Чому люди кажуть, що двофакторна автентифікація не ідеальна

Коли двофакторна автентифікація була вперше представлена, вона зробила революцію в безпеці пристрою та допомогла значно ускладнити крадіжку особистих даних – за незначні незручності, додані під час входу.

Але це не ідеально, і воно не вирішило всіх наших проблем зі зломом і крадіжкою даних. Деякі останні новини надають більше інформації про те, як хакери обходять двофакторну автентифікацію та підривають нашу довіру до неї.

Що таке двофакторна автентифікація?

Двофакторна автентифікація додає додатковий рівень безпеки до процесу входу для пристроїв і служб. Раніше входи мали один фактор автентифікації — як правило, пароль або біометричний вхід, як-от сканування відбитків пальців або Face ID, іноді з додаванням контрольних запитань. Це забезпечило певну безпеку, але було далеко не ідеальним, особливо зі слабкими або автоматично заповненими паролями (або якщо бази даних входу зламано, і ця інформація починає з’являтися в темній мережі).

Двофакторна автентифікація вирішує ці проблеми, додаючи другий фактор, ще одну річ, яку людина має зробити, щоб гарантувати, що це справді вона та має повноваження на доступ. Як правило, це означає, що вам надіслано код через інший канал, як-от отримання текстового повідомлення чи електронної пошти від служби, який потім потрібно ввести.

Деякі використовують чутливі до часу коди (TOTP, одноразовий пароль на основі часу), а деякі використовують унікальні коди, пов’язані з певним пристроєм (HOTP, одноразовий пароль на основі HMAC). Деякі комерційні версії можуть навіть використовувати додаткові фізичні ключі, які потрібно мати під рукою.

Функція безпеки стала настільки поширеною, що ви, мабуть, звикли бачити повідомлення типу «Ми надіслали вам електронний лист із безпечним кодом, який потрібно ввести, будь ласка, перевірте ваш фільтр спаму, якщо ви його не отримали». Це найчастіше для нових пристроїв, і хоча це займає трохи часу, це величезний стрибок у безпеці порівняно з однофакторним методи. Але є деякі недоліки.

Це звучить досить безпечно. В чому проблема?

Нещодавно компанія з кібербезпеки Sophos опублікувала звіт, в якому детально описується дивовижний новий спосіб хакери пропускають двофакторну автентифікацію: печиво. Зловмисники «крадуть файли cookie», які дають їм доступ практично до будь-якого браузера, веб-сервісу, облікового запису електронної пошти чи навіть файлу.

Як ці кіберзлочинці отримують ці файли cookie? Що ж, Sophos зазначає, що ботнет Emotet є одним із таких шкідливих програм, які крадуть файли cookie та націлені на дані в браузерах Google Chrome. Люди також можуть придбати вкрадені файли cookie через підпільні ринки, які стали відомими в нещодавній справі EA, де дані для входу потрапили на ринок під назвою Genesis. Результатом стало 780 гігабайт вкрадених даних, які були використані для спроби виманити компанію.

Хоча це резонансний випадок, основний метод існує, і він показує, що двофакторна автентифікація далеко не ідеальна куля. Окрім крадіжки файлів cookie, існує низка інших проблем, які були виявлені протягом багатьох років:

• Якщо хакер має отримав ваше ім’я користувача або пароль для служби, вони можуть мати доступ до вашої електронної пошти (особливо якщо ви використовуєте той самий пароль) або номера телефону. Це особливо проблематично для двофакторної автентифікації на основі SMS/тексту, оскільки номери телефонів легко знайти, і їх можна використовувати для копіювання вашого телефону (серед інших трюків) і отримання текстового коду. Це вимагає більше роботи, але рішучий хакер все ще має чіткий шлях вперед.
• Окремі програми для двофакторної автентифікації, як-от Google Auth або Duo, набагато безпечніші, але рівень впровадження дуже низький. Люди, як правило, не хочуть завантажувати іншу програму лише з міркувань безпеки для однієї служби організаціям набагато простіше просто запитати "Електронна пошта чи текстове?" а не вимагати від клієнтів завантажувати a додаток третьої сторони. Іншими словами, найкращі типи двофакторної автентифікації насправді не використовуються.
• Іноді паролі надто легко скинути. Викрадачі ідентифікаційних даних можуть зібрати достатньо інформації про обліковий запис, щоб зателефонувати в службу підтримки клієнтів або знайти інші способи запиту нового пароля. Це часто обходить будь-яку двофакторну автентифікацію, і, коли це працює, це дозволяє злодіям отримати прямий доступ до облікового запису.
• Слабші форми двофакторної автентифікації мало захищають від національних держав. Уряди мають інструменти, які можуть легко протидіяти двофакторній автентифікації, включаючи моніторинг SMS-повідомлень, примусовий зв’язок із операторами бездротового зв’язку або перехоплення кодів автентифікації іншими способами. Це не гарна новина для тих, хто хоче захистити свої дані від більш тоталітарних режимів.
• Багато схем крадіжки даних повністю обходять двофакторну автентифікацію, зосереджуючись замість цього на тому, щоб обдурити людей. Просто подивіться всі спроби фішингу, видані банками, державні установи, інтернет-провайдери тощо, запитуючи важливу інформацію про обліковий запис. Ці фішингові повідомлення можуть виглядати дуже реальними та містити щось на кшталт: «Нам потрібні ваші код автентифікації з нашого боку, щоб ми також могли підтвердити, що ви є власником облікового запису», або інші хитрощі отримати коди.

Чи варто продовжувати використовувати двофакторну автентифікацію?

Абсолютно. Насправді вам слід переглянути свої служби та пристрої та ввімкнути двофакторну автентифікацію, де вона доступна. Він забезпечує значно кращий захист від таких проблем, як крадіжка особистих даних, ніж просте ім’я користувача та пароль.

Навіть двофакторна аутентифікація на основі SMS набагато краща, ніж жодна. Фактично, Національний інститут стандартів і технологій одного разу рекомендував не використовувати SMS у двофакторній автентифікації, але потім відкотив це наступного року тому що, незважаючи на недоліки, його все одно варто було мати.

Якщо можливо, виберіть метод автентифікації, який не пов’язаний із текстовими повідомленнями, і ви матимете кращу форму безпеки. Крім того, тримайте свої паролі надійними та використовувати менеджер паролів для їх створення для входу, якщо можете.

Як можна покращити двофакторну автентифікацію?

Відмова від автентифікації на основі SMS є великим поточним проектом. Цілком можливо, що двофакторна автентифікація буде переведена на кілька програми сторонніх розробників, такі як Duo, які усувають багато недоліків, пов’язаних із процесом. Більше полів із високим ризиком перемістяться в MFA або багатофакторну автентифікацію, яка додає третю вимогу, як-от відбиток пальця або додаткові питання безпеки.

Але найкращий спосіб усунути проблеми з двофакторною автентифікацією — запровадити фізичний, апаратний аспект. Компанії та державні установи вже починають вимагати це для певних рівнів доступу. У найближчому майбутньому є велика ймовірність того, що всі ми матимемо налаштовані картки автентифікації в наших гаманцях, готові провести по наших пристроях під час входу в сервіси. Зараз це може здатися дивним, але з стрімке зростання кількості атак на кібербезпеку, це може стати найелегантнішим рішенням.

Рекомендації редакції

• Чому Nvidia RTX 4060 Ti просто не вистачає на 2023 рік
• Число хакерів зростає — ось як ви можете захистити себе
• Чому режим анонімного перегляду Google Chrome не є тим, за що себе видає
• Ось чому люди кажуть, що на Nvidia RTX 4090 не варто чекати
• Ось чому люди кажуть купувати M1 MacBook Air замість M2

Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.