordan kan tofaktorautentisering forbedres?

Å gå bort fra SMS-basert autentisering er det store aktuelle prosjektet. Det er mulig at tofaktorautentisering vil gå over til en håndfull tredjepartsapper som Duo, som fjerner mange av svakhetene knyttet til prosessen. Og flere høyrisikofelt vil flytte til MFA, eller multifaktorautentisering, som legger til et tredje krav, som et fingeravtrykk eller ytterligere sikkerhetsspørsmål.

Men den beste måten å fjerne problemer med tofaktorautentisering på er å introdusere et fysisk, maskinvarebasert aspekt. Selskaper og offentlige etater begynner allerede å kreve det for visse tilgangsnivåer. I nær fremtid er det en god sjanse for at vi alle har tilpassede autentiseringskort i lommeboken, klare til å sveipe på enhetene våre når du logger på tjenester. Det høres kanskje rart ut nå, men med kraftig økning av cybersikkerhetsangrep, kan det ende opp som den mest elegante løsningen.

Redaktørenes anbefalinger

• Hvorfor Nvidia RTX 4060 Ti rett og slett ikke er nok for 2023
• Hackerrekkene eksploderer - her er hvordan du kan beskytte deg selv
• Hvorfor Google Chrome inkognitomodus ikke er det den hevder å være
• Her er grunnen til at folk sier at Nvidia RTX 4090 ikke er verdt å vente på
• Her er grunnen til at folk sier å kjøpe M1 MacBook Air i stedet for M2

Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.