Disse dage ser det ud til, at alle hjemmesider, du nogensinde besøger, forsøger at opfordre dig til at bruge tofaktorautentificering (2FA).
En af de mest almindelige måder at bruge 2FA på er at indtaste en unik kode fra din mobilenhed. Normalt modtager du koden i en SMS-besked, eller du bruger en tredjeparts 2FA-app til at generere en.
De to metoder er begge populære måder at bruge koder på grund af deres bekvemmelighed. Men begge metoder er også svage ud fra et sikkerhedssynspunkt. Og fordi din 2FA-kode kun er så sikker som den teknologi, der bruges til at levere det, er svaghederne vigtige.
Så hvad er der galt med at bruge SMS og tredjeparts apps til at få adgang til dine koder? Og er der et lige så praktisk alternativ, der er mere sikkert? Vi skal forklare alt. Fortsæt læsning for at finde ud af mere.
Sådan fungerer tofaktorautentificering
Lad os tage et øjeblik for at diskutere, hvordan tofaktorautentificering virker. Uden at forstå mekanikerne bag teknologien, vil resten af denne artikel ikke give meget mening.
I bredden tilføjer 2FA et ekstra sikkerhedslag til din konto. Også kendt som multi-factor-godkendelse består loginoplysninger ikke kun af et kodeord, men også af et andet stykke information, som kun kontoens legitime ejer har adgang til.
2FA kommer i mange forskellige former Fordelene og ulemperne med tofaktorautentifikationstyper og -metoder Fordele og ulemper ved tofaktorautentificeringstyper og -metoder Tofaktorautentificeringsmetoder er ikke skabt ens. Nogle er påviseligt sikrere og mere sikre. Her er et kig på de mest almindelige metoder og hvilke der bedst opfylder dine individuelle behov. Læs mere . På sit mest grundlæggende niveau kan det være noget så simpelt som sikkerhedsspørgsmål (fordi ingen andre muligvis kunne vide din mors pigenavn, hvorfor du besvarer adgangskode Sikkerhedsspørgsmål, forkert, hvorfor du besvarer adgangskode Sikkerhedsspørgsmål Forkert Hvordan svarer du online konto sikkerhed spørgsmål? ærlige svar? desværre kan din ærlighed skabe en chink i din online rustning. lad os tage et kig på, hvordan man sikkert kan besvare sikkerheds spørgsmål. læs mere eller dit yndlings kæledyr). Ved den mere komplicerede ende kan det være et biometrisk ID som f.eks. En nethindenhed eller et fingeraftryk.
Hvorfor du bør undgå sms verifikation
SMS har en position som den mest tilgængelige måde at få adgang til og bruge 2FA koder. Hvis et websted tilbyder tofaktors godkendelseslogins, tilbyder det næsten sikkert SMS som en af mulighederne.
Men SMS er ikke en sikker måde at bruge 2FA på. Det har to centrale sårbarheder.
For det første er teknologien modtagelig for SIM Swap-angreb . Det tager ikke meget for en hacker at udføre en SIM-swap. Hvis de har adgang til et andet personligt informationsmateriale - ligesom dit personnummer - de kan ringe til din operatør og flytte dit nummer til et nyt SIM-kort.
For det andet kan hackere aflytte SMS-beskeder . Det hele kommer tilbage til det nu daterede Signal System System 7 (SS7) telefon routing system. Metoden blev designet tilbage i 1975, men bruges stadig næsten globalt til at forbinde og afbryde opkald. Det håndterer også taloversættelser, forudbetalt fakturering og afgørende SMS-beskeder.
Det er overraskende, at denne teknologi fra 1975 er fuld af sikkerhedshuller. Sådan beskrev sikkerhedseksperten Bruce Schneier fejlene:
"Hvis angriberne har adgang til en SS7-portal, kan de videresende dine samtaler til en onlineoptagelsesenhed og omdirigere opkaldet til den tilsigtede destination [...] Det betyder, at en veludstyret kriminel kunne få fat i dine bekræftelsesmeddelelser og bruge dem, før du ' Jeg har set dem selv. "
Selvfølgelig opdager, at en cyberkriminel har hacket din Facebook Sådan finder du ud af, om din Facebook-konto er blevet hakket Sådan finder du ud af, om din Facebook-konto er blevet hacket Givet, hvor meget data vi har tilføjet til vores profiler, er det vigtigere end nogensinde for at sikre dig, at du forbliver oven på Facebooks privatlivsindstillinger. Læs mere konto er langt fra ideel. Men situationen er skræmmere, når du overvejer andre anvendelser af 2FA. En cyberkriminel kunne stjæle koder, du bruger i din internetbank eller endda indlede og fuldføre pengeoverførsler. 6 Apps til at hjælpe dig med at overføre penge mellem venner 6 Apps til at hjælpe dig med at overføre penge mellem venner Sommetider skal du sende penge til venner hurtigt og sikkert . Her er seks af de bedste muligheder. Læs mere .
Desuden hævder Schneier også, at alle kan købe adgang til SS7-netværket for omkring $ 1.000. Når de har adgang, kan de sende en rutefortjeneste. For at afslutte problemet kan netværket muligvis ikke godkende kilden til anmodningen.
Husk at bruge 2-faktor autentificering via SMS er bedre end at forlade 2FA deaktiveret. Og det er sandsynligvis usandsynligt, at du bliver offer. Men hvis du begynder at føle dig lidt bekymret, skal du fortsætte med at læse. Mange accepterer, at SMS er usikker og vender til tredjeparts apps i stedet.
Men det kan ikke være meget bedre.
Hvorfor du bør undgå 2FA Apps
Den anden almindelige måde at bruge 2FA koder på er at installere en dedikeret smartphone app. Der er mange at vælge imellem. Google Authenticator er uden tvivl det mest genkendelige, men det er ikke nødvendigvis det bedste. Der er mange alternativer derude - tjek Authy, Authenticator Plus og Duo.
Men hvor sikkert er specialiserede 2FA apps? Deres største svaghed er deres afhængighed af en hemmelig nøgle .
Lad os tage et skridt tilbage i et sekund. Hvis du ikke er klar over, når du tilmelder dig mange af apps for første gang, skal du indtaste en hemmelig nøgle. Hemmeligheden deles mellem dig og appens udbyder.
Når du får adgang til et websted, er koden, som appen opretter, baseret på en kombination af din nøgle og den aktuelle tid. På samme tidspunkt genererer serveren en kode ved hjælp af de samme oplysninger. De to koder skal matches for at få adgang. Det lyder fornuftigt.
Så hvorfor er nøgler det svage punkt? Nå, hvad sker der, hvis en cyberkriminel formår at få adgang til virksomhedens adgangskode og hemmelighedsdatabase? Enhver konto ville være sårbar - angriberen kunne komme og gå Sådan kontrolleres om nogen andre har adgang til din Facebook-konto Sådan kontrolleres det, om nogen andre har adgang til din Facebook-konto Det er både uhyggeligt og bekymrende, hvis nogen har adgang til din Facebook-konto uden din viden. Sådan ved du, om du er blevet brudt. Læs mere efter ønske.
For det andet vises hemmeligheden enten i almindelig tekst eller som QR-kode; det kan ikke være hashed eller brugt med et salt Hvad er alt dette MD5 Hash-ting egentlig betyder [Teknologi forklaret] Hvad er alt dette MD5 Hash-indhold egentlig betyder? [Teknologi forklaret] Her er en fuld nedbrud af MD5, hashing og et lille overblik over computere og kryptografi. Læs mere . Det er sandsynligvis også i almindelig tekst på virksomhedens servere.
Den hemmelige nøgle er den grundlæggende fejl i Time-Based One-Time Password (TOTP), som specialapps bruger. Derfor er en fysisk U2F-nøgle altid en mere sikker løsning.
Fejl i design og sikkerhed for 2FA Apps
Selvfølgelig er chancerne for en cyberkriminel hacking af en tredjeparts apps nødvendige databaser ret små. Men din app kan også lide af grundlæggende sikkerhedsfejl i dens design.
Populær adgangskodeadministrator LastPass 8 nemme måder at overbelaste din LastPass-sikkerhed 8 Nemme måder at overbelaste din LastPass-sikkerhed Du kan bruge LastPass til at styre dine mange online adgangskoder, men bruger du det korrekt? Her er otte trin, du kan tage for at gøre din LastPass-konto endnu mere sikker. Læs mere blev offer i december 2017. En programmers blogpost på mellemstore afslørede 2FA hemmelige nøgler kunne fås uden fingeraftryk, adgangskode eller anden sikkerhedsforanstaltning.
Løsningen var ikke engang kompliceret. Ved at få adgang til LastPass Authenticator-appens indstillingsaktivitet (com.lastpass.authenticator.activities.SettingsActivity) kan man komme ind i indstillingsruden til appen uden nogen kontrol. Derfra kan du trykke på Tilbage en gang for at få adgang til alle 2FA-koderne.
LastPass har nu rettet fejlen, men spørgsmål forbliver. Ifølge programmereren havde han forsøgt at fortælle LastPass om sagen i syv måneder, men selskabet fik aldrig det. Hvor mange andre tredjeparts 2FA apps er usikre? Og hvor mange ubemærkede sårbarheder ved udviklerne om, men forsinker patching?
Hvad skal du gøre i stedet: Brug U2F-nøgler
I stedet for at stole på SMS og 2FA for dine koder, skal du bruge Universal 2nd Factor-nøgler Hvad er U2F-nøgler, og hvor understøttes de? Hvad er U2F-nøgler, og hvor understøttes de? U2F-nøgler er en af de bedste måder at holde dine konti sikre og sikre. Men hvor understøttes U2F nøgler? Læs mere (U2F). De er den sikreste måde at generere koder på og få adgang til dine tjenester.
Alment betragtes som en anden generation af 2FA, det forenkler og styrker både den nuværende protokol. Derudover er brug af U2F-nøgler næsten lige så bekvem som at åbne en SMS-besked eller tredjepartsapp.
U2F nøgler bruger enten en NFC eller USB-forbindelse. Når du tilslutter enheden til en konto for første gang, genererer den et tilfældigt tal kaldet en "Nonce." Nonce er hashed med webstedets domænenavn for at oprette en unik kode.
Derefter kan du installere din U2F-nøgle ved at forbinde den til din enhed og vente på, at tjenesten genkender den.
Så hvad er ulempen? Nå selvom U2F er en åben standard koster det stadig penge for at købe en fysisk U2F-nøgle. Og måske mere om, du er i fare for tyveri.
En stjålet U2F-nøgle gør ikke din konto automatisk usikker; en hacker ville stadig have brug for at kende dit kodeord. Men i et offentligt område kan en tyv allerede have set dig indtaste dit kodeord langt fra, før du stjæler dine ejendele.
U2F-nøgler kan være dyre
Priserne varierer betydeligt mellem producenter, men du kan forvente at betale mellem omkring $ 15 og $ 50.
Ideelt set vil du købe en model, der er "FIDO Certified." FIDO (Fast IDentity Online) Alliance er ansvarlig for at opnå interoperabilitet mellem autentificeringsteknologier. Medlemmer omfatter alle fra Google og Microsoft, til Bank of America og MasterCard.
Ved at købe en FIDO-enhed kan du være sikker på, at U2F-nøglen fungerer sammen med alle de tjenester, du bruger hver dag. Tjek DIGIPASS SecureClick U2F-nøglen, hvis du vil købe en.
DIGIPASS SecureClick FIDO U2F sikkerhedsnøgle DIGIPASS SecureClick FIDO U2F sikkerhedsnøgle Køb nu hos Amazon $ 39.00
Usikker 2FA er stadig bedre end nr. 2FA
Sammenfattende giver Universal 2nd Factor-nøgler et godt medium mellem brugervenlighed og sikkerhed. SMS er den mindst sikre tilgang, men det er også den mest bekvemme.
Og husk, at 2FA er bedre end nr. 2FA. Ja, det kan tage dig ekstra 10 sekunder at logge ind på bestemte apps, men det er bedre end at ofre din sikkerhed.