פרסומת

בימים אלה נראה כי כל אתר שאי פעם ביקרת בו מנסה לעודד אותך השתמש באימות דו-גורמי (2FA).

אחת הדרכים הנפוצות ביותר להשתמש ב- 2FA היא להזין קוד ייחודי מהמכשיר הנייד שלך. בדרך כלל אתה מקבל את הקוד בהודעת טקסט או שאתה משתמש ביישום 2FA של צד שלישי כדי ליצור קוד כזה.

שתי השיטות הן שניהם דרכים פופולריות לשימוש בקודים בגלל הנוחות שלהם. עם זאת, שתי השיטות גם חלשות מבחינה ביטחונית. ומכיוון שקוד ה- 2FA שלך מאובטח רק כמו הטכנולוגיה המשמשת למסירתו, החולשות חשובות.

אז מה רע בזה באמצעות SMS ואפליקציות צד שלישי כדי לגשת לקודים שלך מהן כניסות ללא סיסמה? האם הם למעשה מאובטחים?כניסות ללא סיסמא מגיעות. האם הם בטוחים? איך לכל הרוחות פועלים כניסות ללא סיסמאות? הנה מה שאתה צריך לדעת. קרא עוד ? והאם יש אלטרנטיבה נוחה לא פחות שהיא בטוחה יותר? אנחנו הולכים להסביר הכל. המשך לקרוא כדי לגלות עוד.

איך עובד אימות דו-גורמי

בואו ניקח רגע לדון כיצד אימות דו-גורמי עובד. בלי להבין את המכניקה העומדת מאחורי הטכנולוגיה, שאר מאמר זה לא יהיה הגיוני בהרבה.

במונחים רחבים, 2FA מוסיף שכבת אבטחה נוספת לחשבונך כיצד לאבטח את חשבונותיך באמצעות 2FA: Gmail, Outlook ועוד

instagram viewer
האם אימות דו-גורמי יכול לעזור באבטחת הדוא"ל והרשתות החברתיות שלך? להלן מה שאתה צריך לדעת כדי לקבל אבטחה מקוונת. קרא עוד . אישורי כניסה, המכונים גם אימות רב-גורמי, מורכבים לא רק מסיסמה, אלא גם מנת מידע שני שרק לבעלים הלגיטימי של החשבון יש גישה אליו.

2FA מגיע בהמון צורות שונות היתרונות והחסרונות של סוגי ושיטות אימות דו-גורמיםשיטות אימות של שני גורמים אינן נוצרות שוות. חלקם בטוחים יותר ובטוחים יותר. להלן מבט על השיטות הנפוצות ביותר ואילו מהן מתאימות בצורה הטובה ביותר לצרכים האישיים שלך. קרא עוד . ברמה הבסיסית ביותר, זה יכול להיות משהו פשוט כמו שאלות אבטחה (כי אף אחד אחר לא יכול היה לעשות זאת) דע את שם הנעורים של אמך מדוע אתה עונה על שאלות אבטחת סיסמאות שגויותאיך אתה עונה על שאלות בנושא אבטחת חשבונות מקוונות? תשובות כנות? למרבה הצער, הכנות שלך עשויה ליצור סנטר בשריון המקוון שלך. בואו נסתכל כיצד לענות בבטחה על שאלות אבטחה. קרא עוד או חיית המחמד האהובה עליך). בסוף המסובך יותר זה יכול להיות זיהוי ביומטרי כמו סריקת רשתית או טביעת אצבע.

מדוע עליכם להימנע מאימות SMS

SMS נהנה ממיקום כדרך הנגישה ביותר לגישה ושימוש בקודי 2FA. אם אתר מציע כניסות אימות של שני גורמים, הוא כמעט ודאי מציע SMS כאחת האפשרויות.

אבל SMS אינו דרך בטוחה להשתמש ב- 2FA. יש לו שתי נקודות תורפה מרכזיות.

ראשית, הטכנולוגיה היא רגישים להתקפות החלפת SIM. לא צריך הרבה להאקר לבצע החלפת SIM. אם יש להם גישה לפרט מידע אישי אחר כלשהו - כמו מספר תעודת הזהות שלך - הם יכולים להתקשר לספק שלך ולהעביר את המספר שלך לכרטיס SIM חדש.

שנית, האקרים יכולים ליירט הודעות SMS. הכל חוזר למערכת ניתוב הטלפון המתוארכת כעת מס '7 (SS7). המתודולוגיה תוכננה עוד בשנת 1975 אך היא עדיין משמשת כמעט גלובלית לחיבור וניתוק שיחות. זה גם מטפל בתרגומי מספרים, חיוב בתשלום מראש ובאופן חיוני, הודעות SMS.

באופן לא מפתיע, הטכנולוגיה הזו משנת 1975 מלאה בחורי אבטחה. הנה איך מומחה האבטחה ברוס שנייר תיאר את הליקויים:

"אם לתוקפים יש גישה לפורטל SS7, הם יכולים להעביר את השיחות שלך למכשיר הקלטה מקוון ולהפנות מחדש את השיחה ל היעד המיועד שלה [...] פירושו של פושע מאובזר יכול לתפוס את הודעות האימות שלך ולהשתמש בהן עוד לפני שראית אותם. "

כמובן, לגלות שיש עבריין סייבר פרץ את הפייסבוק שלך כיצד לגלות אם חשבון הפייסבוק שלך נפרץכשפייסבוק מכילה כל כך הרבה נתונים, אתה צריך לשמור על חשבונך. כך תוכלו לגלות אם הפייסבוק שלכם נפרץ. קרא עוד החשבון רחוק מלהיות אידיאלי. אך המצב הוא מצומצם יותר כשחושבים על השימושים האחרים של 2FA. עבריין סייבר יכול לגנוב קודים שבהם אתה משתמש בבנקאות המקוונת שלך, או אפילו ליזום ולהשלים העברות כסף 6 האפליקציות הטובות ביותר לשליחת כסף לחבריםבפעם הבאה שתצטרך לשלוח כסף לחברים, בדוק את היישומים הניידים הנהדרים האלה כדי לשלוח כסף לכל אחד תוך דקות. קרא עוד .

יתרה מזאת, שנייר גם טוען שכל אחד יכול לרכוש גישה לרשת SS7 בסביבות 1,000 דולר. ברגע שיש להם גישה, הם יכולים לשלוח בקשת ניתוב. להשלמת הבעיה, הרשת עשויה שלא לאמת את מקור הבקשה.

זכור, שימוש באימות דו-גורמי באמצעות SMS עדיף על אפשרות להפסיק את 2FA. וכנראה שזה לא סביר שתהפוך לקורבן. עם זאת, אם אתה מתחיל להרגיש קצת מודאג, אתה צריך להמשיך לקרוא. אנשים רבים מקבלים ש- SMS אינו מאובטח ופונים ליישומי צד שלישי במקום זאת.

אבל יתכן וזה לא יהיה טוב בהרבה.

מדוע כדאי להימנע מאפליקציות של 2FA

הדרך הנפוצה הנוספת להשתמש בקודי 2FA היא להתקין אפליקציית סמארטפון ייעודית. יש המון מה לבחירה. המאמת של גוגל הוא ללא ספק המזהה ביותר, אך הוא לא בהכרח הטוב ביותר. יש המון אלטרנטיבות בחוץ - בדוק את Authy, Authenticator Plus ו- Duo.

אבל כמה מאובטחות אפליקציות 2FA המומחיות? החולשה הגדולה ביותר שלהם היא שלהם הסתמכות על מפתח סודי.

בואו ניקח צעד אחורה לשנייה. במקרה שלא ידעת, כשאתה נרשם לרבים מהאפליקציות בפעם הראשונה, עליך להזין מפתח סודי. הסוד משותף בינך לבין ספק האפליקציה.

כשאתה ניגש לאתר, הקוד שהיישום יוצר מבוסס על שילוב של המפתח שלך והשעה הנוכחית. באותו הרגע, השרת מייצר קוד באמצעות אותו מידע. שני הקודים צריכים להתאים כדי שתוכל לקבל גישה. נשמע הגיוני.

אז מדוע המפתחות הם נקודת התורפה? ובכן, מה קורה אם עבריין סייבר מצליח להשיג גישה למאגר הסיסמאות והסודות של החברה? כל חשבון יהיה פגיע - התוקף יכול לבוא וללכת כיצד לבדוק אם מישהו אחר ניגש לחשבון הפייסבוק שלךזה גם מרשים ומדאיג אם מישהו יש גישה לחשבון הפייסבוק שלך ללא ידיעתך. כך תוכלו לדעת אם נפרצתם. קרא עוד ברצון.

שנית, הסוד מוצג בטקסט רגיל או כקוד QR; זה לא יכול להיות נמהר או משמש עם מלח מה כל הדברים האלה בעצם MD5 Hash (משמעות הטכנולוגיה)להלן פירוט מלא של MD5, hashing וסקירה כללית קטנה של מחשבים וקריפטוגרפיה. קרא עוד . זה כנראה גם בטקסט רגיל על שרתי החברה.

המפתח הסודי הוא הפגם הבסיסי בסיסמא החד-פעמית המבוססת על זמן (TOTP) בה משתמשים ביישומי מומחה. זו הסיבה שמפתח U2F פיזי הוא תמיד אפשרות בטוחה יותר.

פגמים בעיצוב ובביטחון עבור אפליקציות 2FA

כמובן שהסיכוי לפשע סייבר לפרוץ את מסדי הנתונים הנחוצים של אפליקציה של צד שלישי הם קטנים למדי. אך האפליקציה שלך עלולה לסבול גם מפגמי אבטחה בסיסיים בעיצוב שלה.

פופולרי מנהל הסיסמאות 8 דרכים קלות להטעין את אבטחת LastPass שלךיתכן שאתה משתמש ב- LastPass כדי לנהל את הסיסמאות המקוונות הרבות שלך, אבל אתה משתמש בזה נכון? להלן שמונה צעדים שתוכל לנקוט כדי להפוך את חשבון LastPass שלך לאבטח עוד יותר. קרא עוד נפל קורבן בדצמבר 2017. א פוסט הבלוג של המתכנת ב- Medium ניתן היה לגשת למפתחות סודי של 2FA ללא טביעת אצבע, סיסמה או אמצעי אבטחה אחרים.

הדרך לעקיפת הבעיה אפילו לא הייתה מסובכת. על ידי גישה לפעילות ההגדרות של אפליקציית המאמת של LastPass (com.lastpass.authenticator.activities). SettingsActivity), ניתן להזין את חלונית ההגדרות של האפליקציה ללא כל בדיקות. משם, תוכלו ללחוץ חזור פעם אחת לגישה לכל קודי ה- 2FA.

LastPass תיקן כעת את הפגם, אך עדיין נותרו שאלות. לדברי המתכנת, הוא ניסה לספר ל- LastPass על הגיליון במשך שבעה חודשים, אך החברה מעולם לא תיקנה זאת. כמה אפליקציות אחרות של צד שלישי 2FA אינן בטוחות? וכמה נקודות תורפה לא קבועות המפתחים יודעים על אך מעכבים את התיקון? ישנם גם חששות כשמדובר איבוד הגישה למחולל הקוד שלך בפייסבוק כיצד להיכנס לפייסבוק אם איבדת גישה למחולל קודאיבדתם גישה למחולל הקוד של פייסבוק? מאמר זה עוסק בשיטות אלטרנטיביות לכניסה לחשבון הפייסבוק שלך. קרא עוד לדוגמה.

מה לעשות במקום זאת: השתמש במקשי U2F

במקום להסתמך על SMS ו- 2FA עבור הקודים שלך, עליך להשתמש מקשי פקטור אוניברסליים 2 מהם מפתחות U2F והיכן הם נתמכים?מפתחות U2F הם אחת הדרכים הטובות ביותר לשמור על חשבונותיך ובטוחים. אבל היכן נתמכים מפתחות U2F? קרא עוד (U2F). הם הדרך הבטוחה ביותר לייצר קודים ולגשת לשירותים שלך.

זה נחשב נרחב כגרסת הדור השני של 2FA, זה גם מפשט ומחזק את הפרוטוקול הנוכחי. בנוסף, שימוש במקשי U2F נוח כמעט כמו פתיחת הודעת SMS או אפליקציה של צד שלישי.

מקשי U2F משתמשים בחיבור NFC או USB. כשאתה מחבר את המכשיר שלך לחשבון בפעם הראשונה, הוא יפיק מספר אקראי שנקרא "Nonce." ה- Nonce מנוקד עם שם הדומיין של האתר כדי ליצור קוד ייחודי.

מפתח U2F מאושר על ידי פידו

לאחר מכן אתה יכול לפרוס את מפתח U2F שלך על ידי חיבורו למכשיר שלך ולחכות שהשירות יזהה אותו.

אז מה החיסרון? ובכן, למרות ש- U2F הוא סטנדרט פתוח, זה עדיין עולה כסף לקנות מפתח U2F פיזי. ואולי יותר בנושא, אתה נמצא בסיכון בגלל גניבה.

מפתח U2F שנגנב אינו הופך את חשבונך לחסר ביטחון באופן אוטומטי; האקר עדיין צריך לדעת את הסיסמה שלך. אבל באזור ציבורי, ייתכן שגנב כבר ראה אותך מזין את הסיסמה שלך מרחוק, לפני שגנב את רכושך.

מפתחות U2F יכולים להיות יקרים

המחירים משתנים במידה ניכרת בין היצרנים, אך ניתן לצפות לשלם בין כ- 15 $ ל- 50 $.

באופן אידיאלי, ברצונך לרכוש דגם שמוסמך "FIDO." הברית FIDO (Fast IDentity Online) אחראית להשגת יכולת פעולה הדדית בין טכנולוגיות אימות. חברים כוללים את כולם מגוגל ומיקרוסופט, לבנק אוף אמריקה ומסטרקארד.

על ידי רכישת מכשיר FIDO, אתה יכול להיות בטוח שמפתח U2F יעבוד עם כל השירותים שבהם אתה משתמש כל יום. עיין במפתח DIGIPASS SecureClick U2F אם ברצונך לרכוש מפתח אחד.

2FA לא בטוחים עדיף על פני 2FA

לסיכום, מקשי ה- 2nd Factor של יוניברסל מספקים מדיום שמח בין קלות השימוש לאבטחה. SMS הוא הגישה הכי פחות בטוחה, אך היא גם הנוחה ביותר.

וזכרו, כל 2FA עדיף על 2FA. כן, יתכן שייקח לך 10 שניות נוספות כדי להיכנס לאפליקציות מסוימות, אך עדיף להקריב את האבטחה שלך.

דן הוא גולה בריטי המתגורר במקסיקו. הוא העורך המנהל של אתר האחות של MUO, Blocks Decoded. בזמנים שונים הוא שימש כעורך חברתי, עורך יצירתי ועורך כספים עבור MUO. אתה יכול למצוא אותו משוטט בקומת התצוגה ב- CES בלאס וגאס מדי שנה (אנשי יחסי ציבור, מושיטים יד!), והוא עושה המון אתר מאחורי הקלעים...