Startseite Bezpečnostní Je čas přestat používat SMS a 2FA aplikace pro dvoufaktorové ověření

Je čas přestat používat SMS a 2FA aplikace pro dvoufaktorové ověření

  • Owen Little
  • 0
  • 3507
  • 702
reklama

V dnešní době se zdá, že se každý web, který jste kdy navštívili, snaží vyzvat k použití dvoufaktorové autentizace (2FA).

Jedním z nejčastějších způsobů použití 2FA je zadání jedinečného kódu z vašeho mobilního zařízení. Obvykle obdržíte kód v textové zprávě nebo k vygenerování kódu použijete aplikaci 2FA od jiného výrobce.

Obě metody jsou díky své výhodě oběma způsoby použití kódů. Obě metody jsou však z bezpečnostního hlediska také slabé. A protože váš kód 2FA je pouze tak bezpečný jako technologie použitá k jeho dodání, jsou jeho slabiny důležité.

Co se tedy děje s používáním SMS a aplikací třetích stran pro přístup k vašim kódům Co jsou přihlášení bez hesla? Jsou skutečně bezpečné? Co jsou přihlášení bez hesla? Jsou skutečně bezpečné? Přihlášení bez hesla se blíží. Jsou bezpečné? Jak na zemi fungují přihlášení bez hesla? Zde je to, co potřebujete vědět. ? A existuje ještě výhodnější alternativa, která je bezpečnější? Vše vysvětlíme. Pokračujte ve čtení a zjistěte více.

Jak funguje dvoufaktorové ověřování

Udělejme si chvíli diskutovat o tom, jak funguje dvoufaktorové ověřování. Bez pochopení mechaniky za technologií, zbytek tohoto článku nebude mít velký smysl.

Obecně lze říci, že 2FA přidává do vašeho účtu další vrstvu zabezpečení. Jak zabezpečit své účty pomocí 2FA: Gmail, Outlook a další Jak zabezpečit své účty pomocí 2FA: Gmail, Outlook a další Lze zabezpečit dvoufaktorovou autentizaci váš e-mail a sociální sítě? Zde je to, co potřebujete vědět, abyste se mohli zabezpečit online. . Přihlašovací údaje, známé také jako vícefaktorová autentizace, sestávají nejen z hesla, ale také z druhé informace, ke které má přístup pouze legitimní vlastník účtu..

2FA přichází v mnoha různých formách Výhody a nevýhody dvoufaktorových typů a metod autentizace Výhody a nevýhody dvoufaktorových typů a metod autentizace Dvoufaktorové metody autentizace nejsou vytvářeny rovnocenně. Některé jsou prokazatelně bezpečnější a bezpečnější. Zde je přehled nejběžnějších metod, které nejlépe vyhovují vašim individuálním potřebám. . Na své nejzákladnější úrovni by to mohlo být něco tak jednoduchého jako bezpečnostní otázky (protože nikdo jiný nemohl znát své rodné jméno své matky Proč odpovídáte na bezpečnostní otázky špatně Proč špatně odpovídáte na bezpečnostní otázky špatně Jak odpovídáte online otázky týkající se zabezpečení účtu? Čestné odpovědi? Bohužel, vaše upřímnost by mohla ve vašem online brnění způsobit škubnutí. Pojďme se podívat, jak bezpečně odpovídat na bezpečnostní otázky nebo svého oblíbeného domácího mazlíčka). Na komplikovanějším konci by to mohlo být biometrické ID, jako je skenování sítnice nebo otisk prstu.

Proč byste se měli vyhnout ověřování SMS

SMS má pozici nejpřístupnějšího způsobu přístupu a používání kódů 2FA. Pokud web nabízí přihlašování pomocí dvou faktorů, téměř určitě nabízí jako jednu z možností SMS.

SMS však není bezpečný způsob, jak používat 2FA. Má dvě hlavní chyby.

Za prvé, technologie je náchylné k útokům na SIM kartu. Hackerovi není třeba provést výměnu SIM karty moc. Pokud mají přístup k jednomu jinému osobnímu datu - jako je vaše číslo sociálního zabezpečení - mohou zavolat operátorovi a přesunout vaše číslo na novou SIM kartu.

Za druhé, hackeři mohou zachytit SMS zprávy. Všechno se vrací k nyní datovému signalizačnímu systému číslo 7 (SS7) pro směrování telefonů. Metodika byla navržena již v roce 1975, ale stále se používá téměř celosvětově pro spojení a odpojování hovorů. Zabývá se také překlady čísel, předplacenou fakturací a zásadně SMS zprávami.

Není překvapením, že tato technologie z roku 1975 je plná bezpečnostních děr. Zde je popis, jak bezpečnostní odborník Bruce Schneier popsal nedostatky:

“Pokud mají útočníci přístup k portálu SS7, mohou předat vaše konverzace online záznamovému zařízení a přesměrovat hovor na zamýšlené místo určení […] Znamená to, že dobře vybavený zločince by mohl vzít vaše ověřovací zprávy a použít je dříve, než dokonce je viděl.”

Zjistíte-li, že kybernetický zločinec prolomil váš Facebook Jak zjistit, jestli váš účet Facebook byl hacknut Jak zjistit, jestli váš účet Facebook byl napaden S Facebookem, který obsahuje tolik dat, musíte svůj účet udržet v bezpečí. Zde je návod, jak zjistit, zda byl váš Facebook hacknut. účet zdaleka není ideální. Situace je však děsivější, když uvažujete o dalším využití 2FA. Kybernetický zločinec mohl ukrást kódy, které používáte ve svém online bankovnictví, nebo dokonce iniciovat a dokončit převody peněz. 6 nejlepších aplikací pro odesílání peněz přátelům 6 nejlepších aplikací pro odesílání peněz přátelům Příště musíte poslat peníze přátelům, zkontrolujte z těchto skvělých mobilních aplikací a posílat peníze komukoli během několika minut. .

Schneier dále tvrdí, že kdokoli si může zakoupit přístup do sítě SS7 za zhruba 1 000 USD. Jakmile mají přístup, mohou odeslat požadavek na směrování. K dokončení problému síť pravděpodobně neověřuje zdroj požadavku.

Pamatujte, že použití dvoufaktorové autentizace pomocí SMS je lepší, než nechat 2FA deaktivovanou. A pravděpodobně není pravděpodobné, že se stanete obětí. Pokud se však začínáte cítit trochu znepokojeně, musíte si přečíst. Mnoho lidí připouští, že SMS je nejistá, a místo toho se obracejí na aplikace třetích stran.

Ale to nemusí být mnohem lepší.

Proč byste se měli vyvarovat aplikací 2FA

Dalším běžným způsobem použití kódů 2FA je instalace vyhrazené aplikace pro chytré telefony. Existuje mnoho z čeho vybírat. Google Authenticator je patrně nejznámější, ale není to nutně nejlepší. Existuje spousta alternativ, podívejte se na Authy, Authenticator Plus a Duo.

Jak bezpečné jsou však speciální aplikace 2FA? Jejich největší slabinou je jejich spoléhat se na tajný klíč.

Vraťme se na chvilku zpět. V případě, že si nejste vědomi, při prvním přihlášení do mnoha aplikací budete muset zadat tajný klíč. Tajemství je sdíleno mezi vámi a poskytovatelem aplikace.

Při přístupu na web je kód, který aplikace vytvoří, založen na kombinaci klíče a aktuálního času. Ve stejnou chvíli server generuje kód využívající stejné informace. Aby bylo možné udělit přístup, musí se oba kódy shodovat. Zní to rozumně.

Tak proč jsou klíče slabou stránkou? Co se stane, když se kybernetickému zločinu podaří získat přístup k databázi hesel a tajemství společnosti? Každý účet by byl zranitelný - útočník by mohl přijít a odejít Jak zkontrolovat, zda někdo jiný přistupuje k vašemu účtu Facebook Jak zkontrolovat, zda někdo jiný přistupuje k vašemu účtu Facebook Je to jak zlověstné, tak znepokojivé, pokud má někdo přístup k vašemu účtu Facebook bez vašeho účtu znalost. Zde je návod, jak zjistit, zda vás někdo porušil. na přání.

Za druhé, tajemství je buď zobrazeno v prostém textu nebo jako QR kód; to nemůže být hashováno nebo použito se solí Co všechno toto MD5 hash látka ve skutečnosti znamená [technologie vysvětleno] Co všechno to MD5 hašování látka ve skutečnosti znamená [technologie vysvětleno] Zde je plný výčet MD5, hashování a malý přehled počítačů a kryptografie. . Pravděpodobně je také ve formě prostého textu na serverech společnosti.

Tajný klíč je základní chyba v časově založeném jednorázovém hesle (TOTP), které používají speciální aplikace. Proto je fyzický klíč U2F vždy bezpečnější možností.

Nedostatky v designu a bezpečnosti pro 2FA aplikace

Šance, že počítačový kriminálník hackne potřebné databáze aplikace třetí strany, jsou samozřejmě poměrně malé. Vaše aplikace však může ve svém návrhu také trpět základními bezpečnostními nedostatky.

Populární správce hesel LastPass 8 Snadné způsoby, jak doplnit zabezpečení LastPass 8 Snadné způsoby, jak doplnit zabezpečení LastPass Možná budete používat LastPass ke správě svých mnoha online hesel, ale používáte to správně? Zde je osm kroků, které můžete učinit, aby byl váš účet LastPass ještě bezpečnější. se stal obětí v prosinci 2017. Programový blogový příspěvek na médiu odhalil tajné klíče 2FA, ke kterým lze přistupovat bez otisku prstu, hesla nebo jiných bezpečnostních opatření.

Řešení nebylo ani komplikované. Otevřením nastavení aktivity aplikace LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity) bylo možné vstoupit do podokna nastavení aplikace bez jakýchkoli kontrol. Odtud můžete stisknout Zadní jednou získáte přístup ke všem kódům 2FA.

LastPass nyní opravil chybu, ale otázky zůstávají. Podle programátora se pokusil vyprávět LastPass o problému po dobu sedmi měsíců, ale společnost to nikdy neopravila. Kolik dalších aplikací třetích stran 2FA je nezabezpečených? A kolik neopravených zranitelností vědí vývojáři, ale oprava zpoždění? Existují také obavy, pokud jde o ztrátu přístupu k vašemu generátoru kódu na Facebooku Jak se přihlásit na Facebook, pokud ztratíte přístup k generátoru kódu Jak se přihlásit do Facebooku, pokud ztratíte přístup k generátoru kódu Ztratil jste přístup k generátoru kódu na Facebooku? Tento článek popisuje alternativní způsoby přihlášení k vašemu účtu Facebook. například.

Co místo toho dělat: Použijte klíče U2F

Namísto spoléhání se na SMS a 2FA pro své kódy byste měli používat univerzální klíče 2. faktoru. Co jsou klíče U2F a kde jsou podporovány? Co jsou klíče U2F a kde jsou podporovány? Klíče U2F jsou jedním z nejlepších způsobů, jak udržet své účty v bezpečí. Ale kde jsou podporovány klíče U2F? (U2F). Jsou nejbezpečnějším způsobem generování kódů a přístupu k vašim službám.

Široce považován za druhou generaci verze 2FA, jak zjednodušuje a posiluje současný protokol. Použití klíčů U2F je navíc téměř stejně pohodlné jako otevírání zpráv SMS nebo aplikací třetích stran.

Klíče U2F používají připojení NFC nebo USB. Když připojíte zařízení k účtu poprvé, vygeneruje náhodné číslo zvané a “Nonce.” Nonce je hashed s názvem domény webu vytvořit jedinečný kód.

Poté můžete svůj klíč U2F nasadit jeho připojením k zařízení a čekáním, až ho služba rozpozná.

Co je tedy nevýhodou? I když je U2F otevřený standard, stále stojí peníze za nákup fyzického klíče U2F. A možná i více, pokud jde o krádež.

Ukradený klíč U2F automaticky nezabezpečí váš účet; hacker by stále potřeboval znát vaše heslo. Ale ve veřejném prostoru mohl zloděj už viděl, jak jste zadali své heslo z dálky, než ukradl váš majetek.

Klíče U2F mohou být drahé

Ceny se mezi výrobci značně liší, ale můžete očekávat, že zaplatíte mezi přibližně 15 a 50 USD.

V ideálním případě chcete koupit model, který je “FIDO certifikováno.” Aliance FIDO (Fast IDentity Online) je zodpovědná za dosažení interoperability mezi autentizačními technologiemi. Mezi členy patří všichni od společností Google a Microsoft, Bank of America a MasterCard.

Zakoupením zařízení FIDO si můžete být jisti, že klíč U2F bude fungovat se všemi službami, které používáte každý den. Podívejte se na klíč DIGIPASS SecureClick U2F, pokud si jej chcete koupit.

Nejistá 2FA je stále lepší než 2FA

Abych to shrnul, klíče Universal 2nd Factor poskytují šťastné médium mezi snadností použití a bezpečností. SMS je nejméně bezpečný přístup, ale také nejpohodlnější.

A nezapomeňte, že každá 2FA je lepší než žádná 2FA. Ano, přihlášení k určitým aplikacím může trvat dalších 10 sekund, ale je to lepší než obětovat vaši bezpečnost.




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

Co je Upscaling? Jak to funguje? Stojí to za to?
Vysvětlená technologie
Jak posílit metody Wi-Fi signálu 6
Vysvětlená technologie
Nejlepší baterie 18650 a jak se vyhnout nákupu padělků
Vysvětlená technologie
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.