Lar Securitywatch Securitywatch: a autenticação de dois fatores realmente o torna mais seguro?

Securitywatch: a autenticação de dois fatores realmente o torna mais seguro?

Índice:

Vídeo: 2FA (Two Factor Authentication - Autenticação de Dois Fatores) // Dicionário do Programador (Novembro 2024)

Vídeo: 2FA (Two Factor Authentication - Autenticação de Dois Fatores) // Dicionário do Programador (Novembro 2024)
Anonim

Nesta semana, estou pesquisando minha mala de correio sem fundo para abordar outra questão sobre a autenticação de dois fatores (2FA). É um assunto que eu já falei antes, mas, a julgar pelo volume e especificidade das perguntas que recebi, é claramente uma questão em que muitas pessoas estão pensando. Como vejo o 2FA como, talvez, a melhor coisa que as pessoas comuns podem fazer para se manter seguro online, fico mais do que feliz em falar incessantemente sobre isso.

A pergunta de hoje vem de Ted, que escreveu perguntando se os sistemas 2FA são realmente tudo o que precisam. Observe que a carta de Ted foi editada por questões de brevidade. Ted começa sua mensagem referenciando alguns dos meus outros escritos no 2FA.

Você escreveu "Depois de registrar sua chave de segurança, os códigos de acesso SMS serão uma opção de backup caso você perca ou não consiga acessar sua chave". Se isso for verdade, por que esse dispositivo é mais seguro que um código SMS 2FA? Como você também escreveu, "Mas os telefones podem ser roubados e, aparentemente, o uso do chip é algo que precisamos nos preocupar agora".
O que impede uma pessoa de dizer ao Google que é você, perdeu a chave de segurança e precisa de um código SMS enviado ao seu telefone roubado / bloqueado? Se estou entendendo isso corretamente, esse dispositivo não é mais seguro que os textos SMS 2FA. É muito mais conveniente, com certeza, mas não vejo como é mais seguro.
A conclusão de tudo isso é que a chave de segurança aumentará sua segurança, mas apenas porque você tem maior probabilidade de usá-la, não porque é inerentemente mais segura que o 2FA? o que estou perdendo?

Você não está perdendo nada, Ted. Na verdade, você é inteligente em captar um problema fundamental subjacente a grande parte da segurança que envolve a autenticação on-line: como você verifica com segurança quem são as pessoas, sem tornar impossível a recuperação de suas contas?

Os princípios 2FA

Vamos abordar alguns princípios básicos primeiro. A autenticação de dois fatores, ou 2FA, é um conceito de segurança em que você precisa apresentar duas provas de identidade, chamadas fatores, de uma lista de três possíveis.

  • Algo que você sabe , como uma senha.
  • Algo que você tem , como um telefone.
  • Algo que você é , como sua impressão digital.

Em termos práticos, o 2FA geralmente significa uma segunda coisa que você faz depois de inserir sua senha para entrar em um site ou serviço. A senha é o primeiro fator e o segundo pode ser uma mensagem SMS enviada ao seu telefone com um código especial ou usar o FaceID da Apple em um iPhone. A idéia é que, embora uma senha possa ser adivinhada ou roubada, é menos provável que um invasor possa obter sua senha e seu segundo fator.

Em sua carta, Ted está perguntando especificamente sobre as chaves 2FA de hardware. A série YubiKey de Yubico é provavelmente a opção mais conhecida, mas está longe de ser a única opção. O Google tem suas próprias chaves Titan Security e a Nitrokey oferece uma chave de código aberto, para citar apenas duas.

As armadilhas práticas

Nenhum sistema de segurança é perfeito e o 2FA não é diferente. Guemmy Kim, líder de gerenciamento de produtos da equipe de Segurança da conta do Google, apontou com razão que muitos dos sistemas nos quais confiamos para recuperação de conta e 2FA são suscetíveis a phishing. É aqui que os bandidos usam sites falsos para induzi-lo a inserir informações privadas.

Um invasor inteligente pode infectar seu telefone com um cavalo de Tróia de Acesso Remoto, o que permitiria exibir ou até mesmo interceptar códigos de verificação de SMS enviados ao seu dispositivo. Ou eles podem criar uma página de phishing convincente para induzi-lo a inserir um código único gerado a partir de um aplicativo como o Google Authenticator. Até a minha opção de códigos de backup em papel pode ser interceptada por um site de phishing que me enganou a inserir um código.

Um dos ataques mais exóticos seria o jack SIM, onde um invasor clona seu cartão SIM ou engana sua companhia telefônica para cancelar o registro de seu cartão SIM, a fim de interceptar suas mensagens SMS. Nesse cenário, o invasor pode efetivamente se passar por você, pois pode usar seu número de telefone como seu.

Um ataque não tão exótico é pura perda e roubo. Se o seu telefone ou aplicativo é o seu principal autenticador, e você o perde, isso será uma dor de cabeça. O mesmo vale para as chaves de hardware. Embora as chaves de segurança de hardware, como Yubico YubiKey, sejam difíceis de quebrar, são muito fáceis de perder.

O Yubico Yubikey Series 5 vem em várias configurações diferentes.

O problema da recuperação de contas

O que Ted aponta em sua carta é que muitas empresas exigem que você configure um segundo método 2FA, além de uma chave de segurança de hardware. O Google, por exemplo, exige que você use o SMS, instale o aplicativo Authenticator da empresa ou inscreva seu dispositivo para receber notificações push do Google que verificam sua conta. Parece que você precisa de pelo menos uma dessas três opções como backup para qualquer outra opção 2FA usada, como as chaves Titan do Google.

Mesmo se você registrar uma segunda chave de segurança como backup, ainda precisará ativar o SMS, o Google Authenticator ou as notificações por push. Notavelmente, se você deseja usar o Programa de proteção avançada do Google, é necessário registrar uma segunda chave.

Da mesma forma, o Twitter também exige que você use códigos SMS ou um aplicativo autenticador, além de uma chave de segurança de hardware opcional. Infelizmente, o Twitter apenas permite que você registre uma chave de segurança por vez.

Como Ted apontou, esses métodos alternativos são tecnicamente menos seguros do que usar uma chave de segurança por si só. Só posso adivinhar por que esses sistemas foram implementados dessa maneira, mas suspeito que eles desejam garantir que seus clientes sempre possam acessar suas contas. Os códigos SMS e os aplicativos autenticadores são opções testadas pelo tempo, fáceis de entender para as pessoas e que não requerem a compra de dispositivos adicionais. Os códigos SMS também abordam o problema do roubo de dispositivos. Se você perder o telefone ou for roubado, poderá bloqueá-lo remotamente, desautorizar o cartão SIM e obter um novo telefone que possa receber os códigos SMS para voltar a ficar on-line.

Pessoalmente, gosto de ter várias opções disponíveis, porque, enquanto estou preocupado com a segurança, também me conheço e sei que perco ou quebro as coisas regularmente. Sei que as pessoas que nunca usaram o 2FA antes estão muito preocupadas em ficar bloqueadas em sua conta se usarem o 2FA.

2FA é realmente muito bom

É sempre importante entender as desvantagens de qualquer sistema de segurança, mas isso não invalida o sistema. Embora o 2FA tenha suas fraquezas, ele obteve um enorme sucesso.

Novamente, temos apenas que olhar para o Google. A empresa exigiu o uso de chaves 2FA de hardware internamente, e os resultados falam por si. As aquisições bem-sucedidas de contas dos funcionários do Google desapareceram efetivamente. Isso é especialmente importante, considerando que os funcionários do Google, com sua posição na indústria de tecnologia e riqueza (presumida), são os principais para ataques direcionados. É aqui que os atacantes fazem um grande esforço para atingir indivíduos específicos em um ataque. É raro e geralmente bem-sucedido se o invasor tiver fundos e paciência suficientes.

O Pacote de chaves de segurança do Google Titan inclui chaves USB-A e Bluetooth.

A ressalva aqui é que o Google exigia um tipo específico de 2FA: chaves de segurança de hardware. Estes têm a vantagem sobre outros esquemas 2FA como sendo muito difícil de phishing ou interceptar. Alguns podem dizer impossível, mas eu vi o que aconteceu com o Titanic e sei melhor.

Ainda assim, os métodos para interceptar códigos SMS 2FA ou tokens de autenticador são bastante exóticos e não são bem dimensionados. Isso significa que é improvável que eles sejam usados ​​por criminosos comuns, que desejam ganhar dinheiro o mais rápido e fácil possível, nas pessoas comuns, como você.

Para o ponto de Ted: as chaves de segurança de hardware são a maneira mais segura que já vimos fazer o 2FA. Eles são muito difíceis de phishing e muito difíceis de atacar, embora não deixem de ter suas fraquezas inerentes. Além disso, as chaves de hardware 2FA são protegidas para o futuro até certo ponto. Muitas empresas estão se afastando dos códigos SMS e algumas até adotaram logins sem senha que dependem inteiramente de chaves 2FA de hardware que usam o padrão FIDO2. Se você estiver usando uma chave de hardware agora, há uma boa chance de você estar seguro nos próximos anos.

O Nitrokey FIDO U2F promete segurança de código aberto.

  • Autenticação de dois fatores: quem o possui e como configurá-lo Autenticação de dois fatores: quem o possui e como configurá-lo
  • Google: ataques de phishing que podem vencer dois fatores estão em ascensão Google: ataques de phishing que podem vencer dois fatores estão em ascensão
  • SecurityWatch: Como não ficar bloqueado com autenticação de dois fatores SecurityWatch: Como não ficar bloqueado com autenticação de dois fatores

Por mais seguras que sejam as chaves 2FA de hardware, o ecossistema maior exige que sejam feitos alguns compromissos para impedir que você bloqueie sua conta desnecessariamente. O 2FA precisa ser uma tecnologia que as pessoas realmente usem, ou então não vale nada.

Dada a escolha, acho que a maioria das pessoas usará as opções 2FA de aplicativos e SMS, pois são mais fáceis de configurar e efetivamente gratuitas. Essas podem não ser as melhores opções possíveis, mas funcionam muito bem para a maioria das pessoas. No entanto, isso pode mudar em breve, agora que o Google permite que você use um dispositivo móvel com Android 7.0 ou posterior como chave de segurança de hardware.

Apesar de suas limitações, o 2FA é provavelmente a melhor coisa para a segurança do consumidor desde o antivírus. Ele evita, de maneira organizada e eficaz, alguns dos ataques mais devastadores, tudo sem acrescentar muita complexidade à vida das pessoas. No entanto, você decide usar o 2FA, escolha um método que faça sentido para você. Não usar 2FA é muito mais prejudicial do que usar um sabor 2FA um pouco menos ótimo.

Securitywatch: a autenticação de dois fatores realmente o torna mais seguro?