Securitywatch: чи дійсно двофакторна автентифікація робить вас більш безпечними?

На цьому тижні я копаюсь назад у свою бездонну поштову сумку, щоб вирішити ще одне питання про двофакторну автентифікацію (2FA). Це тема, яку я зачіпав раніше, але, судячи з обсягу та специфіки запитань, які я отримав з цього приводу, це, очевидно, питання, про яке багато людей замислюються. Оскільки я розглядаю 2FA як, мабуть, єдине найкраще, що звичайні люди можуть зробити, щоб бути в безпеці в Інтернеті, я більш ніж радий нескінченно говорити про це.

Сьогоднішнє запитання походить від Теда, який написав, запитуючи про те, чи справді системи 2FA справді все, на чому вони зламані. Зверніть увагу, що лист Теда був відредагований для стислості. Тед починає своє повідомлення, посилаючись на деякі інші мої записи на 2FA.

Ви написали "Щойно ви зареєструєте ключ безпеки, SMS-коди стануть резервними копіями у випадку, якщо ви втратите або не можете отримати доступ до свого ключа". Якщо це правда, то чому цей пристрій безпечніший, ніж SMS-код 2FA? Як ви також писали, "Але телефони можуть бути викрадені, а SIM-роз'єднання - це, мабуть, питання, про яке зараз ми повинні турбуватися".

Що заважає комусь сказати Google, що це ви, втратили ключ безпеки і вам потрібен SMS-код, надісланий на ваш вкрадений / злому телефону? Якщо я правильно це розумію, цей пристрій є не більш безпечним, ніж тексти SMS 2FA. Це набагато зручніше, це точно, але я не бачу, наскільки це безпечніше.

Чи є підсумком всього цього те, що ключ безпеки підвищить вашу безпеку, але тільки тому, що ви швидше використовуєте його, а не тому, що він за своєю суттю більш безпечний, ніж 2FA? Що я пропускаю?

Ти нічого не пропускаєш, Тед. Насправді ви розумно підходити до принципового питання, що лежить в основі безлічі безпеки, пов’язаної з аутентифікацією в Інтернеті.

Основи 2FA

Розглянемо спочатку деякі основи. Двофакторна аутентифікація або 2FA - це концепція безпеки, де потрібно представити два докази ідентичності, що називаються чинниками, зі списку можливих трьох.

• Щось ви знаєте, наприклад пароль.

• Щось у вас є, наприклад, телефон.

• Щось ти є, наприклад твій відбиток пальців.

На практиці 2FA часто означає другу справу, яку ви робите після введення пароля для входу на сайт або службу. Пароль є першим фактором, а другим може бути або SMS-повідомлення, надіслане на ваш телефон із спеціальним кодом, або використання FaceID Apple від Apple на iPhone. Ідея полягає в тому, що, хоча пароль можна вгадати або вкрасти, менше шансів, що зловмисник може отримати і ваш пароль, і ваш другий фактор.

У своєму листі Тед запитує конкретно про апаратні ключі 2FA. Серія YubiKey від Yubico - це, мабуть, найвідоміший варіант, але далеко не єдиний варіант. У Google є свої ключі безпеки Titan, а Nitrokey пропонує ключ із відкритим кодом, щоб назвати лише два.

Практичні підводні камені

Жодна система безпеки не є ідеальною, і 2FA не відрізняється. Гіммі Кім, керівник управління продуктами для команди захисту облікових записів Google, справедливо зазначила, що багато систем, на які ми покладаємося для відновлення облікових записів, та 2FA піддаються фішингу. Тут недоброзичливці використовують підроблені сайти, щоб підманути вас на введення приватної інформації.

Розумний зловмисник може потенційно заразити ваш телефон трояном віддаленого доступу, який дозволить їм переглядати або навіть перехоплювати коди підтвердження SMS, надіслані на ваш пристрій. Або вони можуть створити переконливу фішинг-сторінку, щоб наштовхнути вас на введення одноразового коду, згенерованого з програми, наприклад Google Authenticator. Навіть мій варіант переходу на резервні копії паперових кодів міг перехопити фішинг-сайт, який змусив мене ввести код.

Однією з найекзотичніших атак буде розігрування SIM-карти, коли зловмисник клонує вашу SIM-карту або обманює вашу телефонну компанію скасувати реєстрацію вашої SIM-картки, щоб перехопити ваші SMS-повідомлення. У цьому випадку зловмисник може дуже ефективно себе представити, оскільки вони можуть використовувати ваш номер телефону як власний.

Не дуже екзотична атака - це звичайні старі втрати та крадіжки. Якщо ваш телефон або додаток на вашому телефоні є вашим основним автентифікатором, і ви його втрачаєте, це буде головним болем. Те саме стосується апаратних ключів. Хоча апаратні ключі безпеки, як Yubico YubiKey, важко зламати, їх дуже легко втратити.

Yubico Yubikey Series 5 поставляється у багатьох різних конфігураціях.

Проблема відновлення рахунку

Тед наголошує у своєму листі, що багато компаній вимагають від вас створити другий метод 2FA, окрім апаратного ключа безпеки. Наприклад, Google вимагає від вас використовувати SMS, встановити додаток Authenticator компанії або зареєструвати свій пристрій, щоб отримувати push-повідомлення від Google, які підтверджують ваш обліковий запис. Здається, вам потрібен принаймні один з цих трьох варіантів як резервне копіювання будь-якого іншого варіанту 2FA, який ви використовуєте - наприклад, ключі Titan від Google.

Навіть якщо ви реєструєте другий ключ безпеки в якості резервної копії, вам все одно потрібно активувати SMS, аутентифікатор Google або надсилати сповіщення. Зокрема, якщо ви хочете скористатися розширеною програмою захисту Google, потрібно записати другий ключ.

Так само Twitter також вимагає використання або SMS-кодів, або програми автентифікатора на додаток до додаткового ключа безпеки обладнання. На жаль, Twitter дозволяє лише одночасно записати один ключ безпеки.

Як вказував Тед, ці альтернативні методи технічно менш безпечні, ніж використання ключа безпеки самостійно. Я можу лише здогадуватися, чому ці системи були реалізовані таким чином, але я підозрюю, що вони хочуть переконатися, що їхні клієнти завжди можуть отримати доступ до своїх облікових записів. SMS-коди та програми автентифікатора - це перевірені часом варіанти, які люди легко зрозуміють і не вимагають від них придбання додаткових пристроїв. СМС-коди також вирішують проблему крадіжок пристрою. Якщо ви втратите телефон або його вкрали, ви можете віддалено заблокувати його, деавторизувати його SIM-карту та отримати новий телефон, який може отримувати SMS-коди, щоб повернутися в Інтернет.

Особисто мені подобається мати декілька варіантів, оскільки, хоча я переймаюся питаннями безпеки, я також знаю себе, і знаю, що втрачаю або ламаю речі досить регулярно. Я знаю, що люди, які раніше ніколи не використовували 2FA, дуже стурбовані тим, що опиняються заблокованими, якщо вони використовують 2FA.

2FA насправді дуже хороший

Завжди важливо розуміти недоліки будь-якої системи безпеки, але це не приводить до недійсності системи. Незважаючи на те, що 2FA має свої слабкі сторони, він був надзвичайно успішним.

Знову ж таки, нам залишається лише дивитися на Google. Компанія вимагала внутрішнього використання апаратних ключів 2FA, і результати самі собою говорять. Успішне залучення співробітників Google фактично зникло. Це особливо важливо, враховуючи, що працівники Google за своїм становищем у галузі індустрії та (імовірно) багатством є головними для націлених атак. Саме тут зловмисники витрачають великі зусилля, щоб націлити конкретних осіб у нападі. Це рідко і, як правило, успішно, якщо нападник має достатньо коштів та терпіння.

Комплект ключів безпеки Google Titan включає ключі USB-A та Bluetooth.

Тут заперечення полягає в тому, що Google вимагав конкретного типу 2FA: апаратні ключі безпеки. Вони мають перевагу перед іншими схемами 2FA, оскільки їх дуже важко піддавати фішингу або перехоплювати іншим чином. Дехто може сказати, що неможливо, але я побачив, що сталося з "Титаніком" і знаю краще.

Тим не менш, методи перехоплення 2FA SMS-кодів або аукціоністських маркерів досить екзотичні і не дуже масштабні. Це означає, що вони навряд чи будуть використані середньостатистичним злочинцем, який прагне заробити гроші якнайшвидше і простіше, на середній людині, як ви.

До Теда: апаратні ключі безпеки - це найбезпечніший спосіб, який ми ще бачили, як робити 2FA. Вони дуже важко піддаються фішингу та дуже важко атакувати, хоча вони не позбавлені притаманних їм слабких місць. Більше того, апаратні ключі 2FA до певної міри є надійними. Багато компаній відходять від SMS-кодів, а деякі навіть ввійшли в систему без паролів, які повністю покладаються на апаратні 2FA ключі, які використовують стандарт FIDO2. Якщо ви зараз використовуєте апаратний ключ, є хороший шанс, що ви будете захищені на довгі роки.

Nitrokey FIDO U2F обіцяє безпеку з відкритим кодом.

• Двофакторна автентифікація: хто має та як налаштувати двофакторну автентифікацію: хто має та як її встановити
• Google: фішинг-атаки, які можуть перемогти двофакторні, ростуть Google: Фішинг-атаки, які можуть перемогти двофакторні, ростуть
• SecurityWatch: як не заблокувати за допомогою двофакторної аутентифікації SecurityWatch: як не заблокувати за допомогою двофакторної аутентифікації

Настільки безпечні, наскільки апаратні ключі 2FA, більш широка екосистема вимагає певних компромісів, щоб уникнути зайвого заблокування вашого рахунку. 2FA має бути технологією, якою люди насправді користуються, інакше вона взагалі нічого не варта.

Зважаючи на вибір, я думаю, що більшість людей використовуватимуть додатки та SMS на основі 2FA-варіантів, оскільки їх простіше налаштувати та ефективно безкоштовно. Це можуть бути не найкращі можливі варіанти, але вони працюють дуже добре для більшості людей. Однак це може незабаром змінитися, коли Google дозволяє використовувати мобільний пристрій під керуванням Android 7.0 або новішої версії як апаратний ключ безпеки.

Незважаючи на свої обмеження, 2FA - це, мабуть, найкраща річ у сфері захисту прав споживачів після антивірусного характеру. Це акуратно і ефективно запобігає одній з найбільш руйнівних атак, і все це не додає занадто великої складності життю людей. Однак ви вирішили використовувати 2FA, виберіть метод, який має для вас сенс. Не використовувати 2FA набагато більше шкоди, ніж використовувати трохи менш чудовий аромат 2FA.