Вот почему люди говорят, что двухфакторная аутентификация не идеальна
Когда двухфакторная аутентификация была впервые введена, она произвела революцию в области безопасности устройств и помогла значительно затруднить кражу личных данных — за счет незначительных неудобств, добавленных к входу в систему.
Но он не идеален и не решил всех наших проблем со взломом и кражей данных. Некоторые недавние новости предоставили больше информации о том, как хакеры обходят двухфакторную аутентификацию и подрывают наше доверие к ней.
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация добавляет дополнительный уровень безопасности в процесс входа в систему для устройств и служб. Раньше для входа в систему использовался один фактор аутентификации — как правило, пароль или биометрический логин, такой как сканирование отпечатков пальцев или Face ID, иногда с добавлением контрольных вопросов. Это обеспечивало некоторую безопасность, но было далеко не идеально, особенно со слабыми паролями или автозаполнением паролей (или если базы данных для входа были взломаны, и эта информация начала появляться в темной сети).
Двухфакторная аутентификация решает эти проблемы, добавляя второй фактор — еще одну вещь, которую человек должен сделать, чтобы гарантировать, что это действительно он и что у него есть права доступа. Как правило, это означает отправку кода по другому каналу, например, получение текстового сообщения или электронной почты от службы, которую затем необходимо ввести.
Некоторые используют чувствительные ко времени коды (TOTP, одноразовый пароль на основе времени), а некоторые используют уникальные коды, связанные с конкретным устройством (HOTP, одноразовый пароль на основе HMAC). Некоторые коммерческие версии могут даже использовать дополнительные физические ключи, которые вам необходимо иметь под рукой.
Функция безопасности стала настолько распространенной, что вы, вероятно, привыкли видеть сообщения вроде «Мы отправили вам электронное письмо с безопасным кодом для входа, проверьте спам-фильтр, если вы его не получили». Это наиболее распространено для новых устройств, и, хотя это занимает немного времени, это огромный скачок в безопасности по сравнению с однофакторными методами. Но есть некоторые недостатки.
Это звучит довольно безопасно. В чем проблема?
Недавно компания Sophos, занимающаяся кибербезопасностью, опубликовала отчет, в котором подробно описан удивительный новый способ, с помощью которого хакеры пропускают двухфакторную аутентификацию : файлы cookie. Злоумышленники «воровали файлы cookie», что дает им доступ практически к любому браузеру, веб-службе, учетной записи электронной почты или даже файлу.
Как эти киберпреступники получают эти файлы cookie? Что ж, Sophos отмечает, что ботнет Emotet является одним из таких вредоносных программ, похищающих файлы cookie и нацеленных на данные в браузерах Google Chrome. Люди также могут покупать украденные файлы cookie на подпольных торговых площадках, которые прославились недавним случаем с EA, когда данные для входа оказались на торговой площадке под названием Genesis. Результатом стало 780 гигабайт украденных данных, которые использовались для вымогательства у компании.
Хотя это громкий случай, лежащий в его основе метод существует, и он показывает, что двухфакторная аутентификация далека от серебряной пули. Помимо кражи файлов cookie, существует ряд других проблем, выявленных за эти годы:
- Если хакер завладел вашим именем пользователя или паролем для службы , он может получить доступ к вашей электронной почте (особенно если вы используете тот же пароль) или номеру телефона. Это особенно проблематично для двухфакторной аутентификации на основе SMS/текста, потому что телефонные номера легко найти и их можно использовать для копирования вашего телефона (помимо других трюков) и получения текстового кода. Это требует больше работы, но целеустремленный хакер все еще имеет ясный путь вперед.
- Отдельные приложения для двухфакторной аутентификации, такие как Google Auth или Duo, гораздо более безопасны, но уровень их внедрения очень низок. Люди, как правило, не хотят загружать другое приложение только в целях безопасности для одной службы, а организациям гораздо проще просто спросить «Электронная почта или текст?» вместо того, чтобы требовать от клиентов загрузки стороннего приложения. Другими словами, лучшие типы двухфакторной аутентификации на самом деле не используются.
- Иногда пароли слишком легко сбросить. Похитители личных данных могут собрать достаточно информации об учетной записи, чтобы позвонить в службу поддержки или найти другие способы запросить новый пароль. Это часто позволяет обойти любую двухфакторную аутентификацию и, когда она работает, позволяет ворам получить прямой доступ к учетной записи.
- Более слабые формы двухфакторной аутентификации обеспечивают слабую защиту от национальных государств. У правительств есть инструменты, которые могут легко противодействовать двухфакторной аутентификации, включая мониторинг SMS-сообщений, принуждение операторов беспроводной связи или перехват кодов аутентификации другими способами. Это плохая новость для тех, кто хочет защитить свои данные от более тоталитарных режимов.
- Многие схемы кражи данных полностью обходят двухфакторную аутентификацию, вместо этого сосредотачиваясь на обмане людей. Просто взгляните на все попытки фишинга, которые выдают себя за банки , государственные учреждения, интернет-провайдеров и т. д., запрашивая важную информацию об учетной записи. Эти фишинговые сообщения могут выглядеть очень реальными и могут содержать что-то вроде: «Нам нужен ваш код аутентификации с нашей стороны, чтобы мы также могли подтвердить, что вы являетесь владельцем учетной записи», или другие уловки для получения кодов.
Должен ли я продолжать использовать двухфакторную аутентификацию?
Абсолютно. Фактически, вы должны просмотреть свои службы и устройства и включить двухфакторную аутентификацию там, где она доступна. Он предлагает значительно лучшую защиту от таких проблем, как кража личных данных, чем простое имя пользователя и пароль.
Даже двухфакторная аутентификация на основе SMS намного лучше, чем никакой. Фактически, Национальный институт стандартов и технологий однажды рекомендовал не использовать SMS в двухфакторной аутентификации, но затем в следующем году отменил ее, потому что, несмотря на недостатки, она все же стоила того.
Если возможно, выберите метод проверки подлинности, не связанный с текстовыми сообщениями, и вы получите лучшую форму безопасности. Кроме того, держите свои пароли надежными и используйте менеджер паролей для их создания для входа в систему, если можете.
Как можно улучшить двухфакторную аутентификацию?
Отказ от аутентификации на основе SMS — большой текущий проект. Вполне возможно, что двухфакторная аутентификация перейдет к нескольким сторонним приложениям, таким как Duo , которые устранят многие недостатки, связанные с этим процессом. И больше полей с высоким риском переместится в MFA или многофакторную аутентификацию, которая добавляет третье требование, такое как отпечаток пальца или дополнительные контрольные вопросы.
Но лучший способ устранить проблемы с двухфакторной аутентификацией — это ввести физический, аппаратный аспект. Компании и государственные учреждения уже начинают требовать этого для определенных уровней доступа. В ближайшем будущем есть большая вероятность того, что у всех нас в кошельках будут кастомизированные карты аутентификации, готовые к использованию на наших устройствах при входе в сервисы. Сейчас это может показаться странным, но с резким ростом кибератак это может оказаться самым элегантным решением.