Обеспечивает ли безопасность двухфакторная аутентификация (2FA)
Значительная часть сотрудников сейчас работает удаленно, двухфакторная аутентификация (two-factor authentication — 2FA) может сделать их (или данные вашей компании) более защищенными. Но то, как вы делаете, вряд-ли это обеспечивает.
Да, 2FA может помочь обеспечить безопасность данных, но так ли это в вашем случае? К сожалению, даже если мы все делаем правильно используем уникальные пароли для каждого веб-сайта, компьютера или службы, однофакторной аутентификации (логин/пароль) просто недостаточно для какой-либо реальной безопасности. 2FA — самый распространенный способ защитить свой аккаунт от хакеров.
Обычно 2FA требует:
- Одноразового кода;
- Аппаратного ключа безопасности;
- Отпечатка пальцев, сканирование сетчатки глаза или голосовой отпечаток.
За кулисами большинство подходов 2FA опираются на один из двух стандартов: одноразовый пароль на основе HMAC (HOTP) и одноразовый пароль на основе времени (TOTP).
HOTP, самый старый из двух, использует две части данных. Первый — это секретный ключ, он же «seed», а второй — счетчик. Счетчик увеличивается каждый раз, когда пользователь генерирует новый токен. Как правило, алгоритм аутентификации (HMAC) на основе хэш-функции генерирует токен с шестью или восемью десятичными знаками с использованием алгоритма SHA-1. Этот токен — это то, что вы вводите для доступа к сайту или сервису. Токены HOTP могут быть действительны в течение относительно длительного времени — скажем, 10 минут, в зависимости от реализации 2FA.
TOTP основан на HOTP. Но, он использует время с начала эпохи Unix, чтобы увеличить счетчик с 30 до 120 секундными шагами. Для пользователей это означает, что каждый 2FA-токен действителен только в этом периоде времени. Из пары TOTP более безопасен, поскольку у злоумышленника есть только небольшое время, чтобы взломать систему.
Более сильной формой 2FA является стандарт FIDO2 Universal 2nd Factor (U2F) от FIDO Alliance. U2F был разработан Google и Yubico при поддержке NXP Semiconductors. Здесь токен хранится в аппаратном ключе, который подключается к компьютеру по USB, NFC или Bluetooth.
В целом все эти технологии стабильны и обеспечивают достаточную безопасность, но проблема с 2FA — не в ней, а в том как это у вас используется. Если злоумышленник может разорвать какое-либо звено в цепочке 2FA, он может взломать ваши системы.
Некоторые методы, недавно использовавшиеся для взлома 2FA — это старые добрые фишинговые и социальные технологии. Например, в 2018 году известный хакер Кевин Митник из KnownBe4 продемонстрировал, как легко обмануть пользователя.
В этой фишинг-атаке вы получаете сообщение о посещении сайта, который часто используете. Если вы посмотрите внимательно, то увидите, что это на самом деле не тот сайт, о котором вы думали. Но если вы спешите, вы все равно перейдете по ссылке. Затем вы получите то, что выглядит как то что вы ожидали, и у вас запросят ваш логин и пароль. Затем вредоносный сайт передаст эту пару на реальный сайт и тот ему ответит маркером 2FA. Это, в свою очередь, генерирует сеансовый cookie, который обеспечивает доступ к реальному сайту. Та-да! Вооруженный сессионным cookie, Митник, посетил целевой сайт от имени другого пользователя.
Короче говоря, 2FA не может остановить человеческую глупость.
Другой самый распространенный способ — это получение 2FA-токена текстовым СМС-сообщением. Это самый плохой метод 2FA-аутентификации. Многие эксперты по безопасности считают, что необходимо прекратить использование текстовой передачи 2FA-токена по CМС. Потому что есть так много способов у злоумышленника его получить и сотовые операторы являются здесь самым слабым звеном.
Хакеры звонят в службу технической поддержки оператора, притворяясь вами, попросят перенаправить ваш номер телефона на «ваш» новый телефон. Или злоумышленник может просто зайти в магазин мобильных телефонов и попросить продавца аннулировать SIM-карту на вашем «пропавшем» телефоне и активировать вашу SIM-карту на новом телефоне.
Звучит надуманно? Просто спросите Джека Дорси, генерального директора Twitter. Собственный аккаунт Дорси в Twitter был взломан благодаря атаке с использованием SIM-карты. С этими атаками, пока SIM-карта не будет заблокирована, все ваши 2FA-токены находятся в руках зловреда.
Еще один способ атаки на смартфон — подмена текста. С помощью этого метода вы получите текст, который поступил от известного вам источника, скажем, от вашего бухгалтера с просьбой предоставить ему 2FA-токен для банковского приложения, чтобы обработать платежки. Одновременно злоумышленник начинает авторизацию в Интернет-банке, а затем, когда вы отправите ему 2FA-токен, он сможет приступить зачистке вашего счета.
Все эти методы требуют человеческого взаимодействия. Бреши в безопасности в сети SS7, которую телекоммуникации используют для управления звонками и текстовыми сообщениями могут возникать незаметно для вас. В прошлом дыры в безопасности SS7 использовались для перехвата текстовых сообщений без взлома телефона, например, атака SS7 использовалась для опустошения банковских счетов людей в банке Великобритании в 2019 году.
Мораль этой истории — избегайте использования СМС для 2FA-аутентификации. Хорошей новостью является то, что есть два эффективных способа защитить себя с помощью 2FA.
Во-первых, использовать аппаратные ключи U2F, это не дорогие устройства, просто подключите их к компьютеру и вы готовы к работе. Во-вторых, приложения 2FA-аутентификации также относительно безопасны. Наиболее популярные Authy, Google Authenticator, LastPass Authenticator и Microsoft Authenticator, а также Яндекс.Ключ.
Все они работают в основном одинаково, когда вы добавляете новую учетную запись, вы сканируете QR-код. При следующем входе в систему вам будет предложено ввести 2FA-токен из этого приложения. Это не сильно отличается от использования текстовых СМС-сообщений, но намного безопаснее.
Суть в том, что в онлайн-мире нет ничего совершенно безопасного. Но при правильном использовании 2FA может сохранить ваши данные в целости.