Dlaczego ludzie mówią, że uwierzytelnianie dwuskładnikowe nie jest idealne

Kiedy po raz pierwszy wprowadzono uwierzytelnianie dwuskładnikowe, zrewolucjonizowało ono bezpieczeństwo urządzeń i pomogło znacznie utrudnić kradzież tożsamości – za niewielką cenę drobnych niedogodności dodanych do logowania.

Ale nie jest doskonały ani nie rozwiązał wszystkich naszych problemów z hakowaniem i kradzieżą danych. Niektóre najnowsze wiadomości dostarczyły więcej informacji na temat tego, w jaki sposób hakerzy omijają uwierzytelnianie dwuskładnikowe i podkopują nasze zaufanie do niego.

Czym dokładnie jest uwierzytelnianie dwuskładnikowe?

Uwierzytelnianie dwuskładnikowe dodaje dodatkową warstwę bezpieczeństwa do procesu logowania do urządzeń i usług. Wcześniej logowanie opierało się na jednym czynniku uwierzytelniania — zazwyczaj było to hasło lub login biometryczny, taki jak skan linii papilarnych lub Face ID, czasami z dodatkowymi pytaniami zabezpieczającymi. Zapewniło to pewne bezpieczeństwo, ale było dalekie od ideału, zwłaszcza w przypadku słabych haseł lub automatycznie uzupełnianych haseł (lub jeśli bazy danych logowania zostały zhakowane i informacje te zaczynają pojawiać się w ciemnej sieci).

Uwierzytelnianie dwuskładnikowe rozwiązuje te problemy, dodając drugi czynnik, kolejną rzecz, którą osoba musi zrobić, aby zagwarantować, że to naprawdę ona i że ma uprawnienia dostępu. Zwykle oznacza to wysłanie kodu innym kanałem, na przykład otrzymanie wiadomości tekstowej lub wiadomości e-mail z usługi, którą następnie należy wprowadzić.

Niektóre używają kodów zależnych od czasu (TOTP, jednorazowe hasło oparte na czasie), a inne unikatowych kodów powiązanych z określonym urządzeniem (HOTP, jednorazowe hasło oparte na HMAC). Niektóre wersje komercyjne mogą nawet używać dodatkowych kluczy fizycznych, które musisz mieć pod ręką.

Funkcja bezpieczeństwa stała się tak powszechna, że ​​prawdopodobnie przyzwyczaiłeś się do wiadomości typu: „Wysłaliśmy Ci wiadomość e-mail z bezpiecznym kodem do wprowadzenia, sprawdź swój filtr antyspamowy, jeśli go nie otrzymałeś”. Jest to najczęściej spotykane w przypadku nowych urządzeń i chociaż zajmuje trochę czasu, jest to ogromny skok w zakresie bezpieczeństwa w porównaniu z jednoskładnikowym metody. Ale są pewne wady.

To brzmi całkiem bezpiecznie. Jaki jest problem?

Niedawno pojawił się raport firmy Sophos zajmującej się cyberbezpieczeństwem, który szczegółowo opisał zaskakujący nowy sposób hakerzy pomijają uwierzytelnianie dwuskładnikowe: ciasteczka. Źli aktorzy „kradną pliki cookie”, co daje im dostęp do praktycznie każdego rodzaju przeglądarki, usługi internetowej, konta e-mail, a nawet pliku.

W jaki sposób cyberprzestępcy uzyskują te pliki cookie? Cóż, Sophos zauważa, że ​​botnet Emotet jest jednym z takich złośliwych programów kradnących pliki cookie, które atakują dane w przeglądarkach Google Chrome. Ludzie mogą również kupować skradzione pliki cookie za pośrednictwem podziemnych rynków, co stało się sławne w niedawnej sprawie EA, w której dane logowania trafiły na rynek o nazwie Genesis. Rezultatem było 780 gigabajtów skradzionych danych, które wykorzystano do próby wyłudzenia od firmy.

Chociaż jest to głośny przypadek, podstawowa metoda jest dostępna i pokazuje, że uwierzytelnianie dwuskładnikowe jest dalekie od srebrnej kuli. Oprócz kradzieży plików cookie istnieje szereg innych problemów, które zostały zidentyfikowane na przestrzeni lat:

• Jeśli haker ma zdobył Twoją nazwę użytkownika lub hasło do usługi, mogą mieć dostęp do Twojego adresu e-mail (zwłaszcza jeśli używasz tego samego hasła) lub numeru telefonu. Jest to szczególnie problematyczne w przypadku uwierzytelniania dwuskładnikowego opartego na SMS-ach/tekstach, ponieważ numery telefonów są łatwe do znalezienia i można ich użyć do skopiowania telefonu (między innymi) i otrzymania kodu w wiadomości tekstowej. Wymaga to więcej pracy, ale zdeterminowany haker nadal ma jasną ścieżkę do przodu.
• Oddzielne aplikacje do uwierzytelniania dwuskładnikowego, takie jak Google Auth lub Duo, są znacznie bezpieczniejsze, ale wskaźniki adopcji są bardzo niskie. Ludzie zwykle nie chcą pobierać innej aplikacji tylko ze względów bezpieczeństwa dla jednej usługi i organizacjom dużo łatwiej jest po prostu zapytać „E-mail czy SMS?” zamiast wymagać od klientów pobrania pliku aplikacja innej firmy. Innymi słowy, najlepsze typy uwierzytelniania dwuskładnikowego tak naprawdę nie są używane.
• Czasami hasła są zbyt łatwe do zresetowania. Złodzieje tożsamości mogą zebrać wystarczającą ilość informacji o koncie, aby zadzwonić do obsługi klienta lub znaleźć inne sposoby zażądania nowego hasła. Często pozwala to na obejście uwierzytelniania dwuskładnikowego, a gdy działa, umożliwia złodziejom bezpośredni dostęp do konta.
• Słabsze formy uwierzytelniania dwuskładnikowego zapewniają niewielką ochronę przed państwami narodowymi. Rządy dysponują narzędziami, które mogą łatwo przeciwdziałać uwierzytelnianiu dwuskładnikowemu, w tym monitorowaniu wiadomości SMS, zmuszaniu operatorów bezprzewodowych lub przechwytywaniu kodów uwierzytelniających na inne sposoby. To nie jest dobra wiadomość dla tych, którzy chcą sposobów na zachowanie prywatności swoich danych przed bardziej totalitarnymi reżimami.
• Wiele schematów kradzieży danych całkowicie omija uwierzytelnianie dwuskładnikowe, skupiając się zamiast tego na oszukiwaniu ludzi. Po prostu spójrz wszystkie próby phishingu udające banki, agencje rządowe, dostawcy internetu itp. z prośbą o podanie ważnych informacji o koncie. Te wiadomości phishingowe mogą wyglądać bardzo realistycznie i zawierać coś w rodzaju: „Potrzebujemy twojego kod uwierzytelniający po naszej stronie, abyśmy mogli również potwierdzić, że jesteś właścicielem konta” lub inne sztuczki dostać kody.

Czy powinienem nadal korzystać z uwierzytelniania dwuskładnikowego?

Absolutnie. W rzeczywistości powinieneś przejrzeć swoje usługi i urządzenia i włączyć uwierzytelnianie dwuskładnikowe, jeśli jest dostępne. Zapewnia znacznie lepsze zabezpieczenie przed problemami, takimi jak kradzież tożsamości, niż zwykła nazwa użytkownika i hasło.

Nawet uwierzytelnianie dwuskładnikowe oparte na SMS-ach jest znacznie lepsze niż żadne. Rzeczywiście, Narodowy Instytut Standardów i Technologii odradzał kiedyś używanie SMS-ów w uwierzytelnianiu dwuskładnikowym, ale potem wycofał to w następnym roku bo mimo wad warto było ją mieć.

Jeśli to możliwe, wybierz metodę uwierzytelniania, która nie jest powiązana z wiadomościami tekstowymi, a uzyskasz lepszą formę bezpieczeństwa. Zadbaj również o to, aby hasła były silne i użyj menedżera haseł, aby je wygenerować o loginy, jeśli możesz.

Jak można ulepszyć uwierzytelnianie dwuskładnikowe?

Odejście od uwierzytelniania opartego na SMS-ach to obecnie duży projekt. Możliwe, że uwierzytelnianie dwuskładnikowe zostanie zmienione na kilka aplikacje innych firm, takie jak Duo, które usuwają wiele słabości związanych z procesem. A więcej pól wysokiego ryzyka zostanie przeniesionych do MFA lub uwierzytelniania wieloskładnikowego, które dodaje trzeci wymóg, taki jak odcisk palca lub dodatkowe pytania zabezpieczające.

Jednak najlepszym sposobem na usunięcie problemów z uwierzytelnianiem dwuskładnikowym jest wprowadzenie aspektu fizycznego, opartego na sprzęcie. Firmy i agencje rządowe już zaczynają tego wymagać w przypadku niektórych poziomów dostępu. W niedalekiej przyszłości istnieje spora szansa, że ​​wszyscy będziemy mieć w naszych portfelach spersonalizowane karty uwierzytelniające, gotowe do przesunięcia palcem po naszych urządzeniach podczas logowania do usług. Teraz może to zabrzmieć dziwnie, ale z tzw gwałtowny wzrost liczby ataków cybernetycznych, może okazać się najbardziej eleganckim rozwiązaniem.

Zalecenia redaktorów

• Dlaczego Nvidia RTX 4060 Ti po prostu nie wystarczy na 2023 rok
• Rangi hakerów eksplodują — oto jak możesz się chronić
• Dlaczego tryb incognito w przeglądarce Google Chrome nie jest tym, za co się podaje
• Oto dlaczego ludzie mówią, że Nvidia RTX 4090 nie jest warta czekania
• Oto dlaczego ludzie mówią, żeby kupić M1 MacBook Air zamiast M2

Ulepsz swój styl życiaTrendy cyfrowe pomagają czytelnikom śledzić szybko zmieniający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zapowiedziom.