воскресенье, 2 февраля 2020 г.

Почему двухфакторная аутентификация (SMS) - плохая идея?




Двухфакторная аутентификация (2FA) обеспечивает дополнительный уровень безопасности, который не могут обеспечить одни пароли. Требование к пользователю дополнительного шага для подтверждения своей личности снижает вероятность того, что посторонний получит доступ к данным.

Одним из наиболее распространенных методов 2FA является текстовые сообщения SMS. Проблема в том, что SMS не является безопасным средством. Хакеры имеют в своем арсенале несколько инструментов, которые могут перехватывать, подделывать SMS. Несмотря на этот недостаток безопасности и лучшие варианты аутентификации, 2FA на основе SMS все еще используется многими организациями.


Как хакеры перехватывают СМС
Отличная идея добавить 2FA в любое приложение для повышения безопасности. Атаки с использованием пароля становятся все более изощренными, и даже сложные пароли могут быть взломаны. Требование дальнейшей аутентификации для любого входа в систему обеспечивает лучшую защиту.

Но после выполнения этого дополнительного шага безопасности, зачем использовать небезопасную форму связи для дополнительной проверки? Ведь SMS-сообщения основаны на телефонных сетях. Перехват SMS является знаком многих продвинутых хакеров.


И, как отмечает Дэниел Сид, безопасность в области защиты информации проявляют не только  сети, но и телефонные компании.

Ваша голосовая почта защищена только 4-значным PIN-кодом. И на большинстве операторов вы можете получить доступ к своей голосовой почте удаленно.

Легкий фишинг. Если вы знаете основную информацию о человеке, вы можете изменить ПИН-код.


Подделать SMS-сообщение очень легко. Не существует SSL или сертификата, чтобы проверить, откуда он на самом деле.

Спуфинг может фактически сочетаться с фишингом для получения доступа. Этот процесс позволяет хакерам фальсифицировать сообщение, чтобы оно выглядело так, как будто оно поступило из законного источника. Сообщение предупредит жертву, что им нужно ответить с кодом безопасности. В то же время, хакер инициирует запрос входа 2FA. Если жертва отвечает этим кодом, хакер может перехватить сеанс и использовать его для получения доступа.

Но, следуя рекомендациям по предотвращению фишинга, недостаточно обеспечить безопасность аутентификации SMS. Как отметил Даниэль, хакер с базовой информацией о жертве может сменить ПИН-код. И вы не можете контролировать фишинг в телефонной компании.

Тот же метод социальной инженерии также можно использовать для обмена информацией о SIM-карте на номер телефона. Хакер может притвориться жертвой и активировать новый телефон по номеру. До того, как жертва заметит, хакер уже взломал 2FA.
Хотя этот процесс может показаться запутанным, он на удивление эффективен. Например, CloudFlare был взломан с использованием аналогичного метода. Их телефонный провайдер, AT & T, был обманут в перенаправлении их голосовой почты, и доступ к их электронной почте был получен через процесс восстановления учетной записи 2FA. Если это может случиться с лидером отрасли в области кибербезопасности, что говорить о простых пользователях.


Хакеры также могут обмениваться информацией SIM-карты через протокол удаленного рабочего стола (RDP). Эти атаки все еще нуждаются в социальной инженерии, чтобы установить программу RDP. Как сообщил Джозеф Кокс в журнале Vice в январе 2019 года, у хакеров не возникло проблем с получением удаленного доступа к системам телефонной компании. Один даже дошел до того, что назвал некоторых сотрудников и менеджеров «умственно отсталыми».

Из-за этого слабый 2FA в некотором смысле хуже, чем отсутствие 2FA вообще. В случае, когда аутентификация на основе SMS или телефона является единственной опцией, предлагаемой услугой, фактически безопаснее пропустить 2FA. Хорошая политика паролей будет лучшим вариантом в этом случае.

Лучшие альтернативы 2FA SMS
Хотя лучше всего пропустить 2FA, если SMS является единственным вариантом, это не решает причину добавления 2FA в первую очередь. Для предотвращения перебора и других атак, направленных на аутентификацию только по паролю, необходима некоторая форма 2FA.

Хорошая новость заключается в том, что существует несколько безопасных альтернатив 2FA на основе SMS. Реализация одного из этих вариантов поможет защитить ваши аккаунты от плохих игроков.

Аппаратная аутентификация
Аппаратная аутентификация основана на выделенном физическом устройстве для предоставления доступа. Наряду с паролем пользователям также необходимо будет ввести случайный код токена, сгенерированный устройством. Вход в систему не удастся без кода. Поставщики аппаратной аутентификации включают RSA SecurID и Thales SafeNet.

Физическая природа этого метода может привести к потере и краже устройств. Но он решает многие проблемы безопасности, присущие 2FA на основе SMS.

Аутентификация программного обеспечения
Аутентификация программного обеспечения по сути тот же принцип, что и аутентификация оборудования. Но вместо того, чтобы требовать физического устройства, коды токенов генерируются мобильным приложением. Самым популярным приложением аутентификации является Google Authenticator, но есть много вариантов. Например, RSA теперь предлагает свой аутентификатор SecurID в качестве приложения.

Может показаться нелогичным рекомендовать аутентификацию на основе мобильного устройства. Но программное обеспечение не использует SMS или телефонную сеть для аутентификации, что устраняет недостатки, присущие SMS 2FA.


IP-аутентификация
Этот метод проверяет IP-адрес пользователя при входе в систему. Вы можете заблокировать доступ к определенным IP-адресам, которые предположительно являются вредоносными, или просто разрешить вход только с известных IP-адресов и диапазонов. Аутентификация на основе IP может использоваться в сочетании с другими формами для добавления другого уровня защиты.

Вывод
Телефоны и текстовые сообщения просто не были разработаны с учетом безопасности. Использование SMS для аутентификации на самом деле вызывает большую проблему, чем то, для чего она предназначена. Но SMS по-прежнему остается очень популярным методом 2FA, несмотря на эти проблемы.

Если доступен более безопасный вариант для 2FA, лучше всего его принять. Если 2FA на основе SMS является единственным вариантом, лучше всего пропустить 2FA и использовать надежную парольную стратегию. Уровень риска, который создает SMS, делает его пассивом больше, чем мера предосторожности.

Хотя рекомендуются более надежные варианты 2FA, они не являются заменой хорошей стратегии паролей. Подумайте об этом, как о своем доме: сильный засов на передней панели - это здорово, но не имеет значения, если вы оставите ключ под ковриком.



Комментариев нет:

Отправить комментарий