Αυτές τις μέρες, φαίνεται ότι κάθε ιστότοπος που επισκέπτεστε ποτέ προσπαθεί να σας ενθαρρύνει να χρησιμοποιήσετε έλεγχο ταυτότητας δύο παραγόντων (2FA).
Ένας από τους πιο συνηθισμένους τρόπους χρήσης του 2FA είναι η εισαγωγή ενός μοναδικού κώδικα από την κινητή συσκευή σας. Συνήθως, λαμβάνετε τον κώδικα σε ένα μήνυμα κειμένου ή χρησιμοποιείτε μια εφαρμογή 2FA τρίτου μέρους για τη δημιουργία ενός.
Οι δύο μέθοδοι είναι και οι δύο δημοφιλείς τρόποι χρήσης των κωδικών λόγω της ευκολίας τους. Ωστόσο, και οι δύο μέθοδοι είναι αδύναμες από την άποψη της ασφάλειας. Και επειδή ο κωδικός σας 2FA είναι εξίσου ασφαλής με την τεχνολογία που χρησιμοποιείται για την παράδοσή του, οι αδυναμίες είναι σημαντικές.
Λοιπόν, τι συμβαίνει με τη χρήση SMS και εφαρμογών τρίτων για πρόσβαση στους κωδικούς σας; Και υπάρχει μια εξίσου βολική εναλλακτική λύση που είναι πιο ασφαλής; Εμείς θα εξηγήσουμε τα πάντα. Συνεχίστε να διαβάζετε για να μάθετε περισσότερα.
Πώς λειτουργεί ο έλεγχος ταυτότητας δύο παραγόντων
Ας πάρουμε μια στιγμή για να συζητήσουμε πώς λειτουργεί ο έλεγχος ταυτότητας δύο παραγόντων. Χωρίς να κατανοήσουμε τη μηχανική πίσω από την τεχνολογία, το υπόλοιπο αυτού του άρθρου δεν θα έχει πολύ νόημα.
Σε γενικές γραμμές, το 2FA προσθέτει ένα πρόσθετο επίπεδο ασφάλειας στον λογαριασμό σας. Επίσης γνωστό ως έλεγχος ταυτότητας πολλαπλών παραμέτρων, τα διαπιστευτήρια σύνδεσης αποτελούνται όχι μόνο από έναν κωδικό πρόσβασης, αλλά και από μια δεύτερη πληροφορία που έχει πρόσβαση μόνο ο νόμιμος κάτοχος του λογαριασμού.
2FA έρχεται σε πολλές διαφορετικές μορφές Τα πλεονεκτήματα και τα μειονεκτήματα των τύπων και μεθόδων ελέγχου ταυτότητας δύο παραγόντων Τα πλεονεκτήματα και τα μειονεκτήματα των τύπων και μεθόδων ελέγχου ταυτότητας δύο παραγόντων Οι μέθοδοι επαλήθευσης δύο παραγόντων δεν δημιουργούνται ίσες. Ορισμένα είναι αποδεδειγμένα ασφαλέστερα και ασφαλέστερα. Δείτε τις πιο κοινές μεθόδους και ποιες ανταποκρίνονται καλύτερα στις ατομικές σας ανάγκες. Διαβάστε περισσότερα . Στο βασικότερο επίπεδο, θα μπορούσε να είναι κάτι τόσο απλό όσο τα ερωτήματα ασφαλείας (γιατί κανένας άλλος δεν θα μπορούσε να γνωρίζει το πατρικό όνομα της μητέρας σας). Γιατί απαντάτε σε ερωτήσεις ασφαλείας κωδικού πρόσβασης Λάθος Γιατί απαντάτε σε ερωτήσεις ασφαλείας κωδικού πρόσβασης Λάθος Πώς απαντάς online Η αλήθεια είναι ότι η ειλικρίνειά σας θα μπορούσε να δημιουργήσει ένα κτύπημα στην online πανοπλία σας, ας ρίξουμε μια ματιά στον τρόπο με τον οποίο μπορούμε να απαντήσουμε με ασφάλεια στις ερωτήσεις ασφαλείας, Read More ή το αγαπημένο σας κατοικίδιο ζώο). Στο πιο περίπλοκο τέλος, θα μπορούσε να είναι ένα βιομετρικό αναγνωριστικό, όπως σάρωση αμφιβληστροειδούς ή δακτυλικό αποτύπωμα.
Γιατί πρέπει να αποφύγετε την επαλήθευση SMS
Το SMS απολαμβάνει μια θέση ως τον πιο προσιτό τρόπο πρόσβασης και χρήσης κωδικών 2FA. Εάν ένας ιστότοπος προσφέρει ταυτόχρονη σύνδεση ταυτότητας, σχεδόν σίγουρα προσφέρει SMS ως μία από τις επιλογές.
Αλλά το SMS δεν είναι ένας ασφαλής τρόπος χρήσης του 2FA. Έχει δύο βασικές ευπάθειες.
Πρώτον, η τεχνολογία είναι επιρρεπής σε επιθέσεις εναλλάκτη SIM . Δεν χρειάζεται πολύ για έναν χάκερ να πραγματοποιήσει μια ανταλλαγή SIM. Εάν έχουν πρόσβαση σε μια άλλη προσωπική πληροφορία - όπως τον αριθμό κοινωνικής ασφάλισης - μπορούν να καλέσουν τον μεταφορέα σας και να μεταφέρουν τον αριθμό σας σε μια νέα κάρτα SIM.
Δεύτερον, οι χάκερ μπορούν να παρακολουθήσουν μηνύματα SMS . Όλα αυτά έρχονται πίσω στο σημερινό σύστημα δρομολόγησης τηλεφωνικού συστήματος σημάτων 7 (SS7). Η μεθοδολογία σχεδιάστηκε από το 1975, αλλά εξακολουθεί να χρησιμοποιείται σχεδόν παγκοσμίως για τη σύνδεση και την αποσύνδεση των κλήσεων. Διαχειρίζεται επίσης τις μεταφράσεις αριθμών, τις προπληρωμένες χρεώσεις και κυρίως τα μηνύματα SMS.
Δεν εκπλήσσει, αυτή η τεχνολογία από το 1975 είναι γεμάτη τρύπες ασφαλείας. Ακολουθεί ο τρόπος με τον οποίο ο εμπειρογνώμονας ασφαλείας Bruce Schneier περιέγραψε τα ελαττώματα:
"Εάν οι εισβολείς έχουν πρόσβαση σε μια πύλη SS7, μπορούν να προωθήσουν τις συνομιλίες σας σε μια συσκευή εγγραφής στο διαδίκτυο και να ανακαλέσουν την κλήση στον προορισμό τους [...]. Σημαίνει ότι ένας άρτια εξοπλισμένος εγκληματίας θα μπορούσε να τραβήξει τα μηνύματά σας επαλήθευσης και να τα χρησιμοποιήσει, έχω δει ακόμη και αυτά ».
Βέβαια, ανακαλύπτοντας ότι ένας εγκληματίας στον κυβερνοχώρο έχει χάσει το Facebook Πώς να μάθετε αν ο λογαριασμός σας στο Facebook έχει χάσει Πώς να μάθετε αν ο λογαριασμός σας στο Facebook έχει καταστραφεί Δεδομένου του αριθμού των δεδομένων που προσθέσαμε στα προφίλ μας, είναι πιο σημαντικό από ποτέ για να βεβαιωθείτε ότι παραμείνετε στην κορυφή των ρυθμίσεων απορρήτου του Facebook. Ο λογαριασμός Read More δεν είναι ιδανικός. Αλλά η κατάσταση είναι πιο τρομακτική όταν εξετάζετε άλλες χρήσεις του 2FA. Ένας εγκληματίας στον κυβερνοχώρο θα μπορούσε να κλέψει τους κωδικούς που χρησιμοποιείτε στις online τραπεζικές σας συναλλαγές ή ακόμα και να ξεκινήσετε και να ολοκληρώσετε τις μεταφορές χρημάτων 6 Εφαρμογές για να σας βοηθήσουμε να μεταφέρετε χρήματα μεταξύ φίλων 6 Εφαρμογές που σας βοηθούν να μεταφέρετε χρήματα μεταξύ φίλων Μερικές φορές πρέπει να στέλνετε χρήματα σε φίλους γρήγορα και με ασφάλεια . Εδώ είναι έξι από τις καλύτερες διαθέσιμες επιλογές. Διαβάστε περισσότερα .
Επιπλέον, η Schneier ισχυρίζεται επίσης ότι ο καθένας μπορεί να αγοράσει πρόσβαση στο δίκτυο SS7 για περίπου $ 1.000. Μόλις έχουν πρόσβαση, μπορούν να στείλουν ένα αίτημα δρομολόγησης. Για να ολοκληρώσετε το πρόβλημα, το δίκτυο ενδέχεται να μην επαληθεύσει την προέλευση της αίτησης.
Μην ξεχνάτε ότι η χρήση ταυτότητας δύο παραγόντων μέσω SMS είναι καλύτερη από την απενεργοποίηση του 2FA. Και μάλλον είναι απίθανο να γίνεις θύμα. Ωστόσο, εάν αρχίζετε να αισθάνεστε λίγο ανησυχούν, πρέπει να συνεχίσετε να διαβάζετε. Πολλοί άνθρωποι αποδέχονται ότι το SMS είναι ανασφαλές και μεταβείτε σε εφαρμογές τρίτων.
Αλλά αυτό μπορεί να μην είναι πολύ καλύτερο.
Γιατί πρέπει να αποφύγετε τις εφαρμογές 2FA
Ο άλλος κοινός τρόπος χρήσης των κωδικών 2FA είναι να εγκαταστήσετε μια ειδική εφαρμογή smartphone. Υπάρχουν πολλά να διαλέξετε. Ο Επαληθευτής Google είναι αναμφισβήτητα ο πιο αναγνωρίσιμος, αλλά δεν είναι απαραιτήτως ο καλύτερος. Υπάρχουν πολλές εναλλακτικές λύσεις εκεί έξω - ελέγξτε Authy, Authenticator Plus και Duo.
Αλλά πόσο ασφαλείς είναι οι εξειδικευμένες εφαρμογές 2FA; Η μεγαλύτερη αδυναμία τους είναι η εξάρτηση από ένα μυστικό κλειδί .
Ας κάνουμε ένα βήμα πίσω για ένα δευτερόλεπτο. Σε περίπτωση που δεν γνωρίζετε, όταν εγγραφείτε για πολλές εφαρμογές για πρώτη φορά, θα πρέπει να εισαγάγετε ένα μυστικό κλειδί. Το μυστικό μοιράζεται μεταξύ εσάς και του παρόχου της εφαρμογής.
Όταν αποκτάτε πρόσβαση σε έναν ιστότοπο, ο κώδικας που δημιουργεί η εφαρμογή βασίζεται σε συνδυασμό του κλειδιού σας και της τρέχουσας ώρας. Την ίδια στιγμή, ο διακομιστής δημιουργεί έναν κώδικα χρησιμοποιώντας τις ίδιες πληροφορίες. Οι δύο κωδικοί πρέπει να ταιριάζουν για να δοθεί πρόσβαση. Ακούγεται λογικό.
Γιατί λοιπόν τα κλειδιά είναι το αδύναμο σημείο; Λοιπόν, τι συμβαίνει εάν ένας κυβερνο-εγκληματίας κατορθώσει να αποκτήσει πρόσβαση στον κωδικό πρόσβασης μιας εταιρείας και να μυστικά βάση δεδομένων; Κάθε λογαριασμός θα ήταν ευάλωτος - ο επιτιθέμενος θα μπορούσε να έρθει και να πάει Πώς να ελέγξετε αν κάποιος άλλος έχει πρόσβαση στον λογαριασμό σας στο Facebook Πώς να ελέγξετε αν κάποιος άλλος έχει πρόσβαση στον λογαριασμό σας στο Facebook Είναι τόσο δυσοίωνο και ανησυχητικό αν κάποιος έχει πρόσβαση στο λογαριασμό σας στο Facebook χωρίς η γνώση. Δείτε πώς μπορείτε να ξέρετε αν έχετε παραβιαστεί. Διαβάστε περισσότερα κατά βούληση.
Δεύτερον, το μυστικό είτε εμφανίζεται σε απλό κείμενο είτε ως κώδικας QR. δεν μπορεί να χτυπηθεί ή να χρησιμοποιηθεί με ένα αλάτι Τι όλα αυτά MD5 Hash Stuff πραγματικά σημαίνει [Τεχνολογία εξηγείται] Τι όλα αυτά MD5 Hash Stuff πραγματικά σημαίνει [Τεχνολογία Επεξήγηση] Εδώ είναι μια πλήρη κατάρρευση του MD5, hashing και μια μικρή επισκόπηση των υπολογιστών και κρυπτογράφηση. Διαβάστε περισσότερα . Είναι πιθανώς επίσης σε απλό κείμενο στους διακομιστές της εταιρείας.
Το μυστικό κλειδί είναι το βασικό ελάττωμα του Time-Based One-Time Password (TOTP) που χρησιμοποιούν οι εξειδικευμένες εφαρμογές. Αυτός είναι ο λόγος για τον οποίο ένα φυσικό κλειδί U2F είναι πάντα μια ασφαλέστερη επιλογή.
Παραλείψεις στο σχεδιασμό και την ασφάλεια για εφαρμογές 2FA
Φυσικά, οι πιθανότητες μιας ηλεκτρονικής εγκληματικής πειρατείας των απαραίτητων βάσεων δεδομένων μιας εφαρμογής τρίτου μέρους είναι αρκετά μικρές. Αλλά η εφαρμογή σας θα μπορούσε επίσης να υποφέρει από βασικές αδυναμίες ασφαλείας στο σχεδιασμό της.
Δημοφιλής διαχειριστής κωδικών πρόσβασης LastPass 8 Εύκολοι τρόποι για να υπερφορτώσετε την ασφάλεια LastPass 8 Εύκολοι τρόποι για να υπερφορτώσετε την ασφάλεια LastPass Ίσως χρησιμοποιείτε το LastPass για να διαχειριστείτε τους πολλούς κωδικούς πρόσβασης στο διαδίκτυο, αλλά το χρησιμοποιείτε σωστά; Εδώ είναι οκτώ βήματα που μπορείτε να κάνετε για να κάνετε τον λογαριασμό σας LastPass ακόμα ασφαλέστερο. Διαβάστε περισσότερα έπεσε θύμα τον Δεκέμβριο του 2017. Μια δημοσίευση blog του προγραμματιστή στο Medium αποκάλυψε 2FA μυστικά κλειδιά θα μπορούσε να έχει πρόσβαση χωρίς δακτυλικό αποτύπωμα, κωδικό πρόσβασης ή άλλο μέτρο ασφαλείας.
Ο τρόπος αντιμετώπισης δεν ήταν καν πολύπλοκος. Με την πρόσβαση στη δραστηριότητα των ρυθμίσεων της εφαρμογής εφαρμογής του LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), θα μπορούσατε να εισάγετε το παράθυρο ρυθμίσεων για την εφαρμογή χωρίς ελέγχους. Από εκεί, μπορείτε να πατήσετε μία φορά το πλήκτρο Πίσω για να αποκτήσετε πρόσβαση σε όλους τους κωδικούς 2FA.
Το LastPass έχει διορθώσει τώρα το ελάττωμα, αλλά παραμένουν ερωτήματα. Σύμφωνα με τον προγραμματιστή, είχε προσπαθήσει να πει την LastPass για το θέμα για επτά μήνες, αλλά η εταιρεία δεν το έθεσε ποτέ. Πόσες άλλες εφαρμογές 2FA τρίτων είναι ανασφαλείς; Και πόσες ασταθείς αδυναμίες γνωρίζουν οι προγραμματιστές αλλά καθυστερούν την επιδιόρθωση;
Τι πρέπει να κάνετε Αντ 'αυτού: Χρησιμοποιήστε τα πλήκτρα U2F
Αντί να βασίζεστε σε SMS και 2FA για τους κωδικούς σας, θα πρέπει να χρησιμοποιείτε τα πλήκτρα 2ου γενικού παράγοντα. Ποια είναι τα κλειδιά U2F και πού υποστηρίζονται; Τι είναι τα κλειδιά U2F και πού υποστηρίζονται; Τα κλειδιά U2F είναι ένας από τους καλύτερους τρόπους για να διατηρείτε τους λογαριασμούς σας ασφαλείς και ασφαλείς. Αλλά πού υποστηρίζονται τα κλειδιά U2F; Διαβάστε περισσότερα (U2F). Είναι ο πιο ασφαλής τρόπος δημιουργίας κωδικών και πρόσβασης στις υπηρεσίες σας.
Θεωρείται ευρέως ότι είναι έκδοση 2Α της δεύτερης γενιάς, απλοποιεί και ενισχύει το ισχύον πρωτόκολλο. Επιπλέον, η χρήση πλήκτρων U2F είναι σχεδόν εξίσου βολική με το άνοιγμα μηνύματος SMS ή εφαρμογής τρίτου μέρους.
Τα πλήκτρα U2F χρησιμοποιούν είτε σύνδεση NFC είτε σύνδεση USB. Όταν συνδέετε τη συσκευή σας σε έναν λογαριασμό για πρώτη φορά, θα δημιουργήσει έναν τυχαίο αριθμό που ονομάζεται "Nonce". Το Nonce έχει χρεωθεί με το όνομα τομέα του ιστότοπου για να δημιουργήσει έναν μοναδικό κώδικα.
Στη συνέχεια, μπορείτε να αναπτύξετε το κλειδί U2F συνδέοντάς το στη συσκευή σας και να περιμένετε από την υπηρεσία να την αναγνωρίσει.
Λοιπόν, ποιο είναι το μειονέκτημα; Λοιπόν, παρόλο που το U2F είναι ένα ανοικτό πρότυπο, εξακολουθεί να κοστίζει χρήματα για να αγοράσει ένα φυσικό κλειδί U2F. Και ίσως περισσότερο, ανησυχείτε για την κλοπή.
Ένα κλεμμένο κλειδί U2F δεν κάνει αυτόματα τον λογαριασμό σας ανασφαλές. ένας χάκερ θα πρέπει ακόμα να γνωρίζει τον κωδικό πρόσβασής σας. Αλλά σε έναν κοινό χώρο, ένας κλέφτης μπορεί να έχει ήδη δει να εισάγετε τον κωδικό σας από μακριά, πριν να κλέψετε τα υπάρχοντά σας.
Τα κλειδιά U2F μπορεί να είναι πολύτιμα
Οι τιμές ποικίλλουν σημαντικά μεταξύ των κατασκευαστών, αλλά μπορείτε να περιμένετε να πληρώσετε μεταξύ περίπου $ 15 και $ 50.
Στην ιδανική περίπτωση, θέλετε να αγοράσετε ένα μοντέλο που είναι "Πιστοποιημένο FIDO". Η Συμμαχία FIDO (Fast IDentity Online) είναι υπεύθυνη για την επίτευξη της διαλειτουργικότητας μεταξύ των τεχνολογιών ελέγχου ταυτότητας. Τα μέλη περιλαμβάνουν όλους από την Google και τη Microsoft, στην Bank of America και τη MasterCard.
Με την αγορά μιας συσκευής FIDO, μπορείτε να είστε σίγουροι ότι το κλειδί U2F θα λειτουργεί με όλες τις υπηρεσίες που χρησιμοποιείτε κάθε μέρα. Ελέγξτε το κλειδί DIGIPASS SecureClick U2F αν θέλετε να αγοράσετε ένα.
DIGIPASS SecureClick Κλειδί ασφάλειας FIDO U2F DIGIPASS SecureClick Κλειδί ασφαλείας FIDO U2F Αγοράστε τώρα στο Amazon $ 39.00
Το ανασφαλές 2FA είναι ακόμα καλύτερο από ό, τι 2FA
Συνοψίζοντας, τα πλήκτρα 2ου γενικού παράγοντα παρέχουν ένα ευχάριστο μέσο μεταξύ της ευκολίας χρήσης και της ασφάλειας. Το SMS είναι η λιγότερο ασφαλής προσέγγιση, αλλά είναι επίσης το πιο βολικό.
Και θυμηθείτε, κάθε 2FA είναι καλύτερη από ό, τι 2FA. Ναι, μπορεί να σας χρειαστούν επιπλέον 10 δευτερόλεπτα για να συνδεθείτε σε συγκεκριμένες εφαρμογές, αλλά είναι καλύτερο από το να θυσιάζετε την ασφάλειά σας.