Itt az ideje, hogy hagyja abba az SMS és a 2FA alkalmazások használatát a kétfaktoros hitelesítéshez

Hirdetés

Manapság úgy tűnik, hogy minden olyan webhely, amelyet valaha meglátogat, megpróbálja ösztönözni Önt használjon két tényezős hitelesítést (2FA).

A 2FA használatának egyik leggyakoribb módja egy egyedi kód bevitele a mobilkészülékről. A kódot általában szöveges üzenetben kapja meg, vagy egy harmadik fél 2FA-alkalmazásával generálja azt.

A két módszer a kényelmessége miatt mindkettő népszerű módja a kódok használatának. Biztonsági szempontból azonban mindkét módszer gyenge. Mivel a 2FA-kódja ugyanolyan biztonságos, mint a kézbesítéséhez használt technológia, a gyengeségek fontosak.

Szóval mi a baj? SMS és harmadik féltől származó alkalmazások használata a kódok eléréséhez Mik a jelszó nélküli bejelentkezés? Valóban biztonságosak?Jelszó nélküli bejelentkezés jön. Biztonságban vannak? Hogyan működik a jelszó nélküli bejelentkezés? Itt van, amit tudnia kell. Olvass tovább ? És van-e egy ugyanolyan kényelmes alternatíva, amely biztonságosabb? Mindent el fogunk magyarázni. Olvassa tovább, hogy többet megtudjon.

Hogyan működik a kétfaktoros hitelesítés?

Vegyünk egy pillanatot, hogy megvitassuk, hogyan működik a két tényezős hitelesítés. A technológia mögött meghúzódó mechanika megértése nélkül a cikk többi része nem lesz sok értelme.

Általános értelemben a 2FA extra biztonságot nyújt a fiókjához Fiókja védelme a 2FA-val: Gmail, Outlook és így továbbA két tényezővel történő hitelesítés hozzájárulhat az e-mail és a közösségi hálózatok biztonságához? Itt van, amit tudnia kell az online biztonság érdekében. Olvass tovább . Több tényezős hitelesítésnek is nevezett bejelentkezési hitelesítő adatok nemcsak egy jelszóból állnak, hanem egy második információból is, amelyhez csak a fiók jogos tulajdonosa fér hozzá.

A 2FA sokféle formában kapható A kétfaktoros hitelesítési típusok és módszerek előnyei és hátrányaiA két tényező hitelesítési módszerei nem azonosak. Néhány bizonyíthatóan biztonságosabb. Itt egy pillantás a leggyakoribb módszerekre és azok közül, amelyek a legjobban megfelelnek az egyéni igényeknek. Olvass tovább . A legalapvetőbb szinten ez lehet valami olyan egyszerű, mint a biztonsági kérdések (mert senki más nem teheti meg tudja az anyád leánykori nevét Miért rosszul válaszol a jelszóbiztonsági kérdésekre?Hogyan válaszol az online fiókbiztonsági kérdésekre? Őszinte válaszok? Sajnos az őszinteséged becsapódhat az online páncélzatába. Vessen egy pillantást a biztonsági kérdések biztonságos megválaszolására. Olvass tovább vagy kedvenc háziállat). A bonyolultabb végén biometrikus azonosító lehet, például retina vagy ujjlenyomat.

Miért kellene elkerülnie az SMS-ellenőrzést

Az SMS a 2FA kódok elérésének és használatának legmegfelelőbb módja. Ha egy webhely kétfaktoros hitelesítési bejelentkezést kínál, akkor szinte biztos, hogy az egyik SMS lehet az SMS.

Az SMS azonban nem biztonságos módja a 2FA használatának. Két kulcsfontosságú sebezhetősége van.

Először is, a technológia érzékeny a SIM csere támadásokra. A hackereknek nem sok szükségük van egy SIM-csere végrehajtására. Ha hozzáférnek egy másik személyes információhoz - például a társadalombiztosítási számhoz -, felhívhatják a szolgáltatót, és áthelyezhetik az Ön számát egy új SIM-kártyára.

Másodszor, a hackerek elfogni az SMS üzeneteket. Mindez visszatér a napjainkban a 7. jelzőrendszer (SS7) telefonos útválasztási rendszerhez. A módszertant 1975-ben fejlesztették ki, de még mindig szinte világszerte használják a hívások összekapcsolására és elválasztására. Ezenkívül a számfordításokat, az előre fizetett számlázást és az SMS üzeneteket is kezeli.

Nem meglepő, hogy ez az 1975-ös technológia tele van biztonsági lyukakkal. Itt van, hogyan biztonsági szakértő, Bruce Schneier ismertette a hibákat:

„Ha a támadók hozzáférnek egy SS7 portálhoz, akkor a beszélgetéseket továbbíthatják egy online felvevő eszközhöz, és átirányíthatják a hívást a a rendeltetési hely […] Ez azt jelenti, hogy egy jól felszerelt bűnöző megragadhatja az ellenőrző üzeneteit, és felhasználhatja azokat, még mielőtt még látott volna őket."

Természetesen annak felfedezése, hogy egy számítógépes bűnöző rendelkezik feltört a Facebook-on Hogyan lehet megtudni, ha feltörték-e a Facebook-fiókod?Mivel a Facebook ennyi adatot tárol, fiókja biztonságban kell maradnia. Így derül ki, hogy a Facebook-ot feltörték-e. Olvass tovább számla messze ideális. De a helyzet rosszabb, ha a 2FA egyéb felhasználásait vesszük figyelembe. A számítógépes bűnöző ellophatja az online banki szolgáltatások során használt kódokat, vagy akár kezdeményezzen és teljesítsen pénzátutalásokat A 6 legjobb alkalmazás, amely pénzt küld a barátoknakLegközelebb, amikor pénzt kell elküldenie a barátoknak, nézd meg ezeket a nagyszerű mobilalkalmazásokat, hogy percek alatt pénzt küldhessenek bárkinek. Olvass tovább .

Ezenkívül Schneier azt is állítja, hogy bárki megvásárolhat hozzáférést az SS7 hálózathoz mintegy 1000 dollárért. Miután hozzáfértek, küldhetnek útválasztási kérelmet. A probléma megoldása érdekében a hálózat nem hitelesíti a kérés forrását.

Ne feledje, hogy a kétfaktoros hitelesítés SMS-ben jobb, mint ha a 2FA le van tiltva. És valószínűtlen, hogy áldozatává válik. Ha azonban máris kissé aggódik, tovább kell olvasnia. Sokan elfogadják, hogy az SMS nem biztonságos, és inkább harmadik fél alkalmazásaihoz fordulnak.

De ez nem sokkal jobb.

Miért kellene kerülnie a 2FA-alkalmazásokat

A 2FA-kódok használatának másik általános módja egy dedikált okostelefon-alkalmazás telepítése. Sok közül lehet választani. A Google Authenticator vitathatatlanul felismerhető, de nem feltétlenül a legjobb. Sokféle alternatíva létezik - nézd meg az Authy, a Authenticator Plus és a Duo szoftvert.

De mennyire biztonságosak a speciális 2FA-alkalmazások? A legnagyobb gyengeségük az ő titkos kulcsra hagyatkozás.

Tegyünk egy lépést hátra egy pillanatra. Abban az esetben, ha nem tudja, sok alkalmazásra való első regisztrációkor titkos kulcsot kell megadnia. A titkot megosztják közted és az alkalmazás szolgáltatója között.

Amikor belép egy webhelyre, az alkalmazás által létrehozott kód a kulcs és az aktuális idő kombinációján alapul. Ugyanebben a pillanatban a szerver ugyanazon információk felhasználásával kódot generál. A hozzáférés biztosításához a két kódnak egyeznie kell. Okosnak hangzik.

Miért vannak a kulcsok a gyenge pont? Nos, mi történik, ha egy számítógépes bűnözőnek sikerül hozzáférnie egy vállalat jelszó- és titkosadatbázisához? Minden fiók sebezhető lenne - a A támadó eljött és elment Hogyan lehet ellenőrizni, hogy valakinek van-e hozzáférése a Facebook-fiókodhozBaljós és aggódó, ha valakinek van tudása nélkül hozzáférni a Facebook-fiókjához. Így tudhatja meg, hogy megsértették-e. Olvass tovább akarat szerint.

Másodszor, a titkot vagy egyszerű szövegben, vagy QR-kódként jelenítik meg; nem lehet hash vagy sóval együtt felhasználva Mit jelent valójában ez az MD5 hasítóanyag [magyarázat a technológiára]Itt található az MD5 teljes leállítása, kivonása és egy kis áttekintés a számítógépekről és a kriptográfiaról. Olvass tovább . Valószínűleg szöveges formában is a vállalat szerverein.

A titkos kulcs az alapvető egyszeri jelszó (TOTP) hibája, amelyet a speciális alkalmazások használnak. Ezért a fizikai U2F kulcs mindig biztonságosabb lehetőség.

A 2FA-alkalmazások tervezési és biztonsági hibái

Természetesen meglehetősen kicsi annak a lehetősége, hogy egy számítógépes bűnöző feltörje egy harmadik fél alkalmazásának szükséges adatbázisát. De alkalmazásod alapvető biztonsági hibákat is szenvedhet a kialakításában.

Népszerű jelszókezelő LastPass 8 egyszerű módszer a LastPass biztonság feltöltéséhezLehet, hogy a LastPass programot használja számos online jelszavának kezelésére, de helyesen használja? Íme nyolc lépés, amelyet megtehetsz a LastPass-fiók még biztonságosabbá tétele érdekében. Olvass tovább 2017. decemberében áldozat lett. A programozó blogbejegyzése a közepes oldalon A feltárt 2FA titkos kulcsok hozzáférhetők ujjlenyomat, jelszó vagy egyéb biztonsági intézkedések nélkül.

A megoldás még csak nem is volt bonyolult. A LastPass Authenticator alkalmazás beállítási tevékenységeinek elérésével (com.lastpass.authenticator.activities. SettingsActivity), ellenőrzések nélkül beléphet az alkalmazás beállításaiba. Onnan nyomja meg Vissza egyszer az összes 2FA kód eléréséhez.

A LastPass kijavította a hibát, de a kérdések továbbra is fennállnak. A programozó szerint hét hónapig megpróbálta elmondani a LastPass-nak a kérdést, ám a cég soha nem javította meg. Hány további külső 2FA alkalmazás nem biztonságos? És hány kijavítatlan biztonsági résről tudnak a fejlesztők, de késleltetik a javítást? Vannak is aggodalmak, amikor erről van szó elveszíti a hozzáférést a kódgenerátorhoz a Facebookon Bejelentkezés Facebook-ba, ha elvesztette a hozzáférést a KódgenerátorhozElvesztette a hozzáférést a Facebook kódgenerátorához? Ez a cikk a Facebook-fiókjába való bejelentkezés alternatív módszereiről szól. Olvass tovább például.

Mit tegyen ehelyett: Használjon U2F kulcsokat

Ahelyett, hogy az SMS-re és a 2FA-ra támaszkodna a kódjaihoz, használnia kell Univerzális 2nd Factor gombok Mik az U2F kulcsok és hol támogatottak?Az U2F kulcsok az egyik legjobb módszer a fiókok biztonságos megőrzésére. De hol támogatják az U2F kulcsokat? Olvass tovább (U2F). Ezek a legbiztonságosabb módszer a kódok generálására és a szolgáltatások elérésére.

Széles körben a 2FA második generációs változatának tekintik, ez egyszerûsíti és erõsíti a jelenlegi protokollt. Ezenkívül az U2F kulcsok használata szinte ugyanolyan kényelmes, mint az SMS vagy a harmadik féltől származó alkalmazások megnyitása.

Az U2F gombok NFC vagy USB kapcsolatot használnak. Amikor készülékét először csatlakoztatja egy fiókhoz, ez egy véletlenszerű számot generál, amelyet „Nonce” -nek hívnak. A Nonce-t kivágják a webhely domain nevével, hogy egyedi kódot hozzon létre.

Ezt követően telepítheti az U2F kulcsot úgy, hogy csatlakoztatja azt a készülékhez, és várja meg, amíg a szolgáltatás felismeri.

Szóval mi a hátránya? Nos, bár az U2F nyitott szabvány, mégis pénzbe kerül egy fizikai U2F kulcs vásárlása. És valószínűleg még inkább aggódik a lopás miatt.

Egy ellopott U2F-kulcs nem teszi automatikusan biztonságossá számláját; a hackernek továbbra is tudnia kell a jelszavát. De egy nyilvános helyen egy tolvaj már láthatta, hogy messziről adja meg a jelszavát, mielőtt ellopja vagyonát.

Az U2F kulcsok drágák lehetnek

Az árak gyártónként jelentősen eltérnek, de számíthat arra, hogy kb. 15-50 dollárt fizet.

Ideális esetben meg akarja vásárolni egy „FIDO tanúsítvánnyal rendelkező” modellt. A FIDO (Fast IDentity Online) szövetség felel a hitelesítési technológiák közötti átjárhatóságért. A tagok között mindenki megtalálható a Google-tól és a Microsoft-tól a Bank of America-ig és a MasterCard-ig.

FIDO eszköz vásárlásával biztos lehet benne, hogy az U2F kulcs az összes szolgáltatással működik, amelyet minden nap használ. Nézze meg a DIGIPASS SecureClick U2F kulcsot, ha meg szeretne vásárolni.

A bizonytalan 2FA még mindig jobb, mint a 2FA

Összefoglalva, az Universal 2nd Factor kulcsok boldog közeget biztosítanak a könnyű használat és a biztonság között. Az SMS a legkevésbé biztonságos megközelítés, de a legkényelmesebb is.

És ne feledje, hogy bármely 2FA jobb, mint nincs 2FA. Igen, további 10 másodpercbe telhet, amikor bejelentkezik bizonyos alkalmazásokba, de jobb, mint feláldozni a biztonságát.