Съдържание:
- Основите на 2FA
- Практическите клопки
- Проблемът с възстановяването на акаунта
- 2FA всъщност е много добър
Видео: whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑÐºÑ (Септември 2024)
Тази седмица копая обратно в бездънната си пощенска чанта, за да се справя с още един въпрос за двуфакторното удостоверяване (2FA). Това е тема, която съм засегнал и преди, но съдейки по обема и спецификата на въпросите, които съм получил по въпроса, очевидно е проблем, за който много хора се замислят. Тъй като разглеждам 2FA като може би най-доброто нещо, което обикновените хора могат да направят, за да бъдат в безопасност онлайн, повече от щастлив съм да говоря безкрайно за това.
Днешният въпрос идва от Тед, който пише, питайки дали 2FA системите наистина са всичко, което са разрушени. Моля, обърнете внимание, че писмото на Тед е редактирано за краткост. Тед започва своето послание, като се позовава на някои от моите други писания в 2FA.
Вие написахте "След като въведете вашия защитен ключ, SMS паролите ще бъдат резервна опция в случай, че загубите или не можете да получите достъп до вашия ключ." Ако това е вярно, тогава защо това устройство е по-сигурно от 2FA SMS код? Както вие също написахте, „Но телефоните могат да бъдат откраднати и SIM-криването е очевидно нещо, за което трябва да се тревожим сега“.
Какво пречи на някой да каже на Google, че сте вие, загубили сте ключа за защита и се нуждаете от SMS код, изпратен на вашия откраднат / затворен телефон? Ако разбирам правилно това устройство, тогава не е по-сигурно от 2FA SMS текстове. Много по-удобно е, това е сигурно, но не успявам да видя как е по-сигурно.
Резултатът от всичко това е, че ключът за защита ще увеличи вашата сигурност, но само защото е по-вероятно да го използвате, а не защото по своята същност е по-сигурен от 2FA? Какво ми липсва?
Нищо не ти липсва, Тед. Всъщност вие сте умни да се заемете с основен проблем, който лежи в основата на голяма част от сигурността, свързана с онлайн удостоверяването: как сигурно да проверите кои са хората, без да им направите невъзможно да възстановят своите акаунти?
Основите на 2FA
Нека първо да разгледаме някои основи. Двуфакторната автентификация или 2FA е концепция за сигурност, при която трябва да представите две доказателства за идентичност, наречени фактори, от списък на възможните три.
- Нещо, което знаете , например парола.
- Нещо, което имате , например телефон.
- Нещо, което си, като пръстов отпечатък.
На практика 2FA често означава второ нещо, което правите след въвеждане на паролата си, за да влезете в сайт или услуга. Паролата е първият фактор, а вторият може да бъде или SMS съобщение, изпратено до телефона ви със специален код, или използване на FaceID на Apple на iPhone. Идеята е, че докато паролата може да се отгатне или открадне, по-малко вероятно е нападателят да получи както вашата парола, така и вашия втори фактор.
В писмото си Тед пита конкретно за хардуерните 2FA ключове. Серията YubiKey на Yubico е може би най-известният вариант, но далеч не е единственият вариант. Google има собствени ключове за сигурност на Titan и Nitrokey предлага ключ с отворен код, за да назовем само два.
Практическите клопки
Нито една система за сигурност не е перфектна и 2FA не се различава. Guemmy Kim, ръководител на продуктите за екипа на Google за защита на акаунти, правилно посочи, че много от системите, на които разчитаме за възстановяване на акаунт и 2FA, са податливи на фишинг. Тук лошите използват фалшиви сайтове, за да ви подведат да въведете лична информация.
Една от най-екзотичните атаки би била свързването на SIM, при което нападател клонира вашата СИМ-карта или подмами вашата телефонна компания да отмени регистрацията на вашата СИМ-карта, за да прихване вашите SMS съобщения. При този сценарий нападателят може много ефективно да ви представи, тъй като може да използва вашия телефонен номер като свой.
Не толкова екзотичната атака е обикновена стара загуба и кражба. Ако вашият телефон или приложение на вашия телефон е вашият основен автентификатор и го загубите, това ще бъде главоболие. Същото важи и за хардуерните ключове. Въпреки че хардуерните ключове за сигурност, като Yubico YubiKey, са трудни за счупване, те се губят много лесно.
Проблемът с възстановяването на акаунта
Това, което Тед посочва в писмото си, е, че много компании изискват да създадете втори метод 2FA, в допълнение към хардуерен ключ за сигурност. Google например изисква да използвате или SMS, да инсталирате приложението за удостоверяване на компанията или да регистрирате устройството си, за да получавате push известия от Google, които потвърждават вашия акаунт. Изглежда, че имате нужда от поне една от тези три опции като резервно копие към всяка друга опция 2FA, която използвате - като ключовете Titan от Google.
Дори и да регистрирате втори ключ за защита като резервно копие, все пак трябва да активирате SMS, Google Удостоверител или да изпращате известия. По-специално, ако искате да използвате Програмата за разширена защита на Google, е необходимо да въведете втори ключ.
По същия начин Twitter също изисква да използвате или SMS кодове или приложение за удостоверяване в допълнение към незадължителен хардуерен ключ за защита. За съжаление, Twitter ви позволява да регистрирате само един ключ за защита наведнъж.
Както посочи Тед, тези алтернативни методи са технически по-малко сигурни от използването на ключ за защита сам по себе си. Мога само да гадая защо тези системи са внедрени по този начин, но подозирам, че искат да гарантират, че клиентите им винаги могат да имат достъп до своите акаунти. SMS кодовете и приложенията за удостоверяване са тествани във времето опции, които са лесни за разбиране от хората и не изискват от тях да купуват допълнителни устройства. SMS кодовете също решават проблема с кражбата на устройството. Ако загубите телефона си или той е откраднат, можете дистанционно да го заключите, деавторизирате неговата SIM карта и да получите нов телефон, който може да получава SMS кодовете, за да се върне онлайн.
Лично аз обичам да имам на разположение множество опции, тъй като докато съм загрижен за сигурността, аз също познавам себе си и знам, че губя или нарушавам нещата доста редовно. Знам, че хората, които никога досега не са използвали 2FA, са много загрижени да се окажат затворени от акаунта си, ако използват 2FA.
2FA всъщност е много добър
Винаги е важно да разберете недостатъците на всяка система за сигурност, но това не обезсилва системата. Въпреки че 2FA има своите слабости, той е изключително успешен.
Отново трябва да гледаме само на Google. Компанията изисква вътрешно използване на хардуерни 2FA ключове и резултатите говорят сами за себе си. Успешното поглъщане на акаунти на служители на Google ефективно изчезна. Това е особено важно, като се има предвид, че служителите на Google, с позицията си в технологичната индустрия и (предполагаемото) богатство, са водещи за целенасочени атаки. Това е мястото, където нападателите изразходват големи усилия за насочване към конкретни лица в атака. Рядко се случва и обикновено е успешно, ако нападателят има достатъчно средства и търпение.
Изискването тук е, че Google се нуждае от специфичен тип 2FA: хардуерни ключове за сигурност. Те имат предимството пред други 2FA схеми, тъй като са много трудни за фиширане или прихващане по друг начин. Някои може да кажат невъзможно, но видях какво се случи с "Титаник" и знам по-добре.
И все пак методите за прихващане на 2FA SMS кодове или маркери за автентификация са доста екзотични и всъщност не се мащабират добре. Това означава, че е малко вероятно да бъдат използвани от обикновения престъпник, който се стреми да спечели пари колкото се може по-бързо и лесно, от обикновения човек като вас.
За Тед: хардуерните ключове за сигурност са най-сигурният начин, който досега сме виждали да правим 2FA. Те са много трудни за фиширане и са много трудни за нападение, въпреки че не са без присъщите им слабости. Освен това хардуерните ключове на 2FA до известна степен са доказани в бъдеще. Много компании се отдалечават от SMS кодовете, а някои дори са въвели без пароли данни за вход, които разчитат изцяло на хардуерни 2FA ключове, които използват стандарта FIDO2. Ако сега използвате хардуерен ключ, има голям шанс да бъдете сигурни за години напред.
- Двуфакторно удостоверяване: кой го има и как да го настрои Двуфакторно удостоверяване: кой го има и как да го настрои
- Google: Фишинг атаки, които могат да победят двуфакторни са в подем, Google: Фишинг атаки, които могат да победят двуфакторни, са в стадия
- SecurityWatch: Как да не се заключва с двуфакторна автентификация SecurityWatch: как да не се заключва с двуфакторна автентификация
Колкото и да са безопасни хардуерните 2FA ключове, по-голямата екосистема изисква да се направят някои компромиси, за да не ви изличат излишно от вашия акаунт. 2FA трябва да бъде технология, която хората действително използват, иначе изобщо не струва нищо.
Предвид избора, мисля, че повечето хора ще използват 2FA опции, базирани на приложения и SMS, тъй като те са по-лесни за настройване и ефективно безплатно. Това може да не са най-добрите възможни варианти, но те работят много добре за повечето хора. Това може да се промени скоро, обаче, когато Google ви позволява да използвате мобилно устройство, работещо под Android 7.0 или по-нова версия, като хардуерен ключ за сигурност.
Въпреки ограниченията си, 2FA е може би най-доброто нещо за сигурността на потребителите след антивирусни действия. Той спретнато и ефективно предотвратява някои от най-опустошителните атаки, всички без да добавя твърде много сложност в живота на хората. Въпреки това решите да използвате 2FA, изберете метод, който има смисъл за вас. Използването на 2FA е много по-вредно от използването на малко по-малко страхотен аромат 2FA.
