Det er på tide å slutte å bruke SMS og 2FA Apps for tofaktorautentisering
Disse dager virker det som alle nettsteder du besøker, prøver å oppmuntre deg til å bruke tofaktorautentisering (2FA).
En av de vanligste måtene å bruke 2FA er å legge inn en unik kode fra mobilenheten din. Vanligvis mottar du koden i en tekstmelding, eller du bruker en tredjeparts 2FA-app for å generere en.
De to metodene er begge populære måter å bruke koder på grunn av deres bekvemmelighet. Imidlertid er begge metodene også svake fra et sikkerhetsmessig synspunkt. Og fordi 2FA-koden din bare er like sikker som teknologien som brukes til å levere den, er svakhetene viktige.
Så, hva er det galt med å bruke SMS- og tredjepartsprogrammer for å få tilgang til kodene dine? Og er det et like praktisk alternativ som er sikrere? Vi skal forklare alt. Fortsett å lese for å finne ut mer.
Hvordan tofaktorautentisering fungerer
La oss ta et øyeblikk for å diskutere hvordan tofaktorautentisering fungerer. Utenfor å forstå mekanikken bak teknologien, vil resten av denne artikkelen ikke gi mye mening.
I bred grad legger 2FA et ekstra sikkerhetslag til kontoen din. Også kjent som multi-faktor-autentisering, består innloggingsinformasjonen ikke bare av et passord, men også av et annet stykke informasjon som bare kontoens legitime eier har tilgang til.
2FA kommer i mange forskjellige former Fordeler og ulemper med tofaktorautentiseringstyper og -metoder Fordeler og ulemper med tofaktorautentiseringstyper og -metoder Tofaktorautentiseringsmetoder blir ikke opprettet like. Noen er beviselig tryggere og sikrere. Her er en titt på de mest vanlige metodene, og hvilke som passer best til dine individuelle behov. Les mer . På sitt mest grunnleggende nivå kan det være noe så enkelt som sikkerhetsspørsmål (fordi ingen andre kan muligens vite mors mors pikenavn Hvorfor du svarer på passordets sikkerhetsspørsmål Feil, hvorfor du svarer på passordets sikkerhetsspørsmål Feil Hvordan svarer du online Kontosikkerhetsspørsmål? Ærlige svar? Dessverre, din ærlighet kan skape en chink i din nettpanser. La oss ta en titt på hvordan du trygt kan svare på sikkerhetsspørsmål. Les mer eller ditt favorittdyr). Ved den mer kompliserte enden kan det være en biometrisk ID, for eksempel en netthandsscan eller et fingeravtrykk.
Hvorfor du bør unngå SMS-verifisering
SMS har en posisjon som den mest tilgjengelige måten å få tilgang til og bruke 2FA-koder. Hvis et nettsted tilbyr tofaktors autentiseringslogg, tilbyr det nesten sikkert SMS som et av alternativene.
Men SMS er ikke en sikker måte å bruke 2FA på. Den har to sentrale sårbarheter.
For det første er teknologien mottakelig for SIM swap-angrep. Det tar ikke mye for en hacker å utføre en SIM-bytte. Hvis de har tilgang til en annen personlig informasjon, som ditt personnummer, kan de ringe til operatøren din og flytte nummeret ditt til et nytt SIM-kort.
For det andre kan hackere avlyse SMS-meldinger. Alt kommer tilbake til det nå-daterte Signal System No. 7 (SS7) telefonrutingsystemet. Metoden ble designet tilbake i 1975, men brukes fortsatt nesten globalt for å koble til og koble fra samtaler. Det håndterer også nummeroversettelser, forhåndsbetalt fakturering og viktigst, SMS-meldinger.
Ikke overraskende, denne teknologien fra 1975 er full av sikkerhetshull. Slik beskriver sikkerhetseksperten Bruce Schneier feilene:
“Hvis angriperne har tilgang til en SS7-portal, kan de videresende samtalene dine til en elektronisk opptaksenhet og omdirigere anropet til den tilsiktede destinasjonen [...] Det betyr at en velutstyrt kriminell kunne gripe bekreftelsesmeldingene dine og bruke dem før du har selv sett dem.”
Selvfølgelig oppdager du at en cyberkriminell har hacket din Facebook Slik finner du ut om Facebook-kontoen din har blitt hacket Slik finner du ut om din Facebook-konto er blitt hacket Gitt hvor mye data vi har lagt til i våre profiler, er det viktigere enn noensinne å sørge for at du holder deg på Facebooks personverninnstillinger. Les mer kontoen er langt fra ideell. Men situasjonen er scarier når du vurderer andre bruken av 2FA. En cyberkriminell kan stjele koder du bruker i nettbanken din, eller til og med starte og fullføre pengeoverføringer. 6 Apper som hjelper deg med å overføre penger mellom venner 6 Apps for å hjelpe deg med å overføre penger mellom venner Noen ganger må du sende penger til venner raskt og sikkert. . Her er seks av de beste alternativene som er tilgjengelige. Les mer .
Videre hevder Schneier at alle kan kjøpe tilgang til SS7-nettverket for rundt $ 1000. Når de har tilgang, kan de sende en rutefortjeneste. For å fullføre problemet, kan nettverket ikke godkjenne kilden til forespørselen.
Husk at bruk av tofaktorautentisering via SMS er bedre enn å forlate 2FA deaktivert. Og det er sannsynligvis usannsynlig at du vil bli et offer. Men hvis du begynner å føle deg litt bekymret, må du fortsette å lese. Mange aksepterer at SMS er usikker og i stedet for tredjepartsapps.
Men det kan ikke være mye bedre.
Hvorfor du bør unngå 2FA Apps
Den andre vanlige måten å bruke 2FA-koder, er å installere en dedikert smartphone-app. Det er mange å velge mellom. Google Authenticator er uten tvil den mest gjenkjennelige, men det er ikke nødvendigvis det beste. Det finnes mange alternativer der ute, sjekk ut Authy, Authenticator Plus og Duo.
Men hvor sikker er spesialiserte 2FA-apper? Deres største svakhet er deres avhengighet av en hemmelig nøkkel.
La oss ta et skritt tilbake i et sekund. Hvis du ikke vet, når du registrerer deg for mange av appene for første gang, må du skrive inn en hemmelig nøkkel. Hemmeligheten deles mellom deg og appens leverandør.
Når du får tilgang til et nettsted, er koden som appen oppretter, basert på en kombinasjon av nøkkelen og gjeldende tid. I samme øyeblikk genererer serveren en kode med samme informasjon. De to kodene må samsvare for at tilgang skal gis. Høres fornuftig.
Så hvorfor er nøklene det svake punktet? Vel, hva skjer hvis en cyberkriminell klarer å få tilgang til selskapets passord og hemmelighetsdatabase? Hver konto vil være sårbar - angriperen kan komme og gå Hvordan sjekke om noen andre har tilgang til Facebook-kontoen din Hvordan sjekke om noen andre har tilgang til Facebook-kontoen din Det er både uhyggelig og bekymringsfull hvis noen har tilgang til din Facebook-konto uten din kunnskap. Slik vet du om du har blitt overtrådt. Les mer etter ønske.
For det andre er hemmeligheten enten vist i ren tekst eller som en QR-kode; Det kan ikke være hashed eller brukt med et salt. Hva alt dette MD5 Hash-stoffet egentlig betyr [Teknologi forklart] Hva alt dette MD5 Hash-stoffet egentlig betyr [Teknologi forklart] Her er en full nedlasting av MD5, hashing og en liten oversikt over datamaskiner og kryptografi. Les mer . Det er sannsynligvis også i ren tekst på selskapets servere.
Den hemmelige nøkkelen er den grunnleggende feilen i Time-Based One-Time Password (TOTP) som spesialapps bruker. Det er derfor en fysisk U2F-nøkkel alltid er et sikrere alternativ.
Feil i design og sikkerhet for 2FA Apps
Selvfølgelig er sjansene for en cyberkriminell hacking av en tredjeparts apps nødvendige databaser ganske små. Men appen din kan også lider av grunnleggende sikkerhetsfeil i designen.
Populær passordbehandling LastPass 8 enkle måter å overbelaste LastPass Security 8 enkle måter å overbelaste LastPass-sikkerheten Du kan bruke LastPass til å administrere mange online passord, men bruker du det riktig? Her er åtte trinn du kan ta for å gjøre LastPass-kontoen enda mer sikker. Les mer ble offer i desember 2017. En programmers blogginnlegg på medium avslørte 2FA hemmelige nøkler kunne nås uten fingeravtrykk, passord eller andre sikkerhetsforanstaltninger.
Løsningen var ikke engang komplisert. Ved å få tilgang til LastPass Authenticator-appens innstillingsaktivitet (com.lastpass.authenticator.activities.SettingsActivity) kan man legge inn innstillingsruten for appen uten noen kontroller. Derfra kan du trykke Tilbake en gang for å få tilgang til alle 2FA-kodene.
LastPass har nå løst feilen, men spørsmålet er fortsatt. Ifølge programmøren hadde han forsøkt å fortelle LastPass om saken i sju måneder, men selskapet har aldri løst det. Hvor mange andre tredjeparts 2FA-apper er usikre? Og hvor mange uberørte sårbarheter kjenner utviklerne om, men forsinker patching? Det er også bekymringer når det gjelder å miste tilgang til kodegeneratoren din på Facebook Slik logger du på Facebook Hvis du mistet tilgang til kodegenerator Hvordan logge deg på Facebook Hvis du mistet tilgang til kodegenerator Hva om du ikke kan logge deg på Facebook på Din nye datamaskin fordi du ikke har tilgang til kodegeneratoren på telefonen din? Les mer for eksempel.
Hva gjør du i stedet: Bruk U2F-tastene
I stedet for å stole på SMS og 2FA for kodene dine, bør du bruke Universal 2nd Factor-taster Hva er U2F-nøkler og hvor støttes de? Hva er U2F-nøkler og hvor støttes de? U2F-nøkler er en av de beste måtene å holde kontoene dine trygge og sikre. Men hvor er U2F-nøkler støttet? Les mer (U2F). De er den sikreste måten å generere koder på og få tilgang til tjenestene dine.
Mye anses å være en andre generasjons versjon av 2FA, både forenkler og styrker den nåværende protokollen. I tillegg er bruk av U2F-nøkler nesten like praktisk som å åpne en SMS-melding eller tredjepartsprogram.
U2F-tastene bruker enten en NFC- eller USB-tilkobling. Når du kobler enheten til en konto for første gang, genererer den et tilfeldig tall som heter a “nonce.” The Nonce er hashed med nettstedets domenenavn for å lage en unik kode.
Deretter kan du distribuere U2F-nøkkelen ved å koble den til enheten og vente på at tjenesten skal gjenkjenne den.
Så, hva er ulempen? Vel, selv om U2F er en åpen standard, koster det fortsatt penger for å kjøpe en fysisk U2F-nøkkel. Og kanskje mer om, du er i fare fra tyveri.
En stjålet U2F-nøkkel gjør ikke kontoen din usikker. en hacker ville fortsatt trenger å vite passordet ditt. Men i et offentligt område kan en tyv allerede ha sett deg skrive inn passordet ditt langt fra, før du stjeler dine eiendeler.
U2F-nøkler kan være dyre
Prisene varierer betydelig mellom produsenter, men du kan forvente å betale mellom rundt $ 15 og $ 50.
Ideelt sett vil du kjøpe en modell som er “FIDO-sertifisert.” FIDO (Fast IDentity Online) Alliance er ansvarlig for å oppnå interoperabilitet mellom autentiseringsteknologi. Medlemmer inkluderer alle fra Google og Microsoft, til Bank of America og MasterCard.
Ved å kjøpe en FIDO-enhet, kan du være sikker på at U2F-nøkkelen vil fungere med alle tjenestene du bruker hver dag. Sjekk ut DIGIPASS SecureClick U2F-nøkkelen hvis du vil kjøpe en.
Digipass SecureClick FIDO U2F sikkerhetsnøkkel Digipass SecureClick FIDO U2F sikkerhetsnøkkel Kjøp nå på Amazon
Usikker 2FA er enda bedre enn No 2FA
For å oppsummere, gir Universal 2nd Factor-nøkler et godt medium mellom brukervennlighet og sikkerhet. SMS er den minst sikre tilnærmingen, men den er også den mest praktiske.
Og husk, noen 2FA er bedre enn no 2FA. Ja, det kan ta deg ekstra 10 sekunder å logge inn på bestemte apper, men det er bedre enn å ofre sikkerheten din.
Utforsk mer om: Online-sikkerhet, tofaktorautentisering.