Det är dags att sluta använda SMS och 2FA Apps för tvåfaktorautentisering
Dessa dagar verkar det som varje webbplats du någonsin besöker försöker uppmuntra dig att använda tvåfaktorautentisering (2FA).
Ett av de vanligaste sätten att använda 2FA är att ange en unik kod från din mobila enhet. Vanligtvis får du koden i ett textmeddelande eller du använder en tredjeparts 2FA-app för att generera en.
De två metoderna är båda populära sätt att använda koder på grund av deras bekvämlighet. Båda metoderna är emellertid också svaga ur säkerhetssynpunkt. Och eftersom din 2FA-kod bara är lika säker som tekniken som används för att leverera den, är svagheterna viktiga.
Så, vad är det för fel med att använda SMS och tredjepartsprogram för att komma åt dina koder? Och är det ett lika bekvämt alternativ som är säkrare? Vi ska förklara allt. Fortsätt läsa för att få reda på mer.
Hur tvåfaktorautentisering fungerar
Låt oss ta en stund för att diskutera hur tvåfaktorsautentisering fungerar. Utan att förstå mekaniken bakom tekniken kommer resten av denna artikel inte att ge mycket mening.
I stort sett lägger 2FA ett extra säkerhetslager till ditt konto. Känd som multi-factor-autentisering består inte inloggningsuppgifterna inte bara av ett lösenord, men också av en andra information, som endast kontoens legitima ägare har tillgång till.
2FA finns i många olika former Fördelar och nackdelar med tvåfaktorautentiseringstyper och metoder Fördelarna med och nackdelarna med tvåfaktorautentiseringstyper och metoder Tvåfaktorsautentiseringsmetoder skapas inte lika. Vissa är bevisligen säkrare och säkrare. Här är en koll på de vanligaste metoderna och vilka som bäst tillgodoser dina individuella behov. Läs mer . På sin mest grundläggande nivå kan det vara något så enkelt som säkerhetsfrågor (för att ingen annars kan få veta din mors kvinnliga namn Varför du svarar på lösenordsäkerhetsfrågor Felaktigt varför du svarar Lösenordsäkerhetsfrågor Fel Hur svarar du online svar på kontotsäkerhet? Ärliga svar? Tyvärr kan din ärlighet skapa en chunk i din onlinepansar. Låt oss ta en titt på hur du säkert kan svara på säkerhetsfrågor. Läs mer eller ditt favoritdjur). Vid den mer komplicerade änden kan det vara ett biometriskt ID, såsom en näthinnarsökning eller ett fingeravtryck.
Varför bör du undvika SMS-verifiering
SMS har en position som det mest tillgängliga sättet att komma åt och använda 2FA-koder. Om en webbplats erbjuder tvåfaktors autentiseringsinloggningar erbjuder det nästan säkert SMS som ett av alternativen.
Men SMS är inte ett säkert sätt att använda 2FA. Det har två viktiga sårbarheter.
För det första är tekniken mottagliga för SIM-swap-attacker. Det tar inte mycket för en hacker att utföra ett SIM-swap. Om de har tillgång till en annan personlig information - som ditt personnummer - kan de ringa din operatör och flytta ditt nummer till ett nytt SIM-kort.
För det andra kan hackare avlyssna SMS-meddelanden. Allt kommer tillbaka till det nu daterade Signal System System nr 7 (SS7) telefonruteringssystemet. Metoden utformades tillbaka 1975 men används fortfarande nästan globalt för att koppla och koppla samtal. Det hanterar också nummeröversättningar, förbetalda fakturor och väldigt sms-meddelanden.
Otroligt nog är denna teknik från 1975 full av säkerhetshål. Så här beskriver säkerhetsexpert Bruce Schneier bristerna:
“Om angriparna har tillgång till en SS7-portal kan de vidarebefordra dina konversationer till en online inspelningsenhet och omdirigera samtalet till den avsedda destinationen [...] Det betyder att en välutrustad brottsling kunde få tag i dina verifieringsmeddelanden och använda dem innan du har även sett dem.”
Självklart upptäcker du att en cyberkriminell har hackat din Facebook Så här hittar du ut om ditt Facebook-konto har hackats Hur hittar du ut om ditt Facebook-konto har blivit hackat Med tanke på hur mycket data vi har lagt till våra profiler är det viktigare än någonsin för att se till att du stannar på Facebook: s integritetsinställningar. Läs mer konto är långt ifrån idealiskt. Men situationen är skrämmare när du överväger andra användningarna av 2FA. En cyberkriminell kan stjäla koder du använder i ditt webbbank eller till och med initiera och slutföra pengaröverföringar 6 Apps som hjälper dig att överföra pengar mellan vänner 6 Apps som hjälper dig att överföra pengar mellan vänner Ibland behöver du skicka pengar till vänner snabbt och säkert . Här är sex av de bästa alternativen. Läs mer .
Dessutom hävdar Schneier att vem som helst kan köpa tillgång till SS7-nätverket för cirka $ 1000. När de har tillgång kan de skicka en routningsförfrågan. För att klara problemet kan nätverket inte verifiera källan till begäran.
Kom ihåg att använda tvåfaktorsautentisering via SMS är bättre än att lämna 2FA-inaktiverad. Och det är nog osannolikt att du kommer bli offer. Men om du börjar känna dig lite orolig, måste du fortsätta läsa. Många accepterar att SMS är osäkert och vänder sig till program från tredje part istället.
Men det kanske inte är mycket bättre.
Varför bör du undvika 2FA-appar
Den andra vanliga sätten att använda 2FA-koder är att installera en dedikerad smartphone-app. Det finns mycket att välja mellan. Google Authenticator är utan tvekan den mest igenkännliga, men det är inte nödvändigtvis det bästa. Det finns många alternativ där ute, kolla Authy, Authenticator Plus och Duo.
Men hur säker är specialiserade 2FA-appar? Deras största svaghet är deras lita på en hemlig nyckel.
Låt oss ta ett steg tillbaka för en sekund. Om du inte vet, när du registrerar dig för många av apparna för första gången måste du ange en hemlig nyckel. Hemligheten delas mellan dig och appens leverantör.
När du kommer åt en webbplats skapas den kod som appen skapar baserat på en kombination av din nyckel och den aktuella tiden. I samma ögonblick genererar servern en kod med samma information. De två koderna måste matcha för att åtkomst ska beviljas. Låter förnuftigt.
Så varför är nycklar den svaga punkten? Tja, vad händer om en cyberkriminell lyckas få tillgång till ett företags lösenord och hemligheter databas? Varje konto skulle vara sårbart - angriparen kunde komma och gå Hur man kontrollerar om någon annan har tillgång till ditt Facebook-konto Hur man kontrollerar om någon annan har tillgång till ditt Facebook-konto Det är både otrevligt och oroligt om någon har tillgång till ditt Facebook-konto utan din kunskap. Så här vet du om du har brutits. Läs mer på vilja.
För det andra visas hemligheten antingen i vanlig text eller som en QR-kod; Det kan inte vara hashed eller används med ett salt Vad Allt detta MD5 Hash-saker faktiskt betyder [Teknologi förklarade] Vad allt detta MD5 Hash-saker faktiskt betyder [Teknologi förklaras] Här är en full nedgång av MD5, hash och en liten översikt över datorer och kryptografi. Läs mer . Det är förmodligen också i ren text på företagets servrar.
Den hemliga nyckeln är den grundläggande felen i det tidsbaserade engångslösenordet (TOTP) som specialapps använder. Det är därför en fysisk U2F-nyckel alltid är ett säkrare alternativ.
Brister i design och säkerhet för 2FA Apps
Självklart är chanserna för en cyberkriminell hackning av en tredje parts apps nödvändiga databaser ganska små. Men din app kan också lida av grundläggande säkerhetsbrister i sin design.
Populär lösenordshanterare LastPass 8 enkla sätt att överbelasta din LastPass-säkerhet 8 enkla sätt att överbelasta din LastPass-säkerhet Du kanske använder LastPass för att hantera dina många online lösenord, men använder du det rätt? Här är åtta steg du kan ta för att göra ditt LastPass-konto ännu säkrare. Läs mer blev offer i december 2017. En programmörs bloggpost på medium avslöjade 2FA hemliga nycklar kunde nås utan fingeravtryck, lösenord eller andra säkerhetsåtgärder.
Lösningen var inte ens komplicerad. Genom att öppna LastPass Authenticator-appens inställningsaktivitet (com.lastpass.authenticator.activities.SettingsActivity) kan man komma in i inställningsfönstret för appen utan några kontroller. Därifrån kan du trycka på Tillbaka en gång för att få tillgång till alla 2FA-koderna.
LastPass har nu fixat felet, men frågor kvarstår. Enligt programmeraren hade han försökt berätta för LastPass om saken i sju månader, men företaget fixade aldrig det. Hur många andra tredjeparts 2FA-appar är osäkra? Och hur många oförändrade sårbarheter vet utvecklarna om men försenar patch? Det finns också oro när det gäller att förlora åtkomst till din kodgenerator på Facebook Hur man loggar in på Facebook om du förlorade åtkomst till kodgenerator Så loggar du in på Facebook om du tappade åtkomst till kodgenerator Vad händer om du inte kan logga in på Facebook på din nya dator eftersom du inte har tillgång till kodgenerator på din telefon? Läs mer till exempel.
Vad gör du istället: Använd U2F-nycklar
Istället för att förlita sig på SMS och 2FA för koderna, bör du använda Universal 2nd Factor-tangenterna. Vad är U2F-nycklar och var stöds de? Vad är U2F-nycklar och var stöds de? U2F-nycklar är ett av de bästa sätten att hålla dina konton säkra. Men var är U2F-nycklar stödda? Läs mer (U2F). De är det säkraste sättet att generera koder och få tillgång till dina tjänster.
Betraktas som en andra generationens version av 2FA, förenklar och förstärker det nuvarande protokollet. Dessutom är det med U2F-tangenterna nästan lika bekvämt att öppna ett SMS-meddelande eller en tredje part.
U2F-tangenterna använder antingen en NFC- eller USB-anslutning. När du ansluter enheten till ett konto för första gången genererar det ett slumpmässigt nummer som heter a “nonce.” Nonce är hashed med webbplatsens domännamn för att skapa en unik kod.
Därefter kan du distribuera din U2F-nyckel genom att ansluta den till enheten och vänta på att den ska känna igen den.
Så vad är nackdelen? Tja, även om U2F är en öppen standard kostar det fortfarande pengar för att köpa en fysisk U2F-nyckel. Och kanske mer om, du är i fara från stöld.
En stulen U2F-nyckel gör inte automatiskt ditt konto osäkert. en hacker skulle fortfarande behöva känna ditt lösenord. Men i ett offentligt område kan en tjuv redan ha sett dig skriva in ditt lösenord långt ifrån, innan du stjäl dina ägodelar.
U2F-nycklar kan vara dyr
Priserna varierar kraftigt mellan tillverkare, men du kan räkna med att betala mellan ca 15 och 50 dollar.
Helst vill du köpa en modell som är “FIDO-certifierad.” FIDO (Fast IDentity Online) Alliance ansvarar för att uppnå interoperabilitet mellan autentiseringstekniker. Medlemmarna inkluderar alla från Google och Microsoft, till Bank of America och MasterCard.
Genom att köpa en FIDO-enhet kan du vara säker på att du U2F-nyckel kommer att fungera med alla tjänster du använder varje dag. Kolla in DIGIPASS SecureClick U2F-tangenten om du vill köpa en.
Digipass SecureClick FIDO U2F Säkerhetsnyckel Digipass SecureClick FIDO U2F Säkerhetsnyckel Köp nu på Amazon
Osäker 2FA är fortfarande bättre än nr 2FA
Sammanfattningsvis ger Universal 2nd Factor-tangenterna ett glatt medium mellan användarvänlighet och säkerhet. SMS är det minst säkra tillvägagångssättet, men det är också det mest praktiska.
Och kom ihåg att någon 2FA är bättre än nr 2FA. Ja, det kan ta dig ytterligare 10 sekunder att logga in i vissa appar, men det är bättre än att offra din säkerhet.
Utforska mer om: Online-säkerhet, tvåfaktorautentisering.