Inhoudsopgave:
- De basisbeginselen van 2FA
- De praktische valkuilen
- Het probleem van accountherstel
- 2FA is eigenlijk heel goed
Video: Nieuwe techniek maakt longonderzoek coronapatiënten makkelijker en veiliger (December 2024)
Deze week duik ik terug in mijn bodemloze postzak om een andere vraag over tweefactorauthenticatie (2FA) aan te pakken. Het is een onderwerp waar ik het eerder over heb gehad, maar gezien het volume en de specificiteit van de vragen die ik erover heb ontvangen, is het duidelijk een probleem waar veel mensen aan denken. Omdat ik 2FA beschouw als misschien het beste wat gewone mensen kunnen doen om online veilig te blijven, ben ik meer dan blij om er eindeloos over te kunnen praten.
De vraag van vandaag komt van Ted, die schreef in de vraag of 2FA-systemen echt alles zijn wat ze moeten doen. Houd er rekening mee dat de brief van Ted kortstondig is bewerkt. Ted begint zijn bericht door te verwijzen naar enkele van mijn andere teksten op 2FA.
Je schreef: "Zodra je je beveiligingssleutel hebt geregistreerd, zijn sms-toegangscodes een back-upoptie voor het geval je je sleutel verliest of er geen toegang toe hebt." Als dit waar is, waarom is dit apparaat dan veiliger dan een 2FA-sms-code? Zoals je ook al schreef: "Maar telefoons kunnen worden gestolen en SIM-jacking is blijkbaar iets waar we ons nu zorgen over moeten maken."
Hoe voorkom je dat iemand Google vertelt dat jij het bent, de beveiligingssleutel kwijt bent en een sms-code nodig hebt die naar je gestolen / jacked telefoon is gestuurd? Als ik dit goed begrijp, is dit apparaat niet veiliger dan 2FA sms-berichten. Het is veel handiger, dat is zeker, maar ik zie niet in hoe het veiliger is.
Is het gevolg hiervan dat de beveiligingssleutel uw beveiliging verhoogt, maar alleen omdat u deze eerder zult gebruiken, niet omdat deze inherent veiliger is dan 2FA? Wat mis ik?
Je mist niets, Ted. In feite bent u slim om een fundamenteel probleem op te pakken dat aan veel van de beveiliging rond online authenticatie ten grondslag ligt: hoe verifieert u veilig wie mensen zijn, zonder dat zij het onmogelijk maken om hun accounts te herstellen?
De basisbeginselen van 2FA
Laten we eerst enkele basisprincipes behandelen. Tweefactorauthenticatie of 2FA is een beveiligingsconcept waarbij u twee identiteitsbewijzen, factoren genaamd, moet presenteren uit een lijst met mogelijke drie.
- Iets wat je weet , zoals een wachtwoord.
- Iets wat je hebt , zoals een telefoon.
- Iets wat je bent , zoals je vingerafdruk.
In praktische termen betekent 2FA vaak een tweede ding dat u doet nadat u uw wachtwoord hebt ingevoerd om u aan te melden bij een site of service. Het wachtwoord is de eerste factor, en de tweede kan een SMS-bericht zijn dat naar uw telefoon wordt verzonden met een speciale code, of Apple's FaceID op een iPhone gebruiken. Het idee is dat hoewel een wachtwoord kan worden geraden of gestolen, het minder waarschijnlijk is dat een aanvaller zowel uw wachtwoord als uw tweede factor kan verkrijgen.
In zijn brief vraagt Ted specifiek naar hardware 2FA-sleutels. Yubico's YubiKey-serie is waarschijnlijk de bekendste optie, maar het is verre van de enige optie. Google heeft zijn eigen Titan Security-sleutels en Nitrokey biedt een open-source sleutel, om er maar twee te noemen.
De praktische valkuilen
Geen enkel beveiligingssysteem is perfect en 2FA is niet anders. Guemmy Kim, productmanagementleider voor het accountbeveiligingsteam van Google, heeft er terecht op gewezen dat veel van de systemen waarop we vertrouwen voor accountherstel en 2FA vatbaar zijn voor phishing. Dit is waar de slechteriken nep-sites gebruiken om u te misleiden om privéinformatie in te voeren.
Een van de meest exotische aanvallen zou SIM-jacking zijn, waarbij een aanvaller uw SIM-kaart klonen of uw telefoonbedrijf ertoe aanzet uw SIM-kaart af te melden om uw SMS-berichten te onderscheppen. In dit scenario kan de aanvaller zich heel goed voordoen als u, omdat deze uw telefoonnummer als het zijne kan gebruiken.
Een niet-zo-exotische aanval is gewoon oud verlies en diefstal. Als uw telefoon of een app op uw telefoon uw primaire authenticator is en u deze verliest, wordt dat hoofdpijn. Hetzelfde geldt voor hardwaresleutels. Hoewel hardwarebeveiligingssleutels, zoals Yubico YubiKey, moeilijk te breken zijn, zijn ze erg gemakkelijk te verliezen.
De Yubico Yubikey Series 5 komt in veel verschillende configuraties.Het probleem van accountherstel
Wat Ted in zijn brief opmerkt, is dat veel bedrijven vereisen dat je een tweede 2FA-methode instelt, naast een hardwarebeveiligingssleutel. Google vereist bijvoorbeeld dat u sms gebruikt, de Authenticator-app van het bedrijf installeert of uw apparaat registreert om pushmeldingen van Google te ontvangen die uw account verifiëren. Het lijkt erop dat u ten minste een van deze drie opties nodig hebt als back-up van elke andere 2FA-optie die u gebruikt, zoals de Titan-toetsen van Google.
Zelfs als u een tweede beveiligingssleutel als back-up registreert, moet u nog steeds SMS, Google Authenticator of pushmeldingen inschakelen. Als u het geavanceerde beveiligingsprogramma van Google wilt gebruiken, moet u een tweede sleutel registreren.
Evenzo vereist Twitter dat u naast een optionele hardwarebeveiligingssleutel ook SMS-codes of een authenticator-app gebruikt. Helaas kunt u met Twitter slechts één beveiligingssleutel tegelijk registreren.
Zoals Ted heeft opgemerkt, zijn deze alternatieve methoden technisch minder veilig dan het gebruik van een beveiligingssleutel zelf. Ik kan alleen maar raden waarom deze systemen op deze manier zijn geïmplementeerd, maar ik vermoed dat ze ervoor willen zorgen dat hun klanten altijd toegang hebben tot hun accounts. SMS-codes en authenticator-apps zijn beproefde opties die mensen gemakkelijk kunnen begrijpen en niet vereisen dat ze extra apparaten moeten aanschaffen. SMS-codes pakken ook het probleem van apparaatdiefstal aan. Als u uw telefoon verliest of als deze wordt gestolen, kunt u deze op afstand vergrendelen, de simkaart intrekken en een nieuwe telefoon krijgen die de sms-codes kan ontvangen om weer online te komen.
Persoonlijk houd ik ervan om meerdere opties beschikbaar te hebben, omdat ik me zorgen maak over de veiligheid, maar ook mezelf ken en weet dat ik dingen regelmatig verlies of kapotmaak. Ik weet dat mensen die nog nooit 2FA hebben gebruikt, erg bezorgd zijn over het feit dat ze geen toegang meer hebben tot hun account als ze 2FA gebruiken.
2FA is eigenlijk heel goed
Het is altijd belangrijk om de nadelen van beveiligingssystemen te begrijpen, maar dat maakt het systeem niet ongeldig. Hoewel 2FA zijn zwakke punten heeft, is het enorm succesvol geweest.
Nogmaals, we hoeven alleen maar naar Google te kijken. Het bedrijf vereiste intern het gebruik van hardware 2FA-sleutels en de resultaten spreken voor zich. Succesvolle accountovernames van Google-medewerkers zijn effectief verdwenen. Dit is vooral belangrijk omdat Google-werknemers, met hun positie in de technologische industrie en (vermeende) rijkdom, primair zijn voor gerichte aanvallen. Dit is waar aanvallers veel moeite doen om zich op specifieke personen in een aanval te richten. Het is zeldzaam en meestal succesvol als de aanvaller voldoende geld en geduld heeft.
De Google Titan Security Key Bundle bevat USB-A- en Bluetooth-sleutels.Het voorbehoud hier is dat Google een specifiek type 2FA vereiste: hardwarebeveiligingssleutels. Deze hebben het voordeel ten opzichte van andere 2FA-schema's omdat ze erg moeilijk zijn om te phishing of anderszins te onderscheppen. Sommigen zeggen misschien onmogelijk, maar ik zag wat er met de Titanic gebeurde en weet beter.
Toch zijn de methoden voor het onderscheppen van 2FA SMS-codes of authenticatietokens tamelijk exotisch en schalen ze niet echt goed. Dat betekent dat het onwaarschijnlijk is dat ze worden gebruikt door de gemiddelde crimineel, die zo snel en gemakkelijk mogelijk wat geld wil verdienen, bij de gemiddelde persoon, zoals jij.
Tot het punt van Ted: hardwarebeveiligingssleutels zijn de veiligste manier die we tot nu toe hebben gezien om 2FA te doen. Ze zijn zeer moeilijk te phishen en zeer moeilijk aan te vallen, hoewel ze niet zonder hun inherente zwakheden zijn. Bovendien zijn 2FA-hardwaresleutels tot op zekere hoogte toekomstbestendig. Veel bedrijven stappen af van sms-codes en sommige hebben zelfs wachtwoordloze aanmeldingen omarmd die volledig afhankelijk zijn van hardware 2FA-sleutels die de FIDO2-standaard gebruiken. Als u nu een hardwaresleutel gebruikt, is de kans groot dat u nog jaren veilig bent.
De Nitrokey FIDO U2F belooft open-source beveiliging.- Twee-factor authenticatie: wie heeft het en hoe het in te stellen Twee-factor authenticatie: wie heeft het en hoe het in te stellen
- Google: Phishing-aanvallen die Two-Factor kunnen verslaan nemen toe Google: Phishing-aanvallen die Two-Factor kunnen verslaan nemen toe
- SecurityWatch: Hoe wordt u niet buitengesloten met tweefactorauthenticatie SecurityWatch: Hoe wordt u niet buitengesloten met tweefactorauthenticatie
Hoe veilig hardware 2FA-sleutels ook zijn, het grotere ecosysteem vereist enkele compromissen om te voorkomen dat u onnodig uit uw account wordt vergrendeld. 2FA moet een technologie zijn die mensen daadwerkelijk gebruiken, anders is het helemaal niets waard.
Gezien de keuze denk ik dat de meeste mensen app- en sms-gebaseerde 2FA-opties zullen gebruiken, omdat ze gemakkelijker zijn in te stellen en effectief gratis zijn. Dit zijn misschien niet de best mogelijke opties, maar ze werken heel goed voor de meeste mensen. Dat kan echter snel veranderen nu Google je een mobiel apparaat met Android 7.0 of hoger laat gebruiken als hardwarebeveiligingssleutel.
Ondanks zijn beperkingen is 2FA waarschijnlijk het beste voor consumentenbeveiliging sinds antivirus. Het voorkomt netjes en effectief enkele van de meest verwoestende aanvallen, allemaal zonder al te veel complexiteit toe te voegen aan het leven van mensen. Maar u besluit 2FA te gebruiken, kies een methode die voor u zinvol is. Het gebruik van 2FA is veel schadelijker dan het gebruik van een iets minder goede 2FA-smaak.