Het is tijd om te stoppen met het gebruik van sms- en 2FA-apps voor authenticatie in twee stappen

Advertentie

Tegenwoordig lijkt het erop dat elke website die u ooit bezoekt u probeert aan te moedigen gebruik tweefactorauthenticatie (2FA).

Een van de meest gebruikelijke manieren om 2FA te gebruiken, is door een unieke code in te voeren vanaf uw mobiele apparaat. Meestal ontvang je de code in een sms of gebruik je een 2FA-app van derden om er een te genereren.

De twee methoden zijn beide populaire manieren om codes te gebruiken vanwege hun gemak. Beide methoden zijn echter ook zwak vanuit veiligheidsoogpunt. En omdat uw 2FA-code slechts zo veilig is als de technologie die wordt gebruikt om deze te leveren, zijn de zwakke punten belangrijk.

Dus wat is er mis mee via sms en apps van derden om toegang te krijgen tot uw codes Wat zijn wachtwoordloze aanmeldingen? Zijn ze echt veilig?Wachtwoordloze aanmeldingen komen eraan. Zijn ze veilig? Hoe werken wachtwoordloze logins in hemelsnaam? Dit moet je weten. Lees verder ? En is er een even handig alternatief dat veiliger is? We gaan alles uitleggen. Blijf lezen voor meer informatie.

Hoe twee-factorenauthenticatie werkt

Laten we even de tijd nemen om te bespreken hoe tweefactorauthenticatie werkt. Zonder de mechanica achter de technologie te begrijpen, zal de rest van dit artikel niet veel zin hebben.

In grote lijnen 2FA voegt een extra beveiligingslaag toe aan uw account Hoe u uw accounts beveiligt met 2FA: Gmail, Outlook en meerKan tweefactorauthenticatie helpen om uw e-mail en sociale netwerken te beveiligen? Dit is wat u moet weten om online veilig te worden. Lees verder . Ook bekend als multi-factor authenticatie, inloggegevens bestaan ​​niet alleen uit een wachtwoord, maar ook uit een tweede stuk informatie waartoe alleen de legitieme eigenaar van het account toegang heeft.

2FA is er in veel verschillende vormen De voor- en nadelen van twee-factorenauthenticatietypen en -methodenTwee-factor authenticatiemethoden zijn niet gelijk gemaakt. Sommige zijn aantoonbaar veiliger en veiliger. Hier volgt een overzicht van de meest gebruikte methoden en welke het beste aansluiten bij uw individuele behoeften. Lees verder . Op het meest basale niveau kan het zoiets eenvoudigs zijn als beveiligingsvragen (omdat niemand anders dat zou kunnen ken de meisjesnaam van uw moeder Waarom u wachtwoordbeveiligingsvragen verkeerd beantwoordtHoe beantwoord je vragen over online accountbeveiliging? Eerlijke antwoorden? Helaas kan uw eerlijkheid een kloof in uw online pantser veroorzaken. Laten we eens kijken hoe u beveiligingsvragen veilig kunt beantwoorden. Lees verder of je favoriete huisdier). Aan het meer gecompliceerde einde kan het een biometrische ID zijn, zoals een netvliesscan of een vingerafdruk.

Waarom u sms-verificatie moet vermijden

SMS heeft een positie als de meest toegankelijke manier om 2FA-codes te openen en te gebruiken. Als een site tweefactorauthenticatie-aanmeldingen biedt, biedt het vrijwel zeker sms als een van de opties.

Maar sms is geen veilige manier om 2FA te gebruiken. Het heeft twee belangrijke kwetsbaarheden.

Ten eerste is de technologie vatbaar voor SIM Swap-aanvallen. Het kost een hacker niet veel om een ​​sim-swap uit te voeren. Als ze toegang hebben tot een ander persoonlijk stuk informatie, zoals uw sofinummer, kunnen ze uw netwerkaanbieder bellen en uw nummer naar een nieuwe simkaart verplaatsen.

Ten tweede kunnen hackers dat onderscheppen SMS-berichten. Het komt allemaal terug op het nu gedateerde Signalling System No. 7 (SS7) telefoonrouteringssysteem. De methodologie werd in 1975 ontworpen, maar wordt nog steeds bijna wereldwijd gebruikt om gesprekken te verbinden en te verbreken. Het behandelt ook nummervertalingen, prepaid facturering en cruciaal SMS-berichten.

Het is niet verwonderlijk dat deze technologie uit 1975 vol beveiligingsgaten zit. Hier is hoe beveiligingsexpert Bruce Schneier beschreef de gebreken:

"Als de aanvallers toegang hebben tot een SS7-portal, kunnen ze uw gesprekken doorsturen naar een online opnameapparaat en de oproep omleiden naar de beoogde bestemming […] Het betekent dat een goed uitgeruste crimineel je verificatieberichten kan pakken en ze kan gebruiken voordat je ze zelfs maar hebt gezien hen."

Natuurlijk ontdekken dat een cybercrimineel heeft je Facebook gehackt Hoe u kunt achterhalen of uw Facebook-account is gehacktOmdat Facebook zoveel gegevens herbergt, moet je je account veilig houden. Hier leest u hoe u kunt achterhalen of uw Facebook is gehackt. Lees verder account is verre van ideaal. Maar de situatie is enger wanneer je andere toepassingen van 2FA overweegt. Een cybercrimineel kan codes stelen die u gebruikt bij uw online bankieren, of zelfs geldoverdrachten initiëren en voltooien De 6 beste apps om geld naar vrienden te sturenDe volgende keer dat u geld naar vrienden moet sturen, bekijk dan deze geweldige mobiele apps om binnen enkele minuten geld naar iedereen te verzenden. Lees verder .

Bovendien beweert Schneier ook dat iedereen toegang tot het SS7-netwerk kan kopen voor ongeveer $ 1.000. Zodra ze toegang hebben, kunnen ze een routeringsverzoek verzenden. Om het probleem te voltooien, verifieert het netwerk de bron van het verzoek mogelijk niet.

Onthoud dat het gebruik van tweefactorauthenticatie via sms beter is dan 2FA uitgeschakeld te laten. En het is waarschijnlijk onwaarschijnlijk dat u slachtoffer wordt. Als je je echter een beetje bezorgd begint te voelen, moet je blijven lezen. Veel mensen accepteren dat sms onveilig is en wenden zich in plaats daarvan tot apps van derden.

Maar dat is misschien niet veel beter.

Waarom u 2FA-apps moet vermijden

De andere gebruikelijke manier om 2FA-codes te gebruiken, is door een speciale smartphone-app te installeren. Er is veel om uit te kiezen. Google Authenticator is misschien wel de meest herkenbare, maar het is niet per se de beste. Er zijn veel alternatieven: bekijk Authy, Authenticator Plus en Duo.

Maar hoe veilig zijn gespecialiseerde 2FA-apps? Hun grootste zwakte is hun vertrouwen op een geheime sleutel.

Laten we even een stapje terug doen. Als u het niet weet, moet u een geheime sleutel invoeren wanneer u zich voor de eerste keer aanmeldt voor veel van de apps. Het geheim wordt gedeeld tussen jou en de provider van de app.

Wanneer u een site bezoekt, is de code die de app maakt gebaseerd op een combinatie van uw sleutel en de huidige tijd. Tegelijkertijd genereert de server een code met dezelfde informatie. De twee codes moeten overeenkomen om toegang te krijgen. Klinkt verstandig.

Dus waarom zijn sleutels het zwakke punt? Wat gebeurt er als een cybercrimineel erin slaagt toegang te krijgen tot de database met wachtwoorden en geheimen van een bedrijf? Elk account zou kwetsbaar zijn - de aanvaller kan komen en gaan Hoe u kunt controleren of iemand anders toegang heeft tot uw Facebook-accountHet is zowel sinister als zorgwekkend als iemand zonder uw medeweten toegang heeft tot uw Facebook-account. Hier leest u hoe u weet of u bent geschonden. Lees verder naar believen.

Ten tweede wordt het geheim weergegeven in platte tekst of als een QR-code; het kan niet zo zijn gehakt of gebruikt met een zout Wat al dit MD5-hasj-spul eigenlijk betekent [Technologie uitgelegd]Hier is een volledig overzicht van MD5, hashing en een klein overzicht van computers en cryptografie. Lees verder . Het staat waarschijnlijk ook in platte tekst op de servers van het bedrijf.

De geheime sleutel is de fundamentele fout in het op tijd gebaseerde eenmalige wachtwoord (TOTP) dat gespecialiseerde apps gebruiken. Daarom is een fysieke U2F-sleutel altijd een veiligere optie.

Gebreken in ontwerp en beveiliging voor 2FA-apps

De kans dat een cybercrimineel de noodzakelijke databases van een app van derden hackt, is natuurlijk vrij klein. Maar uw app kan ook last hebben van elementaire beveiligingsfouten in het ontwerp.

Populair wachtwoordbeheerder LastPass 8 eenvoudige manieren om uw LastPass-beveiliging een boost te gevenMogelijk gebruikt u LastPass om uw vele online wachtwoorden te beheren, maar gebruikt u het toch? Hier zijn acht stappen die u kunt nemen om uw LastPass-account nog veiliger te maken. Lees verder werd in december 2017 het slachtoffer. EEN blogpost van programmeur op Medium onthulde dat 2FA geheime sleutels toegankelijk waren zonder een vingerafdruk, wachtwoord of andere beveiligingsmaatregelen.

De oplossing was niet eens ingewikkeld. Door toegang te krijgen tot de instellingenactiviteit van de LastPass Authenticator-app (com.lastpass.authenticator.activities. SettingsActivity), zou men het instellingenvenster voor de app kunnen openen zonder enige controle. Vanaf daar kunt u op drukken Terug eenmaal om toegang te krijgen tot alle 2FA-codes.

LastPass heeft het probleem nu verholpen, maar er blijven vragen over. Volgens de programmeur had hij zeven maanden lang geprobeerd LastPass over het probleem te vertellen, maar het bedrijf heeft het nooit opgelost. Hoeveel andere 2FA-apps van derden zijn onveilig? En hoeveel niet-opgeloste kwetsbaarheden weten de ontwikkelaars, maar vertragen het patchen? Er zijn ook zorgen als het gaat om verlies van toegang tot uw codegenerator op Facebook Aanmelden bij Facebook als u de toegang tot de codegenerator bent kwijtgeraaktBen je de toegang tot de codegenerator van Facebook kwijt? Dit artikel behandelt alternatieve methoden om in te loggen op uw Facebook-account. Lees verder bijvoorbeeld.

Wat u in plaats daarvan moet doen: Gebruik U2F-sleutels

In plaats van voor uw codes op SMS en 2FA te vertrouwen, zou u moeten gebruiken Universele 2e Factorsleutels Wat zijn U2F-sleutels en waar worden ze ondersteund?U2F-sleutels zijn een van de beste manieren om uw accounts veilig te houden. Maar waar worden U2F-sleutels ondersteund? Lees verder (U2F). Ze zijn de veiligste manier om codes te genereren en toegang te krijgen tot uw services.

Alom beschouwd als een tweede generatie versie van 2FA, vereenvoudigt en versterkt het het huidige protocol. Bovendien is het gebruik van U2F-sleutels bijna net zo handig als het openen van een sms-bericht of app van derden.

U2F-sleutels gebruiken een NFC- of USB-verbinding. Wanneer u uw apparaat voor de eerste keer aan een account koppelt, genereert het een willekeurig nummer genaamd "Nonce". The Nonce is gehasht met de domeinnaam van de site om een ​​unieke code te maken.

Daarna kunt u uw U2F-sleutel implementeren door deze op uw apparaat aan te sluiten en te wachten tot de service deze herkent.

Dus, wat is het nadeel? Hoewel U2F een open standaard is, kost het nog steeds geld om een ​​fysieke U2F-sleutel te kopen. En misschien meer zorgwekkend, je loopt risico op diefstal.

Een gestolen U2F-sleutel maakt uw account niet automatisch onveilig; een hacker moet nog steeds uw wachtwoord weten. Maar in een openbare ruimte heeft een dief misschien al gezien dat u uw wachtwoord van ver invoerde voordat u uw bezittingen stal.

U2F-sleutels kunnen prijzig zijn

Prijzen variëren aanzienlijk tussen fabrikanten, maar u kunt verwachten dat u tussen de $ 15 en $ 50 betaalt.

In het ideale geval wilt u een model aanschaffen dat 'FIDO-gecertificeerd' is. De FIDO-alliantie (Fast IDentity Online) is verantwoordelijk voor het bereiken van interoperabiliteit tussen authenticatietechnologieën. Leden zijn onder meer iedereen van Google en Microsoft tot Bank of America en MasterCard.

Door een FIDO-apparaat te kopen, weet u zeker dat uw U2F-sleutel werkt met alle services die u elke dag gebruikt. Bekijk de DIGIPASS SecureClick U2F-sleutel als u er een wilt kopen.

Onveilige 2FA is nog steeds beter dan geen 2FA

Samenvattend, Universal 2nd Factor-sleutels bieden een gelukkig medium tussen gebruiksgemak en beveiliging. SMS is de minst veilige aanpak, maar ook het handigst.

En vergeet niet dat elke 2FA beter is dan geen 2FA. Ja, het kan 10 seconden extra duren om in te loggen bij bepaalde apps, maar het is beter dan je veiligheid op te offeren.