Laikas nustoti naudoti SMS ir 2FA programas dviejų veiksnių autentifikavimui

Skelbimas

Šiomis dienomis atrodo, kad kiekviena svetainė, kurioje lankotės, bando jus paskatinti naudoti dviejų veiksnių autentifikavimą (2FA).

Vienas iš labiausiai paplitusių 2FA naudojimo būdų yra įvesti unikalų kodą iš savo mobiliojo prietaiso. Paprastai kodą gaunate teksto pranešimu arba jo generavimui naudojate trečiosios šalies 2FA programą.

Abu šie metodai yra populiarūs kodų naudojimo būdai dėl patogumo. Tačiau saugumo požiūriu abu metodai taip pat yra silpni. Kadangi jūsų 2FA kodas yra tik toks saugus kaip ir jo perdavimui naudojama technologija, trūkumai yra svarbūs.

Taigi, kas negerai naudodamiesi SMS ir trečiųjų šalių programomis, kad pasiektumėte savo kodus Kas yra prisijungimai be slaptažodžio? Ar jie iš tikrųjų yra saugūs?Ateina prisijungimai be slaptažodžio. Ar jie saugūs? Kaip žemoje vietoje veikia prisijungimai be slaptažodžio? Štai ką reikia žinoti. Skaityti daugiau ? Ar yra tokia pat patogi alternatyva, kuri yra saugesnė? Mes viską paaiškinsime. Norėdami sužinoti daugiau, skaitykite toliau.

Kaip veikia dviejų veiksnių autentifikavimas

Pabandykime šiek tiek aptarti, kaip veikia dviejų veiksnių autentifikavimas. Nesuprasdami technologijos mechanikos, likusiame šiame straipsnyje nebus daug prasmės.

Kalbant plačiau, 2FA prideda papildomą saugos lygį jūsų paskyrai Kaip apsaugoti savo paskyras naudojant 2FA: „Gmail“, „Outlook“ ir dar daugiauAr dviejų veiksnių autentifikavimas gali padėti apsaugoti jūsų el. Paštą ir socialinius tinklus? Štai ką reikia žinoti norint užtikrinti saugumą internete. Skaityti daugiau . Taip pat žinomas kaip kelių veiksnių autentifikavimas, prisijungimo kredencialus sudaro ne tik slaptažodis, bet ir antra informacija, kurią turi prieigą tik teisėtas paskyros savininkas.

2FA yra įvairių formų Dviejų veiksnių autentifikavimo tipų ir metodų privalumai ir trūkumaiDviejų veiksnių autentifikavimo metodai nėra lygūs. Kai kurie jų yra akivaizdžiai saugesni ir saugesni. Pažvelkite į dažniausiai pasitaikančius metodus ir tai, kurie geriausiai atitinka jūsų individualius poreikius. Skaityti daugiau . Pačiame pagrindiniame lygmenyje tai gali būti kažkas tokio paprasto kaip saugumo klausimai (nes niekas kitas to negalėjo žinoti motinos mergautinę pavardę Kodėl neteisingai atsakote į slaptažodžių saugos klausimusKaip atsakote į internetinės sąskaitos saugumo klausimus? Sąžiningi atsakymai? Deja, jūsų sąžiningumas gali sukurti žaizdą jūsų interneto šarvuose. Pažvelkime į tai, kaip saugiai atsakyti į saugumo klausimus. Skaityti daugiau ar jūsų mėgstamiausias augintinis). Sudėtingiau, tai gali būti biometrinis ID, pavyzdžiui, tinklainės nuskaitymas ar pirštų atspaudas.

Kodėl turėtumėte vengti SMS patvirtinimo

SMS yra labiausiai prieinamas būdas pasiekti ir naudoti 2FA kodus. Jei svetainė siūlo dviejų veiksnių autentifikavimo prisijungimus, ji beveik neabejotinai siūlo SMS kaip vieną iš variantų.

Bet SMS nėra saugus būdas naudoti 2FA. Jis turi dvi pagrindines spragas.

Pirma, technologija yra jautrūs SIM apsikeitimo išpuoliams. Įsilaužėliams nereikia daug laiko, kai reikia atlikti SIM mainų funkciją. Jei jie turi prieigą prie kitos asmeninės informacijos, tokios kaip jūsų socialinio draudimo numeris, jie gali paskambinti jūsų operatoriui ir perkelti jūsų numerį į naują SIM kortelę.

Antra, įsilaužėliai gali perimti SMS žinutes. Viskas grįžta į dabar pasenusią Signalizacijos sistemos Nr. 7 (SS7) telefono maršruto parinkimo sistemą. Metodika buvo sukurta dar 1975 m., Tačiau ji vis dar naudojama beveik visame pasaulyje norint sujungti ir atjungti skambučius. Jis taip pat tvarko numerių vertimus, išankstinio mokėjimo sąskaitas ir, svarbiausia, SMS žinutes.

Nenuostabu, kad ši technologija nuo 1975 m. Yra kupina saugumo skylių. Štai taip saugumo ekspertas Bruce'as Schneier'is aprašė trūkumus:

„Jei užpuolikai turi prieigą prie SS7 portalo, jie gali perduoti jūsų pokalbius į internetinį įrašymo įrenginį ir nukreipti skambutį į numatoma paskirtis […] Tai reiškia, kad gerai aprūpintas nusikaltėlis galėtų patraukti jūsų patikrinimo pranešimus ir naudoti juos prieš tai, kol dar net nebuvote matę juos."

Žinoma, sužinojus, kad kibernetinis nusikaltėlis turi įsilaužė į jūsų „Facebook“ Kaip sužinoti, ar jūsų „Facebook“ sąskaita buvo nulaužta„Facebook“ tinkle yra tiek duomenų, kad turite saugoti savo sąskaitą. Štai kaip sužinoti, ar jūsų „Facebook“ nebuvo įsilaužta. Skaityti daugiau sąskaita toli gražu nėra ideali. Tačiau situacija yra baisesnė, kai atsižvelgiama į kitus 2FA naudojimo atvejus. Kibernetinis nusikaltėlis gali pavogti kodus, kuriuos naudojate internetinėje bankininkystėje ar net inicijuoti ir atlikti pinigų pervedimus 6 geriausios programos, skirtos siųsti pinigus draugamsKitą kartą, kai jums reikės siųsti pinigus draugams, peržiūrėkite šias puikias programas mobiliesiems, kad galėtumėte perduoti pinigus bet kam per kelias minutes. Skaityti daugiau .

Be to, Schneier taip pat tvirtina, kad kiekvienas gali įsigyti prieigą prie SS7 tinklo už maždaug 1000 USD. Gavę prieigą, jie gali siųsti maršruto užklausą. Norėdami išspręsti problemą, tinklas negali autentifikuoti užklausos šaltinio.

Atminkite, kad dviejų faktorių autentifikavimą naudojant SMS yra geriau, nei palikti 2FA išjungtą. Ir mažai tikėtina, kad tapsite auka. Tačiau jei jūs pradedate jaudintis, turite toliau skaityti. Daugelis žmonių sutinka, kad SMS nesaugu, ir kreipiasi į trečiųjų šalių programas.

Bet tai gali būti ne daug geriau.

Kodėl turėtumėte vengti 2FA programų

Kitas įprastas būdas naudoti 2FA kodus yra įdiegti tam skirtą išmaniųjų telefonų programą. Galima rinktis iš daugybės. „Google“ autentifikavimo priemonė yra tikriausiai pati atpažįstamiausia, tačiau ji nebūtinai yra geriausia. Yra daugybė alternatyvų - patikrinkite „Authy“, „Authenticator Plus“ ir „Duo“.

Bet ar saugios yra 2FA programos, kurias teikia specialistai? Didžiausia jų silpnybė yra jų pasitikėjimas slaptu raktu.

Pabandykime atsitraukti sekundę atgal. Jei nežinote, pirmą kartą prisiregistruodami prie daugelio programų, turėsite įvesti slaptą raktą. Paslaptis dalijasi jūs ir programos teikėjas.

Kai patenkate į svetainę, programos sukurtas kodas yra pagrįstas jūsų rakto ir esamo laiko deriniu. Tuo pačiu metu serveris generuoja kodą, naudodamas tą pačią informaciją. Norint suteikti prieigą, abu kodai turi sutapti. Skamba protingai.

Taigi kodėl klavišai yra silpnoji vieta? Na, kas nutiks, jei kibernetiniam nusikaltėliui pavyks pasiekti įmonės slaptažodžio ir paslapčių duomenų bazę? Kiekviena sąskaita bus pažeidžiama užpuolikas galėjo ateiti ir eiti Kaip patikrinti, ar kas nors kitas prisijungia prie jūsų „Facebook“ paskyrosTai, kad kas nors turi prieigą prie jūsų „Facebook“ paskyros be jūsų žinios, kelia grėsmę ir kelia nerimą. Štai kaip sužinoti, ar nepažeidėte. Skaityti daugiau savo noru.

Antra, paslaptis rodoma paprastu tekstu arba kaip QR kodas; Tai negali būti maišyti arba naudoti su druska Ką iš tikrųjų reiškia visa tai, kas nutiko MD5, [paaiškinta apie technologiją]Čia yra visas MD5 sunaikinimas, maišos ir nedidelė kompiuterių ir kriptografijos apžvalga. Skaityti daugiau . Tikriausiai tai yra ir paprastas tekstas įmonės serveriuose.

Slaptas raktas yra pagrindinė vienkartinio laiko (TOTP), kurią naudoja specialistų programos, trūkumas. Todėl fizinis U2F raktas visada yra saugesnis pasirinkimas.

„2FA Apps“ dizaino ir saugumo trūkumai

Žinoma, tikimybė, kad kibernetinis kriminalistas įsilaužs į trečiųjų šalių programoms reikalingas duomenų bazes, yra gana menka. Tačiau jūsų programai taip pat gali iškilti pagrindinių dizaino trūkumų.

Populiarios slaptažodžio tvarkyklė 8 paprasti būdai, kaip įkrauti „LastPass“ apsaugąGalbūt „LastPass“ naudojate valdydami daugelį internetinių slaptažodžių, tačiau ar teisingai naudojate? Čia yra aštuoni veiksmai, kuriuos galite atlikti, kad jūsų „LastPass“ paskyra būtų dar saugesnė. Skaityti daugiau nukentėjo 2017 metų gruodį. A programuotojo internetinio dienoraščio įrašą atskleistus 2FA slaptus raktus buvo galima pasiekti be pirštų atspaudų, slaptažodžio ar kitų saugumo priemonių.

Šis sprendimas nebuvo net sudėtingas. Pasiekę „LastPass Authenticator“ programos nustatymų veiklą (com.lastpass.authenticator.activities. „SettingsActivity“) galima būtų įvesti programos nustatymų sritį be jokių patikrinimų. Iš ten galėjai paspausti Atgal vieną kartą norint pasiekti visus 2FA kodus.

„LastPass“ ištaisė trūkumą, tačiau klausimų liko. Anot programuotojo, jis septynis mėnesius bandė papasakoti „LastPass“ apie problemą, tačiau įmonė to niekada neištaisė. Kiek kitų trečiųjų šalių 2FA programų yra nesaugios? O kiek neištaisytų pažeidžiamumų kūrėjai žino, tačiau atidėlioja pataisymą? Taip pat yra susirūpinimo prarasti prieigą prie savo kodų generatoriaus „Facebook“ Kaip prisijungti prie "Facebook", jei praradote prieigą prie kodų generatoriausPamiršote prieigą prie „Facebook“ kodų generatoriaus? Šiame straipsnyje aprašomi alternatyvūs prisijungimo prie „Facebook“ paskyros metodai. Skaityti daugiau pavyzdžiui.

Ką daryti vietoj to: naudokite U2F klavišus

Užuot pasikliavę SMS ir 2FA kodais, turėtumėte naudoti Universalūs 2-ojo faktoriaus raktai Kas yra U2F raktai ir kur jie palaikomi?U2F raktai yra vienas iš geriausių būdų apsaugoti savo paskyras. Bet kur palaikomi U2F raktai? Skaityti daugiau (U2F). Jie yra saugiausias būdas generuoti kodus ir pasiekti jūsų paslaugas.

Plačiai laikoma antrosios kartos 2FA versija, ji supaprastina ir sustiprina dabartinį protokolą. Be to, naudoti U2F klavišus yra beveik taip pat patogu, kaip atidaryti SMS žinutę ar trečiųjų šalių programą.

U2F raktai naudoja NFC arba USB jungtį. Pirmą kartą prijungus įrenginį prie paskyros, jis sugeneruos atsitiktinį numerį, vadinamą „Nonce“. „Nonce“ sudedamas svetainės domeno vardas, kad būtų sukurtas unikalus kodas.

Vėliau galėsite įdiegti savo U2F raktą, prijungdami jį prie savo prietaiso ir laukdami, kol tarnyba jį atpažins.

Taigi, kas yra neigiama padėtis? Na, nors U2F yra atviras standartas, vis tiek kainuoja pinigus norint įsigyti fizinį U2F raktą. Ir galbūt labiau rūpi, kad rizikuojate vagyste.

Pavogtas U2F raktas automatiškai nepadaro jūsų sąskaitos nesaugios; įsilaužėlis vis tiek turės žinoti jūsų slaptažodį. Bet viešoje vietoje vagis jau galėjo pastebėti, kad įvedėte slaptažodį iš tolo, prieš pavogdami savo turtą.

U2F raktai gali būti brangūs

Kainos tarp gamintojų labai skiriasi, tačiau galite tikėtis, kad sumokėsite nuo maždaug 15 USD iki 50 USD.

Geriausia, jei norite įsigyti modelį, kuris yra sertifikuotas „FIDO“. FIDO (greitasis tapatumas internete) aljansas yra atsakingas už autentifikavimo technologijų sąveiką. Nariai yra visi nuo „Google“ ir „Microsoft“, „Bank of America“ ir „MasterCard“.

Pirkdami FIDO įrenginį, galite būti tikri, kad U2F raktas veiks su visomis paslaugomis, kuriomis naudojatės kiekvieną dieną. Patikrinkite „DIGIPASS SecureClick U2F“ raktą, jei norite jį įsigyti.

Nesaugus 2FA vis tiek yra geresnis nei 2FA

Apibendrinant galima pasakyti, kad universalūs 2-ojo faktoriaus klavišai suteikia laimingą terpę tarp patogumo naudoti ir saugumo. SMS yra mažiausiai saugus požiūris, tačiau kartu ir pats patogiausias.

Ir atminkite, kad bet kuris 2FA yra geresnis nei joks 2FA. Taip, jums gali prireikti papildomų 10 sekundžių, kad prisijungtumėte prie tam tikrų programų, bet tai geriau nei paaukoti savo saugumą.