Este timpul să opriți utilizarea aplicațiilor SMS și 2FA pentru autentificarea cu doi factori

Publicitate

În zilele noastre, se pare că fiecare site web pe care îl vizitați vreodată încearcă să vă încurajeze utilizați autentificarea cu doi factori (2FA).

Una dintre cele mai comune metode de utilizare a 2FA este introducerea unui cod unic de pe dispozitivul dvs. mobil. De obicei, primiți codul într-un mesaj text sau utilizați o aplicație 2FA terță parte pentru a genera unul.

Cele două metode sunt ambele modalități populare de a utiliza coduri datorită comodității lor. Cu toate acestea, ambele metode sunt, de asemenea, slabe din punct de vedere al securității. Și pentru că codul dvs. 2FA este la fel de sigur ca tehnologia folosită pentru livrarea acestuia, punctele slabe sunt importante.

Deci, cu ce este în neregulă folosind SMS-uri și aplicații terțe pentru a vă accesa codurile Ce sunt conectările fără parolă? Sunt de fapt securizate?Conectările fără parolă vin. Sunt siguri? Cum funcționează conectările fără parolă? Iată ce trebuie să știți. Citeste mai mult ? Există o alternativă la fel de convenabilă, care este mai sigură? Vom explica totul. Continuați să citiți pentru a afla mai multe.

Cum funcționează autentificarea cu doi factori

Să luăm un moment pentru a discuta despre modul în care funcționează autentificarea cu doi factori. Fără a înțelege mecanica din spatele tehnologiei, restul acestui articol nu va avea prea mult sens.

În termeni generali, 2FA adaugă un nivel suplimentar de securitate în cont Cum vă securizați conturile cu 2FA: Gmail, Outlook și multe alteleAutentificarea cu doi factori poate ajuta la securizarea e-mailului și a rețelelor sociale? Iată ce trebuie să știți pentru a vă asigura securitatea online. Citeste mai mult . Cunoscute și sub denumirea de autentificare cu mai mulți factori, acreditările de conectare constau nu numai dintr-o parolă, ci și dintr-oa doua informație la care are acces doar proprietarul legitim al contului.

2FA vine în mai multe forme diferite Pro și contra tipurilor și metodelor de autentificare cu doi factoriMetodele de autentificare cu doi factori nu sunt create egale. Unele sunt demonstrabil mai sigure și mai sigure. Iată o privire asupra celor mai comune metode și care dintre ele se potrivesc cel mai bine nevoilor dvs. individuale. Citeste mai mult . La nivelul său de bază, ar putea fi ceva atât de simplu precum întrebările de securitate (pentru că nimeni altcineva nu ar putea cunoaște numele de fată al mamei tale De ce răspunzi la întrebări de securitate parolă greșitCum răspundeți la întrebările de securitate a contului online? Răspunsuri cinstite? Din păcate, onestitatea ta ar putea crea un chink în armura ta online. Să aruncăm o privire cum să răspundem în siguranță la întrebările de securitate. Citeste mai mult sau animalul de companie preferat). La sfârșitul mai complicat, ar putea fi un ID biometric, cum ar fi o scanare a retinei sau o amprentă.

De ce ar trebui să evitați verificarea prin SMS

SMS-ul se bucură de poziția ca cel mai accesibil mod de accesare și utilizare a codurilor 2FA. Dacă un site oferă autentificări cu doi factori, aproape sigur oferă SMS-ul ca una dintre opțiuni.

Dar SMS-ul nu este un mod sigur de a utiliza 2FA. Are două vulnerabilități cheie.

În primul rând, tehnologia este susceptibile de atacuri de tip SIM Swap. Nu este nevoie de un hacker pentru a efectua un SIM Swap. Dacă au acces la o altă informație personală - cum ar fi numărul dvs. de securitate socială, vă pot apela transportatorul și vă puteți muta numărul pe o nouă cartelă SIM.

În al doilea rând, hackerii pot interceptați mesajele SMS. Totul se întoarce la sistemul de rutare telefonic, actualizat cu numărul 7 (SS7) de semnalizare. Metodologia a fost concepută încă din 1975, dar este încă utilizată aproape la nivel global pentru a conecta și deconecta apelurile. De asemenea, se ocupă cu traduceri de numere, facturare preplătită și, în mod crucial, mesaje SMS.

Nu este surprinzător că această tehnologie din 1975 este plină de găuri de securitate. Iată cum expertul în securitate Bruce Schneier a descris defectele:

„Dacă atacatorii au acces la un portal SS7, pot să îți trimită conversațiile către un dispozitiv de înregistrare online și să reorienteze apelul către destinația sa […] Înseamnă că un infractor bine echipat ar putea să-ți ia mesajele de verificare și să le folosească înainte de a fi văzut lor."

Desigur, descoperirea faptului că un cyber-criminal are ți-a piratat Facebook-ul Cum să aflați dacă contul dvs. de Facebook a fost piratatDacă Facebook conține atât de multe date, trebuie să vă păstrați contul în siguranță. Iată cum să aflați dacă Facebook-ul dvs. a fost piratat. Citeste mai mult contul este departe de ideal. Însă situația este mai scăzută atunci când iați în considerare alte utilizări ale 2FA. Un infractor cibernetic ar putea fura codurile pe care le utilizați în serviciile bancare online sau chiar inițiați și completați transferurile de bani Cele mai bune 6 aplicații pentru a trimite bani prietenilorData viitoare când trebuie să trimiteți bani prietenilor, consultați aceste aplicații mobile grozave pentru a trimite bani oricui în câteva minute. Citeste mai mult .

Mai mult, Schneier susține, de asemenea, că oricine poate achiziționa acces la rețeaua SS7 pentru aproximativ 1.000 de dolari. După ce au acces, pot trimite o solicitare de rutare. Pentru a completa problema, este posibil ca rețeaua să nu autentifice sursa solicitării.

Nu uitați, utilizarea autentificării prin doi factori prin SMS este mai bună decât a lăsa dezactivat 2FA. Și este probabil puțin probabil să deveniți o victimă. Cu toate acestea, dacă începeți să vă simțiți un pic îngrijorați, trebuie să continuați să citiți. Mulți oameni acceptă faptul că SMS-ul este nesigur și apelează la aplicații terțe.

Dar s-ar putea să nu fie mult mai bine.

De ce ar trebui să evitați aplicațiile 2FA

Celălalt mod obișnuit de a utiliza codurile 2FA este să instalați o aplicație dedicată pentru smartphone. Există o mulțime de alegeri. Google Authenticator este probabil cel mai recunoscut, dar nu este neapărat cel mai bun. Există o mulțime de alternative acolo - consultați Authy, Authenticator Plus și Duo.

Dar cât de sigure sunt aplicațiile 2FA de specialitate? Cea mai mare slăbiciune a lor este încrederea pe o cheie secretă.

Să facem un pas înapoi pentru o secundă. În cazul în care nu sunteți conștienți, atunci când vă înscrieți pentru multe dintre aplicații pentru prima dată, va trebui să introduceți o cheie secretă. Secretul este împărtășit între dvs. și furnizorul aplicației.

Când accesați un site, codul creat de aplicație se bazează pe o combinație între cheia dvs. și ora curentă. În același moment, serverul generează un cod folosind aceleași informații. Cele două coduri trebuie să se potrivească pentru a fi acordat accesul. Pare sensibil.

Deci de ce sunt cheile punctul slab? Ei bine, ce se întâmplă dacă un infractor criminalist reușește să obțină acces la parola și baza de date a secretelor unei companii? Fiecare cont ar fi vulnerabil - atacatorul putea să vină și să plece Cum să verificați dacă altcineva vă accesează contul de FacebookEste atât sinistru, cât și îngrijorător, dacă cineva are acces la contul dvs. de Facebook fără să vă cunoască. Iată cum să știi dacă ai fost încălcat. Citeste mai mult după plac.

În al doilea rând, secretul este fie afișat în text simplu, fie ca un cod QR; nu poate fi spălat sau folosit cu o sare Ce înseamnă tot acest lucru H5 MD Hash [Tehnologie explicată]Iată o scădere completă a MD5, hashing și o mică privire de ansamblu asupra computerelor și criptografiei. Citeste mai mult . Este probabil și în text simplu pe serverele companiei.

Cheia secretă este defecțiunea fundamentală a parolei bazate pe o singură dată (TOTP) bazată pe timp pe care o folosesc aplicațiile de specialitate. Acesta este motivul pentru care o cheie fizică U2F este întotdeauna o opțiune mai sigură.

Defecțiuni în proiectare și securitate pentru aplicațiile 2FA

Desigur, șansele unui hacker cibernal al bazelor de date necesare unei aplicații terțe sunt destul de mici. Dar aplicația dvs. ar putea suferi, de asemenea, de defecte de securitate de bază în proiectarea sa.

Popular manager de parolă LastPass 8 modalități ușoare de a-ți supraîncărca securitatea LastPassS-ar putea să utilizați LastPass pentru a gestiona numeroasele parole online, dar îl utilizați corect? Iată opt pași pe care îi puteți face pentru ca contul dvs. LastPass să fie și mai sigur. Citeste mai mult a căzut victimă în decembrie 2017. A blog-ul programatorului pe Medium cheile secrete dezvăluite 2FA ar putea fi accesate fără amprentă, parolă sau alte măsuri de securitate.

Soluția nu a fost chiar complicată. Prin accesarea activității setărilor aplicației LastPass Authenticator (com.lastpass.authenticator.activities). Setări Activitate), s-ar putea intra în panoul de setări al aplicației fără verificări. De acolo, puteți apăsa Înapoi o dată pentru a accesa toate codurile 2FA.

LastPass a rezolvat acum defectul, dar rămân întrebări. Potrivit programatorului, el a încercat să spună LastPass despre problema timp de șapte luni, dar compania nu a rezolvat-o niciodată. Câte alte aplicații 2FA terțe sunt nesigure? Și câte vulnerabilități nefixate știu dezvoltatorii, dar întârzie aplicarea corecției? Există, de asemenea, îngrijorari atunci când este vorba pierderea accesului la generatorul de cod de pe Facebook Cum să vă conectați pe Facebook dacă ați pierdut accesul la Generatorul de coduriAți pierdut accesul la generatorul de cod Facebook? Acest articol acoperă metode alternative de logare în contul de Facebook. Citeste mai mult de exemplu.

Ce să faceți în schimb: utilizați tastele U2F

În loc să te bazezi pe SMS și 2FA pentru codurile tale, ar trebui să folosești Tastele Universal Factor 2 Care sunt cheile U2F și unde sunt suportate?Tastele U2F sunt una dintre cele mai bune metode de a vă păstra conturile în siguranță. Dar unde sunt acceptate tastele U2F? Citeste mai mult (U2F). Ele sunt cel mai sigur mod de a genera coduri și de a vă accesa serviciile.

Considerată pe larg ca o versiune a 2FA de a doua generație, simplifică și consolidează protocolul actual. În plus, utilizarea tastelor U2F este aproape la fel de convenabilă ca deschiderea unui mesaj SMS sau a unei aplicații terțe.

Tastele U2F folosesc fie o conexiune NFC, fie USB. Când conectați dispozitivul la un cont pentru prima dată, acesta va genera un număr aleatoriu numit „Nonce”. Nonce este spălat cu numele de domeniu al site-ului pentru a crea un cod unic.

După aceea, puteți să implementați cheia U2F conectând-o la dispozitiv și așteptați ca serviciul să o recunoască.

Deci, care este dezavantajul? Ei bine, chiar dacă U2F este un standard deschis, tot costă bani pentru a cumpăra o cheie fizică U2F. Și poate mai mult cu privire la riscul de furt.

O cheie furată U2F nu vă face automat contul nesigur; un hacker ar trebui să-și cunoască parola. Dar într-o zonă publică, poate un hoț te-a văzut deja introducând parola de departe, înainte de a-ți fura bunurile.

Tastele U2F pot fi costisitoare

Prețurile variază considerabil între producători, dar vă puteți aștepta să plătiți între 15 și 50 USD.

În mod ideal, doriți să achiziționați un model care este „Certificat FIDO”. Alianța FIDO (Fast IDentity Online) este responsabilă pentru realizarea interoperabilității între tehnologiile de autentificare. Membrii includ toți, de la Google și Microsoft, la Bank of America și MasterCard.

Cumpărând un dispozitiv FIDO, puteți fi sigur că tasta U2F va funcționa cu toate serviciile pe care le utilizați în fiecare zi. Consultați cheia DIGIPASS SecureClick U2F dacă doriți să cumpărați una.

2FA insecură este încă mai bună decât nu 2FA

Pentru a rezuma, tastele Universal Factor 2 oferă un mediu fericit între ușurința de utilizare și securitate. SMS-ul este cea mai puțin sigură abordare, dar este și cea mai convenabilă.

Și amintiți-vă, orice 2FA este mai bun decât nu 2FA. Da, s-ar putea să vă ia 10 secunde în plus pentru a vă conecta la anumite aplicații, dar este mai bine decât să vă jucați securitatea.