Zakaj ljudje pravijo, da dvostopenjska avtentikacija ni popolna

Ko je bila prvič uvedena dvostopenjska avtentikacija, je spremenila varnost naprave in pripomogla, da je bila kraja identitete veliko težja – z majhno ceno manjših nevšečnosti, ki so bile dodane prijavam.

Vendar ni popoln, niti ni rešil vseh naših težav z vdiranjem in krajo podatkov. Nekatere nedavne novice so zagotovile več konteksta za to, kako so se hekerji izognili dvofaktorski avtentikaciji in spodkopali del našega zaupanja vanjo.

Kaj pravzaprav je dvofaktorska avtentikacija?

Dvostopenjska avtentikacija doda dodatno raven varnosti procesu prijave za naprave in storitve. Prej so prijave imele en sam dejavnik za preverjanje pristnosti - običajno geslo ali biometrično prijavo, kot je skeniranje prstnih odtisov ali Face ID, občasno z dodatkom varnostnih vprašanj. To je zagotovilo nekaj varnosti, vendar še zdaleč ni bilo popolno, zlasti pri šibkih geslih ali samodejno izpolnjenih geslih (ali če pride do vdora v zbirke podatkov za prijavo in se ti podatki začnejo prikazovati v temnem spletu).

Dvostopenjsko preverjanje pristnosti obravnava te težave z dodajanjem drugega dejavnika, še ene stvari, ki jo mora oseba narediti, da zagotovi, da je to res ona in ima pooblastilo za dostop. Običajno to pomeni pošiljanje kode prek drugega kanala, na primer prejemanje besedilnega sporočila ali e-pošte od storitve, ki jo morate nato vnesti.

Nekateri uporabljajo časovno občutljive kode (TOTP, Time-Based One Time Password), nekateri pa uporabljajo edinstvene kode, povezane z določeno napravo (HOTP, HMAC-based One Time Password). Nekatere komercialne različice lahko celo uporabljajo dodatne fizične ključe, ki jih morate imeti pri roki.

Varnostna funkcija je postala tako pogosta, da ste verjetno že navajeni na sporočila, kot so: »Poslali smo vam e-pošto z varno kodo, ki jo morate vnesti, preverite vaš filter neželene pošte, če ga niste prejeli.« Najpogostejši je pri novih napravah in čeprav vzame malo časa, je velik skok v varnosti v primerjavi z enofaktorskim metode. Vendar obstaja nekaj pomanjkljivosti.

To zveni precej varno. V čem je problem?

Podjetje za kibernetsko varnost Sophos je nedavno objavilo poročilo, v katerem je podrobno opisan nov presenetljiv način hekerji preskočijo dvofaktorsko avtentikacijo: piškotki. Slabi akterji so bili »krade piškotkov«, kar jim omogoča dostop do skoraj vseh vrst brskalnikov, spletnih storitev, e-poštnih računov ali celo datotek.

Kako ti spletni kriminalci pridejo do teh piškotkov? No, Sophos ugotavlja, da je botnet Emotet eden takšnih kosov zlonamerne programske opreme, ki krade piškotke in cilja na podatke v brskalnikih Google Chrome. Ljudje lahko tudi kupijo ukradene piškotke prek podzemnih tržnic, kar je postalo znano v nedavnem primeru EA, kjer so se podatki za prijavo znašli na tržnici, imenovani Genesis. Rezultat je bilo 780 gigabajtov ukradenih podatkov, ki so bili uporabljeni za poskus izsiljevanja podjetja.

Čeprav je to zelo odmeven primer, je osnovna metoda tam zunaj in kaže, da dvostopenjska avtentikacija še zdaleč ni prava rešitev. Poleg kraje piškotkov obstajajo številne druge težave, ki so bile ugotovljene v preteklih letih:

• Če ima heker pridobil vaše uporabniško ime ali geslo za storitev, lahko imajo dostop do vaše e-pošte (še posebej, če uporabljate isto geslo) ali telefonske številke. To je še posebej problematično pri dvofaktorski avtentikaciji na podlagi sporočila SMS/besedilo, saj je telefonske številke enostavno najti in jih je mogoče uporabiti za kopiranje vašega telefona (med drugimi triki) in prejem kode v sporočilu. Potrebno je več dela, a odločen heker ima še vedno jasno pot naprej.
• Ločene aplikacije za dvostopenjsko avtentikacijo, kot sta Google Auth ali Duo, so veliko bolj varne, vendar so stopnje uporabe zelo nizke. Ljudje ponavadi ne želijo prenesti druge aplikacije samo zaradi varnosti za eno storitev in organizacijam je veliko lažje preprosto vprašati "E-pošta ali SMS?" namesto da bi od strank zahtevali, da prenesejo a aplikacijo tretje osebe. Z drugimi besedami, najboljše vrste dvofaktorske avtentikacije se v resnici ne uporabljajo.
• Včasih je gesla prelahko ponastaviti. Tatovi identitete lahko zberejo dovolj informacij o računu, da pokličejo službo za stranke ali najdejo druge načine za zahtevo po novem geslu. To pogosto zaobide vpleteno dvostopenjsko avtentikacijo in, ko deluje, tatovom omogoči neposreden dostop do računa.
• Šibkejše oblike dvofaktorske avtentikacije ponujajo malo zaščite pred nacionalnimi državami. Vlade imajo orodja, s katerimi se zlahka zoperstavijo dvofaktorski avtentikaciji, vključno s spremljanjem sporočil SMS, prisiljevanjem mobilnih operaterjev ali prestrezanjem kod za preverjanje pristnosti na druge načine. To ni dobra novica za tiste, ki želijo svoje podatke zaščititi pred bolj totalitarnimi režimi.
• Številne sheme kraje podatkov v celoti zaobidejo dvostopenjsko avtentikacijo in se namesto tega osredotočijo na preslepitev ljudi. Samo poglej vsi poskusi lažnega predstavljanja, ki se pretvarjajo, da prihajajo iz bank, vladne agencije, internetni ponudniki itd., ki zahtevajo pomembne podatke o računu. Ta lažna sporočila so lahko videti zelo resnična in lahko vključujejo nekaj takega: »Potrebujemo vaše kodo za preverjanje pristnosti na naši strani, da lahko tudi potrdimo, da ste imetnik računa,« ali druge trike za dobite kode.

Ali naj še naprej uporabljam dvostopenjsko avtentikacijo?

Vsekakor. Pravzaprav bi morali pregledati svoje storitve in naprave ter omogočiti dvofaktorsko avtentikacijo, kjer je na voljo. Ponuja znatno boljšo varnost pred težavami, kot je kraja identitete, kot preprosto uporabniško ime in geslo.

Celo dvostopenjska avtentikacija na podlagi sporočil SMS je veliko boljša kot nobena. Pravzaprav je Nacionalni inštitut za standarde in tehnologijo nekoč priporočil uporabo SMS-ov pri dvofaktorski avtentikaciji, vendar je to naslednje leto vrnil nazaj ker se je kljub napakam še vedno splačalo imeti.

Če je mogoče, izberite način preverjanja pristnosti, ki ni povezan z besedilnimi sporočili, in imeli boste boljšo obliko varnosti. Prav tako naj bodo vaša gesla močna in uporabite upravitelja gesel, da jih ustvarite za prijave, če lahko.

Kako lahko izboljšamo dvostopenjsko avtentikacijo?

Odmik od avtentikacije na podlagi SMS-ov je trenutno velik projekt. Možno je, da bo dvostopenjska avtentikacija prešla na peščico aplikacije drugih proizvajalcev, kot je Duo, ki odpravlja številne slabosti, povezane s postopkom. In več polj z visokim tveganjem se bo preselilo v MFA ali večfaktorsko avtentikacijo, ki dodaja tretjo zahtevo, kot je prstni odtis ali dodatna varnostna vprašanja.

Toda najboljši način za odpravo težav z dvofaktorsko avtentikacijo je uvedba fizičnega vidika, ki temelji na strojni opremi. Podjetja in vladne agencije to že začenjajo zahtevati za določene ravni dostopa. V bližnji prihodnosti obstaja velika verjetnost, da bomo vsi imeli prilagojene kartice za preverjanje pristnosti v svojih denarnicah, pripravljene za poteg po naših napravah, ko se prijavljamo v storitve. Morda se zdaj sliši čudno, toda s strm porast napadov na kibernetsko varnost, bi se lahko izkazalo za najbolj elegantno rešitev.

Priporočila urednikov

• Zakaj Nvidia RTX 4060 Ti preprosto ni dovolj za leto 2023
• Število hekerjev eksplodira - tukaj je, kako se lahko zaščitite
• Zakaj način brez beleženja zgodovine Google Chrome ni to, za kar se predstavlja
• Zato ljudje pravijo, da se na Nvidio RTX 4090 ne splača čakati
• To je razlog, zakaj ljudje pravijo, da kupite M1 MacBook Air namesto M2

Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.