Casa Vigilant de seguretat Securitywatch: la autenticació de dos factors us fa més segurs?

Securitywatch: la autenticació de dos factors us fa més segurs?

Taula de continguts:

Vídeo: ¿ES ILEGAL TENER DOS POLIZAS DE AUTO? #NoTeArriesgues #DisfrutaTuVidaSinRiesgos (De novembre 2024)

Vídeo: ¿ES ILEGAL TENER DOS POLIZAS DE AUTO? #NoTeArriesgues #DisfrutaTuVidaSinRiesgos (De novembre 2024)
Anonim

Aquesta setmana, estic recorrent a la bossa de correu sense fons per tractar una altra pregunta sobre l’autenticació de dos factors (2FA). És un tema que he tractat abans, però a jutjar del volum i l’especificitat de les preguntes que he rebut al respecte, és clarament un tema que molta gent pensa. Des que considero el 2FA com, potser, el millor que pot fer la gent normal per mantenir-se en seguretat en línia, estic més que feliç de parlar sense fer-ho.

La pregunta d’avui prové de Ted, que va escriure preguntant-se sobre si els sistemes 2FA són realment tot el que estan trencats. Tingueu en compte que la carta de Ted ha estat editada amb caràcter breu. Ted comença el seu missatge fent referència a alguns dels meus altres escrits a 2FA.

Heu escrit "Un cop hàgiu registrat la vostra clau de seguretat, els codis de seguretat SMS seran una opció de còpia de seguretat en cas que perdeu o no pugueu accedir a la vostra clau". Si això és cert, doncs per què aquest dispositiu és més segur que un codi SMS 2FA? Com també vau escriure, "Però els telèfons es poden robar i, aparentment, és necessària una presa de dades SIM".
Què és per evitar que algú digui a Google que sou vosaltres, heu perdut la clau de seguretat i necessiteu un codi SMS enviat al vostre telèfon robat / carregat? Si ho entenc correctament, aquest dispositiu no és més segur que els textos SMS de 2FA. És molt més convenient, això és segur, però no veig com és més segur.
El resultat de tot això és que la clau de seguretat augmentarà la vostra seguretat, però només perquè és més probable que l'utilitzeu, no perquè sigui inherentment més segura que 2FA? Què em falta?

No et falta res, Ted. De fet, sou intel·ligent per afrontar un problema fonamental que fonamenta molt en la seguretat que envolta l’autenticació en línia: com es pot verificar de manera segura qui són les persones sense que sigui impossible que puguin recuperar els seus comptes?

Fonaments bàsics del 2FA

Abordem primer els bàsics. L’autenticació de dos factors, o 2FA, és un concepte de seguretat on cal presentar dues proves d’identitat, anomenades factors, d’una llista de tres possibles.

  • Alguna cosa que saps , com ara una contrasenya.
  • Alguna cosa que teniu , com ara un telèfon.
  • Alguna cosa és , com ara la seva empremta digital.

En termes pràctics, 2FA sovint significa una segona cosa que feu després d’introduir la vostra contrasenya per iniciar la sessió en un lloc o servei. La contrasenya és el primer factor, i el segon pot ser un missatge SMS enviat al telèfon amb un codi especial, o utilitzar FaceID d’Apple en un iPhone. La idea és que mentre es pot endevinar o robar una contrasenya, és menys probable que un atacant pogués obtenir la vostra contrasenya i el seu segon factor.

En la seva carta, Ted pregunta sobre les claus de 2FA de maquinari. La sèrie YubiKey de Yubico és probablement l’opció més coneguda, però està molt lluny de l’única opció. Google té les seves pròpies claus de seguretat de Titan i Nitrokey ofereix una clau de codi obert, per citar només dues.

Els Trampols Pràctics

Cap sistema de seguretat és perfecte i la 2FA no és diferent. Guemmy Kim, responsable de la gestió de productes de l’equip de seguretat de comptes de Google, va assenyalar amb encert que molts dels sistemes en què confiem per a la recuperació del compte i 2FA són susceptibles de phishing. Aquí és on els dolents fan servir llocs falsos per enganyar-vos a introduir informació privada.

Un atacant intel·ligent podria infectar el telèfon amb un trojan d'accés remot que els permetria visualitzar o fins i tot interceptar codis de verificació SMS enviats al dispositiu. O bé podrien crear una pàgina de phishing convincent per enganyar-vos a l’entrada d’un codi únic generat a partir d’una aplicació com Google Authenticator. Fins i tot la meva opció exclusiva de codis de còpia de seguretat de paper podria ser interceptada per un lloc de pesca no em va enganyar a l’hora d’introduir un codi.

Un dels atacs més exòtics seria la connexió SIM, on un atacant clona la targeta SIM o enganya a la vostra empresa de telefonia a deixar de banda la vostra targeta SIM per tal d’interceptar els seus missatges SMS. En aquest escenari, l’atacant podria afectar-te de manera eficaç, ja que podrien utilitzar el vostre número de telèfon com a propi.

Un atac no tan exòtic és la pèrdua i el robatori. Si el telèfon o una aplicació del telèfon són el vostre autenticador principal i el perdreu, això serà un mal de cap. El mateix passa amb les claus de maquinari. Tot i que les claus de seguretat del maquinari, com Yubico YubiKey, són difícils de trencar, són molt fàcils de perdre.

El Yubico Yubikey Series 5 ofereix moltes configuracions diferents.

El problema de la recuperació del compte

El que Ted assenyala a la seva carta és que moltes empreses requereixen que configureu un segon mètode 2FA, a més d’una clau de seguretat del maquinari. Google, per exemple, requereix que utilitzeu SMS, instal·leu l'aplicació Authenticator de l'empresa o que inscriviu el vostre dispositiu per rebre notificacions push de Google que verifiquin el vostre compte. Sembla que necessiteu almenys una d'aquestes tres opcions com a còpia de seguretat de qualsevol altra opció 2FA que utilitzeu, com ara les tecles Titan de Google.

Fins i tot si registreu una segona clau de seguretat com a còpia de seguretat, encara heu d’habilitar les notificacions SMS, Google Authenticator o push. Sobretot, si voleu utilitzar el programa de protecció avançada de Google, cal inscriure una segona clau.

De la mateixa manera, Twitter també requereix que utilitzeu codis SMS o una aplicació d'autenticació a més d'una clau de seguretat opcional de maquinari. Malauradament, Twitter només permet registrar una clau de seguretat alhora.

Tal com va assenyalar Ted, aquests mètodes alternatius són tècnicament menys segurs que per si mateixos que utilitzen una clau de seguretat. Només puc endevinar per què es van implementar aquests sistemes d'aquesta manera, però sospito que volen que els seus clients sempre puguin accedir als seus comptes. Els codis SMS i les aplicacions d'autenticador són opcions provades per temps que són fàcils de comprendre per la gent i no requereixen que comprin dispositius addicionals. Els codis SMS també tracten el problema del robatori del dispositiu. Si es perd el telèfon o se’l roba, es pot bloquejar-lo de forma remota, desautoritzar la seva targeta SIM i obtenir un telèfon nou que pugui rebre els codis SMS per tornar-hi en línia.

Personalment, m’agrada tenir diverses opcions disponibles perquè, mentre em preocupa la seguretat, també em conec a mi mateix i sé que perdo o trenco les coses amb regularitat. Sé que les persones que no han utilitzat mai 2FA estan molt preocupades per trobar-se tancades fora del seu compte si fan servir 2FA.

El 2FA és realment molt bo

Sempre és important comprendre els inconvenients de qualsevol sistema de seguretat, però això no invalida el sistema. Mentre que la 2FA té els seus punts febles, ha tingut un èxit enorme.

Un cop més, només hem de mirar a Google. La companyia va requerir l’ús de claus 2FA de maquinari internament, i els resultats parlen per si sols. Les adquisicions correctes dels empleats de Google s'han esvaït efectivament. Això és especialment important tenint en compte que els empleats de Google, amb la seva posició dins de la indústria tecnològica i (suposada) riquesa, són idonis per a atacs dirigits. Aquí és on els atacants dediquen un gran esforç per dirigir-se a persones específiques en un atac. És rar i sol tenir èxit si l’atacant té fons i paciència suficients.

El paquet de claus de seguretat de Google Titan inclou claus USB-A i Bluetooth.

El resultat aquí és que Google requeria un tipus específic de 2FA: claus de seguretat del maquinari. Aquests tenen l'avantatge respecte a altres esquemes de 2FA com a molt difícils de phish o d’intercepció. Alguns podrien dir impossible, però vaig veure què va passar amb el Titanic i en saben millor.

Tot i així, els mètodes per a interceptar codis SMS 2FA o fitxes de autenticador són força exòtics i realment no s’escalpen bé. Això vol dir que és poc probable que siguin utilitzats per un delinqüent mig que busca guanyar diners amb la màxima rapidesa i facilitat possible, com a persona mitjana, com tu.

Fins al punt de Ted: les claus de seguretat del maquinari són la forma més segura que encara hem vist per fer 2FA. Són molt difícils d’esbargir i són molt difícils d’atacar, tot i que no estan sense les seves debilitats inherents. A més, les claus de maquinari 2FA es demostren fins a cert punt en el futur. Moltes empreses s’allunyen dels codis SMS, i algunes fins i tot han adoptat inicios de sessió sense contrasenya que es basen completament en les tecles 2FA de maquinari que utilitzen l’estàndard FIDO2. Si utilitzeu una clau de maquinari ara, hi ha una bona probabilitat que tingueu seguretat durant els propers anys.

El Nitrokey FIDO U2F promet seguretat de codi obert.

  • Autenticació de dos factors: qui la té i com configurar-la Autenticació de dos factors: qui la té i com configurar-la
  • Google: els atacs de phishing que poden combatre els dos factors estan a l'alça Google: els atacs de phishing que poden combatre els dos factors estan en augment
  • SecurityWatch: Com no es pot bloquejar amb l'autenticació de dos factors SecurityWatch: Com no es pot bloquejar amb l'autenticació de dos factors

Per més claus que siguin les claus de maquinari 2FA, l'ecosistema més gran requereix fer alguns compromisos per evitar que us allunyi fora del compte innecessàriament. El 2FA ha de ser una tecnologia que realment utilitza la gent, o bé, no val res.

Tenint en compte l’opció, crec que la majoria de la gent utilitzarà opcions 2FA basades en aplicacions i SMS ja que són més fàcils de configurar i gratuïtes. Pot ser que aquestes no siguin les millors opcions possibles, però funcionen molt bé per a la majoria de la gent. Això pot canviar aviat, però, ara que Google us permet utilitzar un dispositiu mòbil amb Android 7.0 o posterior com a clau de seguretat del maquinari.

Malgrat les seves limitacions, 2FA és probablement l’única cosa millor per a la seguretat del consumidor des dels antivirus. Evita ordenadament i eficaçment alguns dels atacs més devastadors, tot sense afegir massa complexitat a la vida de les persones. Tanmateix, decidiu utilitzar 2FA, trieu un mètode que tingui sentit per a vosaltres. No utilitzar 2FA és molt més perjudicial que utilitzar un sabor lleugerament menys gran.

Securitywatch: la autenticació de dos factors us fa més segurs?