Rumah Jam keamanan Securitywatch: apakah otentikasi dua faktor benar-benar membuat Anda lebih aman?

Securitywatch: apakah otentikasi dua faktor benar-benar membuat Anda lebih aman?

Daftar Isi:

Video: CARA AKTIVASI AUTENTIFIKASI DUA FAKTOR FACEBOOK (Desember 2024)

Video: CARA AKTIVASI AUTENTIFIKASI DUA FAKTOR FACEBOOK (Desember 2024)
Anonim

Minggu ini, saya menggali kembali ke dalam kantung surat tanpa dasar untuk menangani pertanyaan lain tentang otentikasi dua faktor (2FA). Ini adalah subjek yang pernah saya bahas sebelumnya, tetapi menilai dari volume dan kekhususan pertanyaan yang saya terima tentangnya, ini jelas merupakan masalah yang dipikirkan banyak orang. Karena saya memandang 2FA sebagai, mungkin, satu-satunya hal terbaik yang dapat dilakukan orang biasa untuk tetap aman saat online, saya lebih dari senang untuk membicarakannya tanpa henti.

Pertanyaan hari ini datang dari Ted, yang menulis dalam menanyakan tentang apakah sistem 2FA benar-benar yang mereka inginkan. Harap dicatat bahwa surat Ted telah diedit untuk singkatnya. Ted memulai pesannya dengan merujuk beberapa tulisan saya yang lain tentang 2FA.

Anda menulis "Setelah Anda mendaftarkan kunci keamanan Anda, kode sandi SMS akan menjadi opsi cadangan jika Anda kehilangan atau tidak dapat mengakses kunci Anda." Jika ini benar, lalu mengapa perangkat ini lebih aman daripada kode SMS 2FA? Seperti yang Anda juga tulis, "Tapi ponsel bisa dicuri dan SIM-jacking tampaknya adalah hal yang perlu kita khawatirkan sekarang."
Apa yang mencegah seseorang memberi tahu Google bahwa mereka adalah Anda, telah kehilangan kunci keamanan dan perlu kode SMS dikirim ke telepon Anda yang dicuri / didongkrak? Jika saya memahami ini dengan benar, perangkat ini tidak lebih aman daripada teks SMS 2FA. Ini jauh lebih nyaman, itu sudah pasti, tetapi saya gagal melihat bagaimana itu lebih aman.
Apakah hasil dari semua ini adalah bahwa kunci keamanan akan meningkatkan keamanan Anda, tetapi hanya karena Anda lebih cenderung menggunakannya, bukan karena secara inheren lebih aman daripada 2FA? Apa yang saya lewatkan?

Anda tidak melewatkan apa pun, Ted. Bahkan, Anda cerdas untuk mengambil masalah mendasar yang mendasari banyak keamanan seputar otentikasi online: bagaimana Anda memverifikasi siapa orang secara aman, tanpa membuatnya tidak mungkin bagi mereka untuk memulihkan akun mereka?

Dasar-dasar 2FA

Mari kita bahas beberapa hal dasar terlebih dahulu. Otentikasi dua faktor, atau 2FA, adalah konsep keamanan di mana Anda harus menunjukkan dua bukti identitas, yang disebut faktor, dari daftar kemungkinan tiga.

  • Sesuatu yang Anda tahu , seperti kata sandi.
  • Sesuatu yang Anda miliki , seperti telepon.
  • Sesuatu Anda, seperti sidik jari Anda.

Secara praktis, 2FA seringkali berarti hal kedua yang Anda lakukan setelah memasukkan kata sandi untuk masuk ke situs atau layanan. Kata sandi adalah faktor pertama, dan yang kedua bisa berupa pesan SMS yang dikirim ke ponsel Anda dengan kode khusus, atau menggunakan FaceID Apple pada iPhone. Idenya adalah bahwa sementara kata sandi dapat ditebak atau dicuri, kecil kemungkinan penyerang dapat memperoleh kata sandi dan faktor kedua Anda.

Dalam suratnya, Ted menanyakan secara khusus tentang kunci perangkat 2FA. Seri Yubico YubiKey mungkin merupakan opsi yang paling dikenal, tetapi jauh dari satu-satunya pilihan. Google memiliki kunci Keamanan Titan sendiri dan Nitrokey menawarkan kunci open-source, untuk menyebutkan hanya dua.

Jebakan Praktis

Tidak ada sistem keamanan yang sempurna, dan 2FA tidak berbeda. Guemmy Kim, pemimpin manajemen produk untuk tim Keamanan Akun Google, dengan tepat menunjukkan bahwa banyak sistem yang kami andalkan untuk pemulihan akun dan 2FA rentan terhadap phishing. Di sinilah orang jahat menggunakan situs palsu untuk menipu Anda agar memasukkan informasi pribadi.

Penyerang yang pandai berpotensi menginfeksi telepon Anda dengan Trojan Akses Jarak Jauh yang memungkinkan mereka melihat atau bahkan mencegat kode verifikasi SMS yang dikirim ke perangkat Anda. Atau mereka dapat membuat halaman phishing yang meyakinkan untuk menipu Anda agar memasukkan kode satu kali yang dihasilkan dari aplikasi seperti Google Authenticator. Bahkan pilihan masuk saya untuk kode cadangan kertas dapat dicegat oleh situs phishing yang menipu saya untuk memasukkan kode.

Salah satu serangan paling eksotis adalah jack SIM, di mana penyerang mengkloning kartu SIM Anda atau mengelabui perusahaan telepon Anda untuk membatalkan registrasi kartu SIM Anda, untuk mencegat pesan SMS Anda. Dalam skenario ini, penyerang dapat secara sangat efektif menyamar sebagai Anda, karena mereka dapat menggunakan nomor telepon Anda sebagai milik mereka.

Sebuah serangan yang tidak terlalu eksotis adalah kehilangan dan pencurian tua. Jika ponsel Anda atau aplikasi pada ponsel Anda adalah autentikator utama Anda, dan Anda kehilangan itu, itu akan menjadi sakit kepala. Hal yang sama berlaku untuk kunci perangkat keras. Meskipun kunci keamanan perangkat keras, seperti Yubico YubiKey, sulit untuk dilanggar, mereka sangat mudah hilang.

Yubico Yubikey Series 5 hadir dalam banyak konfigurasi berbeda.

Masalah Pemulihan Akun

Apa yang ditunjukkan Ted dalam suratnya adalah bahwa banyak perusahaan mengharuskan Anda untuk mengatur metode 2FA kedua, selain kunci keamanan perangkat keras. Google, misalnya, mengharuskan Anda untuk menggunakan SMS, menginstal aplikasi Authenticator perusahaan, atau mendaftarkan perangkat Anda untuk menerima pemberitahuan push dari Google yang memverifikasi akun Anda. Anda tampaknya memerlukan setidaknya satu dari tiga opsi ini sebagai cadangan untuk opsi 2FA lainnya yang Anda gunakan - seperti kunci Titan dari Google.

Bahkan jika Anda mendaftarkan kunci keamanan kedua sebagai cadangan, Anda masih perlu mengaktifkan SMS, Google Authenticator, atau pemberitahuan push. Khususnya, jika Anda ingin menggunakan Program Perlindungan Lanjutan Google, mendaftarkan kunci kedua diperlukan.

Demikian pula, Twitter juga mengharuskan Anda menggunakan kode SMS atau aplikasi autentikator selain kunci keamanan perangkat keras opsional. Sayangnya, Twitter hanya memungkinkan Anda mendaftarkan satu kunci keamanan setiap kali.

Seperti yang ditunjukkan Ted, metode alternatif ini secara teknis kurang aman daripada menggunakan kunci keamanan dengan sendirinya. Saya hanya bisa menebak mengapa sistem ini diterapkan seperti ini, tetapi saya menduga mereka ingin memastikan pelanggan mereka selalu dapat mengakses akun mereka. Kode SMS dan aplikasi autentikator adalah opsi yang telah teruji oleh waktu yang mudah dipahami orang dan tidak mengharuskan mereka membeli perangkat tambahan. Kode SMS juga mengatasi masalah pencurian perangkat. Jika ponsel Anda hilang atau dicuri, Anda dapat menguncinya dari jarak jauh, membatalkan otorisasi kartu SIM-nya, dan mendapatkan telepon baru yang dapat menerima kode SMS untuk kembali online.

Secara pribadi, saya suka memiliki beberapa opsi yang tersedia karena sementara saya khawatir tentang keamanan saya juga tahu diri saya sendiri, dan tahu bahwa saya kehilangan atau merusak barang-barang secara teratur. Saya tahu bahwa orang-orang yang belum pernah menggunakan 2FA sebelumnya sangat khawatir menemukan diri mereka terkunci dari akun mereka jika mereka menggunakan 2FA.

2FA Sebenarnya Sangat Bagus

Selalu penting untuk memahami kelemahan sistem keamanan apa pun, tetapi itu tidak membatalkan sistem. Sementara 2FA memiliki kelemahannya, itu sangat sukses.

Sekali lagi, kita hanya perlu melihat ke Google. Perusahaan membutuhkan penggunaan kunci 2FA perangkat keras secara internal, dan hasilnya berbicara sendiri. Pengambilalihan akun karyawan Google yang berhasil secara efektif menghilang. Ini sangat penting mengingat karyawan Google, dengan posisi mereka dalam industri teknologi dan (dianggap) kekayaan, adalah yang utama untuk serangan yang ditargetkan. Di sinilah penyerang melakukan upaya besar untuk menargetkan individu tertentu dalam serangan. Jarang, dan biasanya berhasil jika penyerang memiliki cukup dana dan kesabaran.

Bundel Kunci Keamanan Google Titan mencakup kunci USB-A dan Bluetooth.

Peringatan di sini adalah bahwa Google membutuhkan tipe 2FA tertentu: kunci keamanan perangkat keras. Ini memiliki keunggulan dibandingkan skema 2FA lainnya karena sangat sulit untuk dipalsukan atau disadap. Beberapa mungkin mengatakan tidak mungkin, tetapi saya melihat apa yang terjadi pada Titanic dan lebih tahu.

Namun, metode untuk mencegat kode 2FA SMS, atau token autentikator cukup eksotis dan tidak benar-benar skala baik. Itu berarti mereka tidak mungkin digunakan oleh penjahat biasa, yang mencari untuk menghasilkan uang secepat dan semudah mungkin, pada rata-rata orang, seperti Anda.

Yang penting dari Ted: kunci keamanan perangkat keras adalah cara paling aman yang pernah kami lakukan 2FA. Mereka sangat sulit untuk dipalsukan dan sangat sulit untuk diserang, meskipun mereka bukan tanpa kelemahan bawaan mereka. Selain itu, kunci perangkat keras 2FA terbukti di masa depan. Banyak perusahaan yang beralih dari kode SMS, dan beberapa bahkan telah menggunakan login tanpa kata sandi yang sepenuhnya bergantung pada kunci perangkat keras 2FA yang menggunakan standar FIDO2. Jika Anda menggunakan kunci perangkat keras sekarang, ada peluang bagus Anda akan aman untuk tahun-tahun mendatang.

Nitrokey FIDO U2F menjanjikan keamanan open-source.

  • Otentikasi Dua Faktor: Siapa yang Memiliki dan Cara Mengaturnya Otentikasi Dua Faktor: Siapa yang Memiliki dan Cara Mengaturnya
  • Google: Serangan Phishing yang Dapat Mengalahkan Dua-Faktor Sedang Bertambah Google: Serangan Phishing yang Dapat Mengalahkan Dua-Faktor Bertambah
  • SecurityWatch: Cara Tidak Terkunci Dengan Otentikasi Dua-Faktor SecurityWatch: Cara Tidak Terkunci Dengan Otentikasi Dua-Faktor

Secepat kunci perangkat keras 2FA, ekosistem yang lebih besar memerlukan beberapa kompromi untuk mencegah Anda keluar dari akun secara tidak perlu. 2FA perlu menjadi teknologi yang benar-benar digunakan orang, atau kalau tidak, tidak ada artinya sama sekali.

Diberi pilihan, saya pikir sebagian besar orang akan menggunakan opsi 2FA berbasis aplikasi dan SMS karena lebih mudah diatur dan bebas secara efektif. Ini mungkin bukan pilihan terbaik, tetapi mereka bekerja sangat baik untuk kebanyakan orang. Namun, itu mungkin segera berubah, karena Google memungkinkan Anda menggunakan perangkat seluler yang menjalankan Android 7.0 atau lebih baru sebagai kunci keamanan perangkat keras.

Terlepas dari keterbatasannya, 2FA mungkin merupakan satu-satunya hal terbaik untuk keamanan konsumen sejak antivirus. Ini dengan rapi dan efektif mencegah beberapa serangan yang paling menghancurkan, semua tanpa menambahkan terlalu banyak kerumitan dalam kehidupan manusia. Namun Anda memutuskan untuk menggunakan 2FA, pilih metode yang masuk akal untuk Anda. Tidak menggunakan 2FA jauh lebih merusak daripada menggunakan rasa 2FA yang sedikit kurang bagus.

Securitywatch: apakah otentikasi dua faktor benar-benar membuat Anda lebih aman?