שעון האבטחה: האם אימות דו-גורמי באמת גורם לך להיות בטוח יותר?

השבוע אני חוזר לתיק הדואר התחתון שלי כדי להתמודד עם שאלה נוספת בנושא אימות דו-גורמי (2FA). זה נושא שנגעתי בו בעבר, אבל אם לשפוט על פי הנפח והספציפיות של השאלות שקיבלתי עליו, ברור שזה נושא שהרבה אנשים חושבים עליו. מכיוון שאני רואה ב- 2FA, אולי, את הדבר הטוב ביותר שאנשים רגילים יכולים לעשות כדי להישאר בטוחים ברשת, אני יותר משמח לדבר בלי סוף.

השאלה של היום באה מטד, שכתב בשאלה האם מערכות 2FA הן באמת כל מה שהן מפוצצות להיות. שימו לב שמכתבו של טד נערך לשם קיצור. טד מתחיל את ההודעה שלו בהתייחס לכמה מהכתבים האחרים שלי ב- 2FA.

כתבת "ברגע שתירשם למפתח האבטחה שלך, קודי סיסמת SMS יהיו אפשרות גיבוי למקרה שתאבד או לא תוכל לגשת למפתח שלך." אם זה נכון, מדוע מכשיר זה מאובטח יותר מקוד SMS 2FA? כמו שכתבת, "אבל ניתן לגנוב טלפונים ושקע SIM הוא כנראה דבר שאנחנו צריכים לדאוג לו עכשיו."

מה מונע ממישהו לומר לגוגל שהוא אתה, איבדתם את מפתח האבטחה וזקוקים לקוד SMS שנשלח לטלפון הגנוב / השקע שלכם? אם אני מבין זאת נכון, המכשיר הזה אינו מאובטח יותר מטקסטים SMS של 2FA. זה הרבה יותר נוח, זה בטוח, אבל אני לא מבין איך זה יותר בטוח.

האם נקודת המוצא של כל אלה היא שמפתח האבטחה יגדיל את האבטחה שלך, אבל רק מכיוון שסביר יותר שתשתמש בו, לא בגלל שהוא מטבעו מאובטח יותר מ- 2FA? מה אני מפספס?

אתה לא מפספס כלום, טד. לאמיתו של דבר, אתה חכם לבחון נושא מהותי העומד בבסיס הרבה מהביטחון סביב האימות המקוון: כיצד אתה מאמת בבטחה מיהם האנשים, מבלי לאפשר להם להחזיר את חשבונותיהם?

היסודות של 2FA

בואו נסתכל תחילה על כמה יסודות. אימות דו-גורמי, או 2FA, הוא מושג אבטחה בו אתה צריך להציג שתי הוכחות זהות, המכונות גורמים, מתוך רשימה של שלוש אפשריות.

• משהו שאתה יודע , כמו סיסמא.

• משהו שיש לך, כמו טלפון.

• משהו שאתה, כמו טביעת האצבע שלך.

מבחינה מעשית, 2FA פירושו לעתים קרובות דבר שני שאתה עושה לאחר הזנת הסיסמה שלך בכדי להיכנס לאתר או לשירות. הסיסמה היא הגורם הראשון, והשנייה יכולה להיות הודעת SMS הנשלחת לטלפון שלך עם קוד מיוחד, או באמצעות FaceID של Apple באייפון. הרעיון הוא שבעוד שניתן לנחש או לגנוב סיסמא, סביר להניח שתוקף יכול להשיג גם את הסיסמה וגם את הגורם השני שלך.

במכתבו שואל טד באופן ספציפי על מפתחות 2FA לחומרה. סדרת YubiKey של יוביקו היא ככל הנראה האופציה הידועה ביותר, אך היא רחוקה מהאופציה היחידה. לגוגל יש מפתחות אבטחה משלה, ו- Nitrokey מציע מפתח קוד פתוח, לשם שתיים בלבד.

החסרונות המעשיים

אף מערכת אבטחה אינה מושלמת, ו- 2FA אינה שונה. גוימי קים, מנהלת ניהול מוצר בצוות אבטחת החשבונות של גוגל, הצביעה בצדק כי רבות מהמערכות שאנו מסתמכים עליהן לצורך שחזור חשבון ו- 2FA רגישות לדיוג. זה המקום בו הרעים משתמשים באתרים מזויפים כדי להערים אותך בהזנת מידע פרטי.

תוקף פיקח עלול להדביק את הטלפון שלך בטרויאנית עם גישה מרחוק שתאפשר להם להציג או אפילו ליירט קודי אימות SMS שנשלחו למכשיר שלך. לחלופין, הם יוכלו ליצור דף דיוג משכנע כדי להערים אותך להזין קוד חד פעמי שנוצר מאפליקציה כמו מאמת גוגל. אפילו אפשרות התחנה שלי לקודי גיבוי נייר עלולה להתיירט על ידי אתר דיוג ששטה אותי להזין קוד.

אחת ההתקפות האקזוטיות ביותר היא חיבור ה- SIM, שם תוקף משבט את כרטיס ה- SIM שלך או מסמן את חברת הטלפון שלך לרשום את כרטיס ה- SIM שלך, כדי ליירט את הודעות ה- SMS שלך. בתרחיש זה, התוקף יכול להתחזות לך ביעילות רבה, מכיוון שהוא יכול להשתמש במספר הטלפון שלך כמשלהם.

התקפה לא אקזוטית היא אובדן וגניבה ישנים. אם הטלפון שלך או אפליקציה בטלפון שלך הם המאמת העיקרי שלך, ואתה מאבד אותו, זה יהיה כאב ראש. הדבר נכון גם לגבי מפתחות חומרה. למרות שמפתחות אבטחת חומרה, כמו Yubico YubiKey, קשה לשבור אותם, הם קלים מאוד לאבד.

סדרת Yubico Yubikey 5 מגיעה בתצורות רבות ושונות.

בעיית שחזור החשבון

מה שטד מציין במכתבו הוא שחברות רבות דורשות מכם להתקין שיטת 2FA שנייה, בנוסף למפתח אבטחת חומרה. למשל, גוגל מחייבת אותך להשתמש ב- SMS, להתקין את אפליקציית המאמת של החברה או לרשום את המכשיר שלך כדי לקבל התראות דחיפה מגוגל המאמתות את חשבונך. נראה שאתה זקוק לפחות לאחת משלוש האפשרויות הללו כגיבוי לכל אפשרות 2FA אחרת שאתה משתמש בהן - כמו מקשי הטיטאן מגוגל.

גם אם אתה רושם מפתח אבטחה שני כגיבוי, אתה עדיין צריך להפעיל הודעות SMS, מאמת גוגל או דחיפות. יש לציין, אם ברצונך להשתמש בתוכנית ההגנה המתקדמת של גוגל, יש צורך בהרשמת מפתח שני.

באופן דומה, טוויטר גם דורשת להשתמש בקודי SMS או באפליקציית אימות בנוסף למפתח אבטחה חומרה אופציונלי. לרוע המזל, טוויטר מאפשרת לך רק לרשום מפתח אבטחה אחד בכל פעם.

כפי שציין טד, שיטות אלטרנטיביות אלו פחות בטוחות מאשר שימוש במפתח אבטחה בפני עצמו. אני יכול רק לנחש מדוע מערכות אלו יושמו בדרך זו, אך אני חושד שהם רוצים לוודא שלקוחותיהם תמיד יוכלו לגשת לחשבונות שלהם. קודי SMS ויישומי אימות הם אפשרויות לבדיקת זמן שקל לאנשים להבין ולא דורשים מהם לרכוש מכשירים נוספים. קודי SMS מטפלים גם בבעיית גניבת מכשירים. אם אתה מאבד את הטלפון שלך או שהוא נגנב, אתה יכול לנעול אותו מרחוק, לאשר מחדש את כרטיס ה- SIM שלו ולקבל טלפון חדש שיכול לקבל את קודי ה- SMS כדי לחזור לרשת.

באופן אישי, אני אוהב שיהיו לי אפשרויות מרובות מכיוון שבעוד שאני דואג לביטחון אני גם מכיר את עצמי, ויודע שאני מאבד או שובר דברים די באופן קבוע. אני יודע שאנשים שמעולם לא השתמשו ב- 2FA לפני כן מודאגים מאוד למצוא את עצמם נעולים מחשבון שלהם אם הם משתמשים ב- 2FA.

2FA הוא למעשה טוב מאוד

חשוב תמיד להבין את החסרונות של מערכת אבטחה כלשהי, אך הדבר אינו מבטל את המערכת. בעוד של- 2FA יש חולשות, היא הצליחה מאוד.

שוב, עלינו רק לפנות אל גוגל. החברה דרשה שימוש במפתחות מפתחות 2FA לחומרה באופן פנימי והתוצאות מדברות בעד עצמן. השתלטות מוצלחת על חשבונות על עובדי גוגל נעלמה למעשה. זה חשוב במיוחד בהתחשב בעובדה שעובדי גוגל, עם עמדתם בענף הטכנולוגיה ועושרם (המשוער), הם בראש ובראשונה להתקפות ממוקדות. זה המקום בו התוקפים משקיעים מאמץ רב בכדי לכוון אנשים ספציפיים בהתקפה. זה נדיר, ובדרך כלל מצליח אם לתוקף יש מספיק כספים וסבלנות.

צרור מפתחות האבטחה של גוגל טיטאן כולל מפתחות USB-A ו- Bluetooth.

האזהרה כאן היא שגוגל דרשה סוג מסוים של 2FA: מפתחות אבטחה לחומרה. לאלה יש את היתרון על פני תוכניות אחרות של 2FA כקשים מאוד לפיש או ליירט בדרך אחרת. יש שיגידו אולי בלתי אפשרי, אבל ראיתי מה קרה לטיטאניק ויודע טוב יותר.

ובכל זאת, השיטות ליירוט קודי SMS של 2FA, או אסימוני אימות הם אקזוטיים למדי ואינם ממש מתרחשים בצורה טובה. זה אומר שלא סביר שישמשו אותו עבריין הממוצע, שמחפש להרוויח קצת כסף במהירות ובקלות ככל האפשר, על האדם הממוצע, כמוך.

לנקודה של טד: מפתחות אבטחת חומרה הם הדרך הבטוחה ביותר שטרם ראינו לעשות 2FA. הם מאוד קשים לדיג וקשה מאוד לתקוף אותם, אם כי הם אינם ללא חולשותיהם המובנות. יתר על כן, מפתחות חומרה של 2FA מוגנים בעתיד במידה מסוימת. חברות רבות מתרחקות מקודי SMS, וחלקן אף אימצו כניסות ללא סיסמא הנשענות לחלוטין על מפתחות 2FA חומרה המשתמשים בתקן FIDO2. אם אתה משתמש במפתח חומרה כעת, יש סיכוי טוב שתהיה בטוח במשך שנים רבות.

Nitrokey FIDO U2F מבטיח אבטחת קוד פתוח.

• אימות דו-גורמי: מי יש לו ואיך להגדיר אותו אימות דו-גורמי: למי יש זאת ואיך להגדיר אותה
• גוגל: התקפות פישינג שיכולות לנצח דו-גורמים עולות בעלייה גוגל: התקפות דיוג שיכולות לנצח דו-פקטור נמצאות בעלייה
• SecurityWatch: כיצד לא להתנתק עם אימות דו-גורמי SecurityWatch: כיצד לא להיכלא באמצעות אימות דו-גורמי

ככל שמפתחות 2FA חומרה מאובטחים, המערכת האקולוגית הגדולה יותר דורשת פשרות מסוימות על מנת למנוע מנעילתך מחוץ לחשבון שלך שלא לצורך. 2FA צריכה להיות טכנולוגיה שאנשים משתמשים בה בפועל, אחרת היא לא שווה כלום.

בהתחשב בבחירה, אני חושב שרוב האנשים ישתמשו באפשרויות 2FA מבוססות אפליקציות ו- SMS מכיוון שהן קלות יותר להתקנה וביעילות בחינם. אלה אולי לא האפשרויות הטובות ביותר האפשריות, אך הן עובדות טוב מאוד עבור רוב האנשים. עם זאת, הדבר עשוי להשתנות בקרוב, עכשיו כשגוגל מאפשרת לך להשתמש במכשיר נייד שמריץ את Android 7.0 ואילך כמפתח אבטחת חומרה.

למרות המגבלות שלה, 2FA הוא ככל הנראה הדבר הטוב ביותר לאבטחת הצרכן מאז האנטי-וירוס. זה מונע בצורה מסודרת ויעילה כמה מההתקפות ההרסניות ביותר, וכל זאת מבלי להוסיף מורכבות רבה מדי לחיי האנשים. עם זאת אתה מחליט להשתמש ב- 2FA, בחר שיטה הגיונית עבורך. אי שימוש ב- 2FA מזיק בהרבה משימוש בטעם 2FA מעט פחות נהדר.