Varför folk säger tvåfaktorsautentisering är inte perfekt

När tvåfaktorsautentisering först introducerades revolutionerade det enhetssäkerhet och bidrog till att göra identitetsstöld mycket svårare – till den lilla kostnaden av mindre besvär som lades till vid inloggningar.

Men det är inte perfekt, och det har inte heller löst alla våra problem med hackning och datastöld. Några senaste nyheter har gett mer sammanhang för hur hackare har kringgått tvåfaktorsautentisering och urholkat en del av vårt förtroende för den.

Vad exakt är tvåfaktorsautentisering?

Tvåfaktorsautentisering lägger till ett extra lager av säkerhet till inloggningsprocessen för enheter och tjänster. Tidigare hade inloggningar en enda faktor för autentisering - vanligtvis ett lösenord eller en biometrisk inloggning som en fingeravtrycksskanning eller Face ID, ibland med tillägg av säkerhetsfrågor. Det gav viss säkerhet, men det var långt ifrån perfekt, särskilt med svaga lösenord eller autoifyllda lösenord (eller om inloggningsdatabaser hackas och den informationen börjar dyka upp på den mörka webben).

Tvåfaktorsautentisering åtgärdar dessa problem genom att lägga till en andra faktor, en annan sak som en person måste göra för att garantera att det verkligen är dem och att de har behörighet att komma åt. Vanligtvis innebär det att du skickar en kod via en annan kanal, som att få ett sms eller e-postmeddelande från tjänsten, som du sedan måste mata in.

Vissa använder tidskänsliga koder (TOTP, Time-Based One Time Password), och vissa använder unika koder som är associerade med en specifik enhet (HOTP, HMAC-based One Time Password). Vissa kommersiella versioner kan till och med använda ytterligare fysiska nycklar som du behöver ha till hands.

Säkerhetsfunktionen har blivit så vanlig att du förmodligen är van vid att se meddelanden i stil med: "Vi har skickat ett e-postmeddelande med en säkerhetskod att ange, vänligen kontrollera ditt skräppostfilter om du inte har fått det." Det är vanligast för nya enheter, och även om det tar lite tid, är det ett stort steg i säkerhet jämfört med enfaktor metoder. Men det finns några brister.

Det låter ganska säkert. Vad är problemet?

En rapport kom nyligen ut från cybersäkerhetsföretaget Sophos som beskriver ett överraskande nytt sätt hackare hoppar över tvåfaktorsautentisering: kakor. Dåliga skådespelare har "stjälat kakor", vilket ger dem tillgång till praktiskt taget alla typer av webbläsare, webbtjänster, e-postkonton eller till och med filer.

Hur får dessa cyberbrottslingar dessa cookies? Jo, Sophos noterar att Emotet-botnätet är en sådan skadlig programvara som stjäl kakor som riktar sig till data i Google Chrome-webbläsare. Människor kan också köpa stulna kakor genom underjordiska marknadsplatser, vilket blev känt i det senaste EA-fallet där inloggningsuppgifter hamnade på en marknadsplats som heter Genesis. Resultatet blev 780 gigabyte stulen data som användes för att försöka pressa företaget.

Även om det är ett högprofilerat fall, finns den underliggande metoden där ute, och den visar att tvåfaktorsautentisering är långt ifrån en silverkula. Utöver att bara stjäla kakor, finns det ett antal andra problem som har identifierats under åren:

• Om en hacker har fått tag på ditt användarnamn eller lösenord för en tjänst, kan de ha tillgång till din e-post (särskilt om du använder samma lösenord) eller ditt telefonnummer. Detta är särskilt problematiskt för SMS/textbaserad tvåfaktorsautentisering, eftersom telefonnummer är lätta att hitta och kan användas för att kopiera din telefon (bland andra knep) och ta emot den textade koden. Det kräver mer arbete, men en målmedveten hacker har fortfarande en tydlig väg framåt.
• Separata appar för tvåfaktorsautentisering, som Google Auth eller Duo, är mycket säkrare, men användningsfrekvensen är mycket låg. Människor tenderar att inte vilja ladda ner en annan app bara av säkerhetsskäl för en enda tjänst, och organisationer tycker det är mycket lättare att bara fråga "E-post eller sms?" snarare än att kräva att kunderna laddar ner en tredjepartsapp. Med andra ord, de bästa typerna av tvåfaktorsautentisering används inte riktigt.
• Ibland är lösenord för lätta att återställa. Identitetstjuvar kan samla tillräckligt med information om ett konto för att ringa kundtjänst eller hitta andra sätt att begära ett nytt lösenord. Detta kringgår ofta all inblandad tvåfaktorsautentisering och, när det fungerar, ger det tjuvar direkt åtkomst till kontot.
• Svagare former av tvåfaktorsautentisering ger lite skydd mot nationalstater. Regeringar har verktyg som enkelt kan motverka tvåfaktorsautentisering, inklusive övervakning av SMS-meddelanden, tvingande av trådlösa operatörer eller avlyssning av autentiseringskoder på andra sätt. Det är inte goda nyheter för dem som vill ha sätt att hålla sin data privat från mer totalitära regimer.
• Många datastöldsystem kringgår tvåfaktorsautentisering helt genom att fokusera på att lura människor istället. Titta bara på alla nätfiskeförsök som utger sig vara från banker, statliga myndigheter, internetleverantörer, etc., som ber om viktig kontoinformation. Dessa nätfiskemeddelanden kan se väldigt verkliga ut och kan innehålla något som "Vi behöver din autentiseringskod på vår sida så att vi också kan bekräfta att du är kontoinnehavaren”, eller andra knep för att få koder.

Ska jag fortsätta använda tvåfaktorsautentisering?

Absolut. Faktum är att du bör gå igenom dina tjänster och enheter och aktivera tvåfaktorsautentisering där den är tillgänglig. Det ger betydligt bättre säkerhet mot problem som identitetsstöld än ett enkelt användarnamn och lösenord.

Även SMS-baserad tvåfaktorsautentisering är mycket bättre än ingen alls. Faktum är att National Institute of Standards and Technology en gång rekommenderade att inte använda SMS i tvåfaktorsautentisering, men sedan rullade tillbaka det nästa år för trots bristerna var den ändå värd att ha.

När det är möjligt, välj en autentiseringsmetod som inte är kopplad till textmeddelanden, så får du en bättre form av säkerhet. Håll också dina lösenord starka och använd en lösenordshanterare för att skapa dem för inloggningar om du kan.

Hur kan tvåfaktorsautentisering förbättras?

Att gå bort från SMS-baserad autentisering är det stora aktuella projektet. Det är möjligt att tvåfaktorsautentisering kommer att övergå till en handfull tredjepartsappar som Duo, som tar bort många av de svagheter som är förknippade med processen. Och fler högriskfält kommer att flyttas till MFA, eller multifaktorautentisering, vilket lägger till ett tredje krav, som ett fingeravtryck eller ytterligare säkerhetsfrågor.

Men det bästa sättet att ta bort problem med tvåfaktorsautentisering är att introducera en fysisk, hårdvarubaserad aspekt. Företag och statliga myndigheter börjar redan kräva det för vissa åtkomstnivåer. Inom en snar framtid finns det en rimlig chans att vi alla kommer att ha anpassade autentiseringskort i våra plånböcker, redo att svepa mot våra enheter när vi loggar in på tjänster. Det låter kanske konstigt nu, men med kraftig ökning av cybersäkerhetsattacker, kan det sluta som den mest eleganta lösningen.

Redaktörens rekommendationer

• Varför Nvidia RTX 4060 Ti helt enkelt inte räcker för 2023
• Hackerrangerna exploderar - så här kan du skydda dig själv
• Varför Google Chromes inkognitoläge inte är vad det utger sig för att vara
• Här är varför folk säger att Nvidia RTX 4090 inte är värt att vänta på
• Här är varför folk säger att man ska köpa M1 MacBook Air istället för M2

Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.