Sikkerhetsvakt: gjør tofaktorautentisering deg virkelig tryggere?

Denne uken graver jeg tilbake i den bunnløse postvesken for å takle et annet spørsmål om tofaktorautentisering (2FA). Det er et tema jeg har berørt før, men med utgangspunkt i volumet og spesifisiteten til spørsmålene jeg har fått om det, er det helt klart et spørsmål mange mennesker tenker på. Siden jeg ser på 2FA som, kanskje, den beste ting vanlige folk kan gjøre for å holde seg trygge på nettet, er jeg mer enn glad for å snakke uendelig om det.

Dagens spørsmål kommer fra Ted, som skrev på spørsmål om 2FA-systemer virkelig er alt de er opptatt av å være. Vær oppmerksom på at Teds brev er redigert for korthet. Ted begynner meldingen sin med å henvise til noen av de andre skriftene mine på 2FA.

Du skrev "Når du har registrert sikkerhetsnøkkelen din, vil SMS-passkoder være et alternativ for sikkerhetskopiering i tilfelle du mister eller ikke får tilgang til nøkkelen." Hvis dette er sant, hvorfor er denne enheten noe mer sikker enn en 2FA SMS-kode? Som du også skrev: "Men telefoner kan bli stjålet og SIM-jacking er tilsynelatende en ting vi trenger å bekymre oss for nå."

Hva er det som hindrer noen i å fortelle Google at det er du, har mistet sikkerhetsnøkkelen og trenger en SMS-kode sendt til din stjålne / jekkete telefon? Hvis jeg forstår dette riktig, er denne enheten ikke sikrere enn 2FA SMS-tekster. Det er mye mer praktisk, det er sikkert, men jeg kan ikke se hvordan det er sikrere.

Er resultatet av alt dette at sikkerhetsnøkkelen vil øke sikkerheten, men bare fordi det er mer sannsynlig at du bruker den, ikke fordi den iboende er sikrere enn 2FA? Hva mangler jeg?

Du savner ikke noe, Ted. Faktisk er du smart å ta opp et grunnleggende spørsmål som ligger til grunn for mye av sikkerheten rundt online-autentisering: hvordan kan du sikre deg hvem folk er sikkert, uten å gjøre det umulig for dem å gjenopprette kontoer?

Grunnleggende om 2FA

La oss dekke noen grunnleggende først. To-faktor autentisering, eller 2FA, er et sikkerhetskonsept der du må presentere to identitetsbevis, kalt faktorer, fra en liste over en mulig tre.

• Noe du vet , for eksempel et passord.

• Noe du har , for eksempel en telefon.

• Noe du er , for eksempel fingeravtrykket ditt.

Rent praktisk betyr 2FA ofte en annen ting du gjør når du har angitt passordet ditt for å logge deg på et nettsted eller en tjeneste. Passordet er den første faktoren, og den andre kan enten være en SMS-melding sendt til telefonen din med en spesiell kode, eller ved å bruke Apples FaceID på en iPhone. Tanken er at mens et passord kan gjettes eller stjålet, er det mindre sannsynlig at en angriper kan skaffe både passordet og den andre faktoren.

I brevet spør Ted spesifikt om maskinvare 2FA-nøkler. Yubicos YubiKey-serie er sannsynligvis det mest kjente alternativet, men det er langt fra det eneste alternativet. Google har egne Titan Security-nøkler, og Nitrokey tilbyr en åpen kildekode for bare å nevne to.

De praktiske fallgruvene

Ingen sikkerhetssystemer er perfekte, og 2FA er ikke annerledes. Guemmy Kim, produktstyringsleder for Googles kontosikkerhetsgruppe, påpekte med rette at mange av systemene vi er avhengige av for gjenoppretting av kontoer og 2FA er mottakelige for phishing. Det er her skurkene bruker falske nettsteder for å lure deg til å legge inn privat informasjon.

En smart angriper kan potensielt infisere telefonen din med en ekstern tilgang Trojan som lar dem se eller til og med fange SMS-bekreftelseskoder sendt til enheten din. Eller de kan lage en overbevisende phishing-side for å lure deg til å legge inn en engangskode generert fra en app som Google Authenticator. Til og med mitt alternativ til papirkopieringskoder kan bli avlyttet av et phishing-nettsted som lurte meg til å oppgi en kode.

Et av de mest eksotiske angrepene ville være SIM-jacking, der en angriper kloner SIM-kortet ditt eller lurer telefonselskapet ditt til å avregistrere SIM-kortet ditt for å avskjære SMS-meldingene dine. I dette scenariet kan angriperen veldig effektivt etterligne deg, siden de kan bruke telefonnummeret ditt som sitt eget.

Et ikke-så-eksotisk angrep er vanlig gammelt tap og tyveri. Hvis telefonen din eller en app på telefonen din er den viktigste autentisatoren, og du mister den, vil det være en hodepine. Det samme gjelder maskinvarenøkler. Selv om sikkerhetsnøkler for maskinvare, som Yubico YubiKey, er vanskelige å bryte, er de veldig enkle å miste.

Yubico Yubikey Series 5 kommer i mange forskjellige konfigurasjoner.

Problemet med kontogjenoppretting

Det Ted påpeker i brevet hans er at mange selskaper krever at du setter opp en andre 2FA-metode, i tillegg til en maskinvaresikkerhetsnøkkel. Google krever for eksempel at du bruker enten SMS, installerer selskapets Autentisering-app eller registrerer enheten din for å motta pushvarsler fra Google som bekrefter kontoen din. Det ser ut til at du trenger minst ett av disse tre alternativene som en sikkerhetskopi til et hvilket som helst annet 2FA-alternativ du bruker - for eksempel Titan-tastene fra Google.

Selv om du registrerer en andre sikkerhetsnøkkel som sikkerhetskopi, må du fremdeles aktivere SMS, Google Authenticator eller pushvarsler. Hvis du vil bruke Googles avanserte beskyttelsesprogram, er det nødvendig å registrere en ny nøkkel.

Tilsvarende krever Twitter også at du bruker enten SMS-koder eller en autentiseringsapp i tillegg til en valgfri maskinvaresikkerhetsnøkkel. Dessverre lar Twitter deg bare registrere en sikkerhetsnøkkel om gangen.

Som Ted påpekte, er disse alternative metodene teknisk mindre sikre enn å bruke en sikkerhetsnøkkel i seg selv. Jeg kan bare gjette meg til hvorfor disse systemene ble implementert på denne måten, men jeg mistenker at de vil sørge for at kundene alltid får tilgang til kontoene sine. SMS-koder og autentiseringsapper er tidstestede alternativer som er enkle for folk å forstå og ikke krever at de kjøper ekstra enheter. SMS-koder løser også problemet med tyveri av enheter. Hvis du mister telefonen eller den er stjålet, kan du fjernlåse den, avautorisere SIM-kortet og få en ny telefon som kan motta SMS-kodene for å komme seg tilbake på nettet.

Personlig liker jeg å ha flere alternativer, fordi mens jeg er bekymret for sikkerhet, kjenner jeg også meg selv, og vet at jeg mister eller ødelegger ting ganske regelmessig. Jeg vet at folk som aldri har brukt 2FA før, er veldig opptatt av å finne seg selv låst ute av kontoen sin hvis de bruker 2FA.

2FA er faktisk veldig bra

Det er alltid viktig å forstå ulempene ved ethvert sikkerhetssystem, men det ugyldiggjør ikke systemet. Mens 2FA har sine svakheter, har den vært enormt vellykket.

Igjen, vi må bare se til Google. Selskapet krevde bruk av hardwareFAFA-nøkler internt, og resultatene taler for seg selv. Vellykkede kontoovertagelser av Google-ansatte forsvant effektivt. Dette er spesielt viktig med tanke på at Google-ansatte, med sin posisjon innen teknologibransjen og (antatt) formue, er fremtredende for målrettede angrep. Det er her angripere bruker stor innsats for å målrette spesifikke individer i et angrep. Det er sjelden, og vanligvis vellykket hvis angriperen har tilstrekkelige midler og tålmodighet.

Google Titan Security Key Bundle inkluderer USB-A og Bluetooth-nøkler.

Advarsel her er at Google krevde en spesifikk type 2FA: maskinvaresikkerhetsnøkler. Disse har fordelen fremfor andre 2FA-ordninger som svært vanskelige å phish eller på annen måte fange opp. Noen vil kanskje si umulig, men jeg så hva som skjedde med Titanic og vet bedre.

Fremdeles er metodene for å avskjære 2FA SMS-koder, eller autentiseringsmerken ganske eksotiske og skaleres ikke veldig bra. Det betyr at de neppe vil bli brukt av den gjennomsnittlige kriminelle, som ønsker å tjene penger så raskt og enkelt som mulig, på den gjennomsnittlige personen, som deg.

Til Teds poeng: maskinvaresikkerhetsnøkler er den sikreste måten vi ennå har sett for å gjøre 2FA. De er veldig vanskelige å phish og veldig vanskelige å angripe, selv om de ikke er uten deres iboende svakheter. Dessuten er 2FA maskinvarenøkler fremtidssikret til en viss grad. Mange selskaper beveger seg bort fra SMS-koder, og noen har til og med omfavnet passordløse pålogginger som er helt avhengige av maskinvare 2FA-nøkler som bruker FIDO2-standarden. Hvis du bruker en maskinvarenøkkel nå, er det en god sjanse for at du vil være sikker i årene som kommer.

Nitrokey FIDO U2F lover åpen kildesikkerhet.

• To-faktor autentisering: Hvem har det og hvordan konfigurerer det to-faktor autentisering: Hvem har det og hvordan konfigurerer det
• Google: Phishing-angrep som kan slå to-faktor er på vei opp Google: Phishing-angrep som kan slå to-faktor er på vei opp
• SecurityWatch: Hvordan ikke bli låst ut med to-faktor autentisering SecurityWatch: Hvordan ikke bli låst med to-faktor autentisering

Så sikre som 2FA-nøkler er, krever det større økosystemet noen kompromisser for å forhindre at du unødvendig låser deg fra kontoen din. 2FA må være en teknologi som folk faktisk bruker, ellers er det ikke verdt noe som helst.

Gitt valget, tror jeg de fleste vil bruke app- og SMS-baserte 2FA-alternativer siden de er enklere å sette opp og effektivt gratis. Dette er kanskje ikke de best mulige alternativene, men de fungerer veldig bra for de fleste. Det kan imidlertid endre seg snart, nå som Google lar deg bruke en mobil enhet som kjører Android 7.0 eller nyere som en maskinvaresikkerhetsnøkkel.

Til tross for begrensningene, er 2FA trolig den beste for taushet for forbrukere siden antivirus. Det forhindrer pent og effektivt noen av de mest ødeleggende angrepene, alt uten å tilføre folks liv for mye kompleksitet. Men du bestemmer deg for å bruke 2FA, velg en metode som gir mening for deg. Å ikke bruke 2FA er langt mer skadelig enn å bruke en litt mindre god 2FA-smak.