Joseph Goodman
0 
4106
85
I disse dage ser det ud til, at ethvert websted, du nogensinde besøger, prøver at opmuntre dig til at bruge to-faktor-godkendelse (2FA).
En af de mest almindelige måder at bruge 2FA på er at indtaste en unik kode fra din mobile enhed. Typisk modtager du koden i en tekstbesked, eller du bruger en tredjeparts 2FA-app til at generere en.
De to metoder er begge populære måder at bruge koder på grund af deres bekvemmelighed. Begge metoder er imidlertid også svage fra et sikkerhedsmæssigt synspunkt. Og fordi din 2FA-kode kun er så sikker som den teknologi, der bruges til at levere den, er svaghederne vigtige.
Så hvad er der galt med at bruge SMS og tredjepartsapps til at få adgang til dine koder Hvad er adgangskodeløs login? Er de faktisk sikre? Hvad er kodeordløs login? Er de faktisk sikre? Der er adgangskoder uden login. Er de sikre? Hvordan i alverden fungerer kodeordløs login? Her er hvad du har brug for at vide. ? Og er der et lige så praktisk alternativ, der er mere sikkert? Vi vil forklare alt. Fortsæt med at læse for at finde ud af mere.
Sådan fungerer tofaktorauthenticering
Lad os tage et øjeblik til at diskutere, hvordan tofaktorautentisering fungerer. Uden at forstå mekanikken bag teknologien, giver resten af denne artikel ikke meget mening.
I store vendinger tilføjer 2FA et ekstra lag af sikkerhed til din konto Sådan sikres dine konti med 2FA: Gmail, Outlook og mere Sådan sikres dine konti med 2FA: Gmail, Outlook og mere Kan tofaktorautentisering hjælpe med at sikre din e-mail og sociale netværk? Her er hvad du har brug for at vide for at blive sikker online. . Også kendt som multifaktor-godkendelse består login-legitimationsoplysninger ikke kun af en adgangskode, men også af et andet stykke information, som kun kontoens legitime ejer har adgang til.
2FA findes i masser af forskellige former Fordele og ulemper ved tofaktorautentiseringstyper og -metoder Fordele og ulemper ved tofaktorautentiseringstyper og -metoder Tofaktors autentificeringsmetoder oprettes ikke ens. Nogle er påviseligt sikrere og mere sikre. Her er et kig på de mest almindelige metoder, og hvilke der bedst imødekommer dine individuelle behov. . På det mest basale niveau kan det være noget så simpelt som sikkerhedsspørgsmål (fordi ingen andre muligvis kunne kende din mors pigenavn Hvorfor du svarer på adgangskode Sikkerhedsspørgsmål Forkert Hvorfor du svarer på adgangskode Sikkerhedsspørgsmål Forkert Hvordan svarer du online spørgsmål om kontosikkerhed? Ærlige svar? Desværre kunne din ærlighed skabe en chink i din online rustning. Lad os tage et kig på, hvordan du sikkert besvarer sikkerhedsspørgsmål. eller dit foretrukne kæledyr). I den mere komplicerede ende kan det være et biometrisk ID, såsom en nethindeskanning eller et fingeraftryk.
Hvorfor du bør undgå SMS-verifikation
SMS nyder en position som den mest tilgængelige måde at få adgang til og bruge 2FA-koder på. Hvis et websted tilbyder to-faktor-godkendelseslogins, tilbyder det næsten helt sikkert SMS som en af mulighederne.
Men SMS er ikke en sikker måde at bruge 2FA på. Det har to centrale sårbarheder.
For det første er teknologien det modtagelige for SIM Swap-angreb. Det kræver ikke meget for en hacker at udføre en SIM-swap. Hvis de har adgang til et andet personligt stykke information - som dit personnummer - kan de ringe til din udbyder og flytte dit nummer til et nyt SIM-kort.
For det andet kan hackere opfang SMS-beskeder. Det hele kommer tilbage til det nu daterede signalanlægssystem nr. 7 (SS7) telefonrutingssystem. Metodikken blev designet tilbage i 1975, men bruges stadig næsten globalt til at oprette forbindelse og afbryde opkald. Det håndterer også nummeroversættelser, forudbetalt fakturering og afgørende SMS-beskeder.
Ikke overraskende er denne teknologi fra 1975 fuld af sikkerhedshuller. Sådan beskrev sikkerhedsekspert Bruce Schneier fejlene:
“Hvis angriberen har adgang til en SS7-portal, kan de videresende dine samtaler til en online optagelsesenhed og omdirigere opkaldet til dets tilsigtede destination […] Det betyder, at en veludstyret kriminel kunne få fat i dine bekræftelsesmeddelelser og bruge dem, før du har endda set dem.”
Selvfølgelig at opdage, at en cyber-kriminel har hacket din Facebook. Hvordan finder du ud af, om din Facebook-konto er blevet hacket? Hvordan finder du ud af, om din Facebook-konto er blevet hacket med Facebook, der indeholder så meget data, skal du holde din konto sikker. Sådan finder du ud af, om din Facebook er blevet hacket. kontoen er langt fra ideel. Men situationen er skremmende, når man overvejer andre anvendelser af 2FA. En cyberkriminel kunne stjæle koder, du bruger i din online bankvirksomhed, eller endda igangsætte og gennemføre pengeoverførsler. De 6 bedste apps til at sende penge til venner. De 6 bedste apps, der skal sendes penge til venner. Næste gang du skal sende penge til venner, skal du tjekke ud disse fantastiske mobile apps for at sende penge til nogen på få minutter. .
Desuden hævder Schneier også, at enhver kan købe adgang til SS7-netværket for omkring $ 1.000. Når de har adgang, kan de sende en routinganmodning. For at fuldføre problemet kan netværket muligvis ikke autentificere anmodningskilden.
Husk, at bruge tofaktorautentificering via SMS er bedre end at lade 2FA være deaktiveret. Og det er sandsynligvis usandsynligt, at du bliver et offer. Men hvis du begynder at føle dig lidt bekymret, skal du fortsætte med at læse. Mange mennesker accepterer, at SMS er usikkert og henvender sig i stedet til tredjepartsapps.
Men det er måske ikke meget bedre.
Hvorfor du bør undgå 2FA-apps
Den anden almindelige måde at bruge 2FA-koder på er at installere en dedikeret smartphone-app. Der er masser at vælge imellem. Google Authenticator er vel den mest genkendelige, men det er ikke nødvendigvis den bedste. Der er masser af alternativer derude-tjek Authy, Authenticator Plus og Duo.
Men hvor sikre er specialiserede 2FA-apps? Deres største svaghed er deres afhængighed af en hemmelig nøgle.
Lad os tage et skridt tilbage et øjeblik. Hvis du ikke er opmærksom på det, skal du indtaste en hemmelig nøgle, når du tilmelder dig mange af apps første gang. Hemmeligheden deles mellem dig og appens udbyder.
Når du åbner et websted, er den kode, appen opretter, baseret på en kombination af din nøgle og det aktuelle klokkeslæt. På samme tidspunkt genererer serveren en kode ved hjælp af de samme oplysninger. De to koder skal matche for at få adgang. Lyder fornuftigt.
Så hvorfor er nøgler det svage punkt? Hvad sker der, hvis en cyber-kriminel formår at få adgang til en virksomheds database med adgangskoder og hemmeligheder? Hver konto ville være sårbar-angriberen kunne komme og gå. Hvordan kan man kontrollere, om nogen anden har adgang til din Facebook-konto, hvordan man kontrollerer, om nogen anden har adgang til din Facebook-konto? Det er både uhyggeligt og foruroligende, hvis nogen har adgang til din Facebook-konto uden din viden. Sådan kan du vide, om du er blevet krænket. forgodtbefindende.
For det andet vises hemmeligheden enten i almindelig tekst eller som en QR-kode; det kan ikke hashes eller bruges sammen med et salt Hvad alt dette MD5 Hash-stof faktisk betyder [Teknologi forklaret] Hvad alt dette MD5 Hash-stof faktisk betyder [Teknologi forklaret] Her er en fuld nedslibning af MD5, hashing og en lille oversigt over computere og kryptografi. . Det er sandsynligvis også i almindelig tekst på virksomhedens servere.
Den hemmelige nøgle er den grundlæggende fejl i den tidsbaserede engangsadgangskode (TOTP), som specialapps bruger. Derfor er en fysisk U2F-nøgle altid en mere sikker mulighed.
Mangler i design og sikkerhed for 2FA-apps
Naturligvis er chancerne for, at en cyberkriminel hacking en tredjeparts apps nødvendige databaser, relativt små. Men din app kan også lide af grundlæggende sikkerhedsfejl i dens design.
Populær adgangskodemanager LastPass 8 lette måder at supercharge din LastPass-sikkerhed 8 Nemme måder at supercharge din LastPass-sikkerhed Du bruger muligvis LastPass til at administrere dine mange online adgangskoder, men bruger du det rigtigt? Her er otte trin, du kan tage for at gøre din LastPass-konto endnu mere sikker. blev offer i december 2017. En programmerers blogindlæg om Medium afslørede, at 2FA hemmelige nøgler kunne fås adgang uden et fingeraftryk, adgangskode eller andre sikkerhedsforanstaltninger.
Løsningen var ikke engang kompliceret. Ved at åbne LastPass Authenticator-appens indstillingsaktivitet (com.lastpass.authenticator.activities.SettingsActivity), kunne man indtaste indstillingsruden for appen uden nogen kontrol. Derfra kunne du trykke på Tilbage én gang for at få adgang til alle 2FA-koder.
LastPass har nu rettet fejlen, men der er stadig spørgsmål. Ifølge programmereren havde han forsøgt at fortælle LastPass om problemet i syv måneder, men virksomheden fik det aldrig løst. Hvor mange andre 2FA-apps fra tredjepart er usikre? Og hvor mange ukomplicerede sårbarheder ved udviklerne om, men forsinker programrettelse? Der er også bekymringer, når det kommer til at miste adgang til din kodegenerator på Facebook Sådan logger du ind på Facebook, hvis du har mistet adgang til kodegenerator, hvordan du logger ind på Facebook, hvis du mistede adgangen til kodegeneratoren Mistet adgang til Facebooks kodegenerator? Denne artikel dækker alternative metoder til at logge ind på din Facebook-konto. for eksempel.
Hvad skal man gøre i stedet: Brug U2F-taster
I stedet for at stole på SMS og 2FA for dine koder, skal du bruge Universal 2nd Factor-taster Hvad er U2F-nøgler, og hvor understøttes de? Hvad er U2F-nøgler, og hvor understøttes de? U2F-nøgler er en af de bedste måder at holde dine konti sikre og sikre. Men hvor understøttes U2F-nøgler? (U2F). De er den mest sikre måde at generere koder og få adgang til dine tjenester.
Meget betragtet som en anden generations version af 2FA, det både forenkler og styrker den aktuelle protokol. Derudover er brug af U2F-nøgler næsten lige så praktisk som at åbne en SMS-besked eller en tredjepart-app.
U2F-taster bruger enten en NFC- eller USB-forbindelse. Når du forbinder din enhed til en konto for første gang, genererer den et tilfældigt tal kaldet a “nonce.” Nonce er hashet med webstedets domænenavn for at oprette en unik kode.
Derefter kan du distribuere din U2F-nøgle ved at forbinde den til din enhed og vente på, at tjenesten genkender den.
Så hvad er ulempen? Selvom U2F er en åben standard, koster det stadig penge at købe en fysisk U2F-nøgle. Og måske mere angående, du er i fare for tyveri.
En stjålet U2F-nøgle gør ikke din konto automatisk usikker; en hacker skulle stadig kende dit kodeord. Men i et offentligt område kan en tyv måske allerede have set dig indtaste dit kodeord langvejs fra før du stjal dine ejendele.
U2F-taster kan være dyre
Priserne varierer betydeligt mellem producenterne, men du kan forvente at betale mellem ca. $ 15 og $ 50.
Ideelt set ønsker du at købe en model, der er “FIDO-certificeret.” FIDO (Fast IDentity Online) Alliance er ansvarlig for at opnå interoperabilitet mellem godkendelsesteknologier. Medlemmerne inkluderer alle fra Google og Microsoft til Bank of America og MasterCard.
Ved at købe en FIDO-enhed kan du være sikker på, at din U2F-nøgle fungerer med alle de tjenester, du bruger hver dag. Tjek DIGIPASS SecureClick U2F-nøglen, hvis du vil købe en.
Usikker 2FA er stadig bedre end nr. 2FA
For at opsummere giver Universal 2nd Factor nøgler et lykkeligt medium mellem brugervenlighed og sikkerhed. SMS er den mindst sikre tilgang, men den er også den mest bekvemme.
Og husk, enhver 2FA er bedre end ingen 2FA. Ja, det kan tage dig yderligere 10 sekunder at logge på bestemte apps, men det er bedre end at ofre din sikkerhed.