Вријеме је да престанете користити СМС и 2ФА апликације за двофакторску провјеру аутентичности

Реклама

Ових дана, чини се да сваки веб сајт који посетите покушава да вас охрабри користите двофакторну аутентификацију (2ФА).

Један од најчешћих начина за коришћење 2ФА је унос јединственог кода са вашег мобилног уређаја. Обично примите код у текстуалној поруци или користите 2ФА апликацију треће стране да бисте је генерисали.

Ове две методе су популарне начине употребе кодова због њихове практичности. Међутим, обе методе су такође слабе са становишта сигурности. А будући да је ваш 2ФА код једнако сигуран колико и технологија која се користи за његово испоручивање, слабости су важне.

Дакле, шта није у реду са помоћу СМС-а и трећих апликација за приступ шифрама Шта су лозинке без лозинке? Да ли су они заиста сигурни?Долазе пријаве без лозинке. Да ли су сигурни? Како на земљи раде лозинке без лозинке? Ево шта треба да знате. Опширније ? И да ли постоји једнако погодна алтернатива која је сигурнија? Објаснићемо све. Наставите да читате да бисте сазнали више.

Како функционира двофакторска провјера аутентичности

Узмимо тренутак да разговарамо о томе како делује двофакторска аутентификација. Без разумевања механике која стоји иза технологије, остатак овог чланка неће имати пуно смисла.

У ширем смислу, 2ФА додаје додатни слој сигурности вашем налогу Како осигурати своје рачуне помоћу услуге 2ФА: Гмаил, Оутлоок и још много тогаМоже ли двофакторска провјера аутентичности помоћи да осигурате своју е-пошту и друштвене мреже? Ево шта треба да знате како бисте били сигурни на мрежи. Опширније . Такође познате као мултифакторска аутентификација, вјеродајнице за пријаву састоје се не само од лозинке, већ и од другог податка којем приступи само легитимни власник налога.

2ФА долази у пуно различитих облика Предности и недостаци двофакторних врста и метода аутентификацијеДвофакторске методе провјере идентитета нису једнаке. Неки су демонстрирано сигурнији и сигурнији. Ево најчешћих метода и оне које најбоље одговарају вашим индивидуалним потребама. Опширније . На свом најосновнијем нивоу, то би могло бити нешто тако једноставно као безбедносна питања (јер нико други то не би могао знате дјевојачко презиме ваше мајке Зашто одговарате на питања о безбедности лозинке погрешноКако одговарате на питања о безбедности на мрежи? Искрени одговори? Нажалост, ваша искреност могла би створити мрвицу у вашем оклопу на мрежи. Погледајмо како сигурно одговорити на сигурносна питања. Опширније или свог омиљеног кућног љубимца). На компликованијем крају, то би могао бити биометријски ИД попут скенирања мрежнице или отиска прста.

Зашто бисте требали избјегавати провјеру СМС-а

СМС ужива у положају као најдоступнији начин приступа и коришћења 2ФА кодова. Ако веб локација нуди двофакторну пријаву за аутентификацију, готово сигурно нуди СМС као једну од опција.

Али СМС није сигуран начин коришћења 2ФА. Има две кључне рањивости.

Прво, технологија је подложан нападима СИМ свапа. Не треба пуно да хакер изврши смену СИМ-а. Ако имају приступ неком другом личном информацији - попут вашег броја социјалног осигурања - могу вам назвати оператера и преместити ваш број на нову СИМ картицу.

Друго, хакери могу пресрести СМС поруке. Све се враћа на сада датирани систем сигнализације бр. 7 (СС7) телефона. Методологија је осмишљена још 1975. године, али се још увек користи скоро за глобално повезивање и прекид везе. Такође се бави превођењем броја, унапред плаћеним наплатама и пресудно, СМС порукама.

Није изненађујуће да је ова технологија из 1975. године пуна сигурносних рупа. Ево како експерт за безбедност Бруце Сцхнеиер описали недостатке:

„Ако нападачи имају приступ СС7 порталу, могу да проследе ваше разговоре на мрежни уређај за снимање и преусмере позив на предвиђено одредиште […] То значи да ће добро опремљени криминалац моћи да уграби ваше верификационе поруке и користи их пре него што их уопште видите њих."

Наравно, откривањем да је цибер-злочинац хаковао је ваш Фацебоок Како сазнати да ли је хакиран ваш Фацебоок налогКако Фацебоок садржи толико података, морате да чувате свој рачун. Ево како да сазнате да ли је ваш Фацебоок хакован. Опширније рачун је далеко од идеалног. Али ситуација је застрашујућа када размислите о другим употребама 2ФА. Сајбер-злочинац могао би украсти кодове које користите у вашем банкарству на мрежи, или чак иницирајте и довршите новчане трансфере 6 најбољих апликација за слање новца пријатељимаСледећи пут када будете требали да пошаљете новац пријатељима, погледајте ове сјајне мобилне апликације да бисте за неколико минута некоме послали новац. Опширније .

Поред тога, Сцхнеиер такође тврди да свако може да купи приступ СС7 мрежи за око 1.000 долара. Једном када имају приступ, могу послати захтев за усмеравање. Да би довршио проблем, мрежа можда неће потврдити извор захтева.

Имајте на уму да је коришћење двофакторске аутентификације путем СМС-а боље него остављање 2ФА онемогућено. И вероватно је да нећете постати жртва. Међутим, ако се почнете осећати помало забринуто, мораћете да наставите да читате. Многи људи прихватају да је СМС несигуран и уместо тога се окрећу трећим апликацијама.

Али то можда није много боље.

Зашто бисте требали избјегавати 2ФА апликације

Други уобичајени начин употребе 2ФА кодова јесте инсталирање наменске апликације за паметне телефоне. Има пуно избора. Гоогле Аутентификатор је вјероватно најпрепознатљивији, али није нужно и најбољи. Постоји пуно алтернатива вани - погледајте Аутхи, Аутхентицатор Плус и Дуо.

Али колико су сигурне специјалне апликације 2ФА? Њихова највећа слабост је ослањање на тајни кључ.

Идемо корак на тренутак на тренутак У случају да нисте свесни, када се први пут пријавите за многе апликације, мораћете да унесете тајни кључ. Тајна се дели између вас и провајдера апликације.

Када приступите неком сајту, код који апликација креира заснован је на комбинацији вашег кључа и тренутног времена. У истом тренутку, сервер генерира код користећи исте информације. Два приступа морају се подударати како би им се приступ одобрио. Звучи разумно.

Па зашто су кључеви слаба тачка? Па, шта се дешава ако цибер-злочинац успе да добије приступ компанијској бази података о лозинкама и тајнама? Сваки би рачун био рањив - тхе нападач је могао да дође и оде Како да проверите да ли неко други приступа вашем Фацебоок налогуЗаслужно је и забрињавајуће ако неко има приступ вашем Фацебоок налогу без вашег знања. Ево како знати да ли сте били прекршени. Опширније по вољи.

Друго, тајна је приказана у обичном тексту или у облику КР кода; то не може бити уситњено или употребљено са соли Шта све ово МД5 издвајање хаљина заправо значи [објашњена технологија]Ево потпуног пада МД5, хеширање и мали преглед рачунара и криптографије. Опширније . То је вероватно и у обичном тексту на серверима компаније.

Тајни кључ је основна мана временске једнократне лозинке (ТОТП) коју користе специјалистичке апликације. Због тога је физички У2Ф тастер увек сигурнија опција.

Недостаци дизајна и сигурности за 2ФА апликације

Наравно, шансе да цибер-злочинац хакује потребне базе података треће апликације прилично је мали. Али ваша апликација може такође трпети основне недостатке у безбедности у свом дизајну.

Популарно лозинка менаџер ЛастПасс 8 једноставних начина за надопуну ваше ЛастПасс сигурностиМожда користите ЛастПасс за управљање бројним лозинкама на мрежи, али користите ли их добро? Ево осам корака које можете предузети како бисте учинили свој ЛастПасс налог још сигурнијим. Опширније пао у децембру 2017. године А објава блога програмера на локацији Медиум откривеним 2ФА тајним кључевима могло се приступити без отиска прста, лозинке или других безбедносних мера.

Решавање није било чак ни компликовано. Приступом активностима подешавања апликације ЛастПасс Аутхентицатор (цом.ластпасс.аутхентицатор.ацтивитиес). СеттингсАцтивити), могло би се ући у окно са подешавањима за апликацију без икаквих провера. Одатле бисте могли да притиснете Назад једном за приступ свим 2ФА кодовима.

ЛастПасс је сада исправио грешку, али питања остају. Према програмеру, седам месеци је покушао да каже ЛастПасс-у о том проблему, али компанија га никада није решила. Колико је других апликација 2ФА треће стране несигурно? И колико нефиксних рањивости програмери знају, али одгађају крпање? Постоје и забринутости када је у питању изгубивши приступ генератору кода на Фацебооку Како се пријавити на Фацебоок ако изгубите приступ Генератору кодаИзгубили сте приступ Фацебоок-овом генератору кода? Овај чланак покрива алтернативне методе пријављивања на свој Фацебоок налог. Опширније на пример.

Шта учинити уместо тога: користите У2Ф тастере

Уместо да се за своје кодове ослањате на СМС и 2ФА, користите Универзални тастери другог фактора Шта су У2Ф тастери и где се подржавају?У2Ф кључеви су један од најбољих начина да сачувате своје рачуне сигурним и сигурним. Али где су подржани У2Ф кључеви? Опширније (У2Ф). Они су најсигурнији начин генерисања кодова и приступ вашим услугама.

Нашироко сматрани другом генерацијом верзије 2ФА, она истовремено поједностављује и јача тренутни протокол. Уз то, употреба У2Ф тастера готово је погодна као и отварање СМС поруке или апликације треће стране.

У2Ф тастери користе или НФЦ или УСБ везу. Када први пут повежете свој уређај са налогом, он ће генерисати случајни број који се зове „Нонце“. Нонце се преклапа са називом домена сајта како би се створио јединствени код.

Након тога можете увести кључ У2Ф тако да га повежете са својим уређајем и чекате да га сервис препозна.

Па, шта је у супротном? Па иако је У2Ф отворени стандард, још увек кошта новац за куповину физичког У2Ф кључа. А што је још више везано за то, ризикујете од крађе.

Украдени У2Ф кључ аутоматски не чини ваш рачун несигурним; хакер ће и даље морати да зна вашу лозинку. Али на јавном месту, лопов вас је можда већ видео да уносите лозинку издалека, пре него што вам је украо иметак.

У2Ф тастери могу бити скупи

Цене се знатно разликују од произвођача, али можете очекивати да ћете платити између око 15 и 50 долара.

У идеалном случају желите да купите модел који је „ФИДО сертификован“. Савез ФИДО (Фаст ИДентити Онлине) одговоран је за постизање интероперабилности између технологија за потврду идентитета. Чланови укључују све компаније: Гоогле и Мицрософт, Банк оф Америца и МастерЦард.

Куповином ФИДО уређаја можете бити сигурни да ће У2Ф кључ радити са свим услугама које свакодневно користите. Погледајте кључ ДИГИПАСС СецуреЦлицк У2Ф ако желите да га купите.

Несигурна 2ФА је и даље боља него без 2ФА

Да сумирам, универзални тастери другог фактора пружају срећан медијум између једноставности и сигурности. СМС је најмање сигуран приступ, али такође и најповољнији.

И запамтите, било који 2ФА је бољи него ниједан 2ФА. Да, можда ће вам требати додатних 10 секунди да се пријавите у одређене апликације, али то је боље него жртвовати своју сигурност.