Es ist Zeit, die Verwendung von SMS- und 2FA-Apps für die Zwei-Faktor-Authentifizierung einzustellen

Werbung

Heutzutage scheint jede Website, die Sie jemals besuchen, Sie dazu zu ermutigen Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA).

Eine der häufigsten Möglichkeiten zur Verwendung von 2FA ist die Eingabe eines eindeutigen Codes von Ihrem Mobilgerät. In der Regel erhalten Sie den Code in einer Textnachricht oder verwenden eine 2FA-App eines Drittanbieters, um eine zu generieren.

Die beiden Methoden sind aufgrund ihrer Benutzerfreundlichkeit beliebte Methoden zur Verwendung von Codes. Beide Methoden sind jedoch auch unter Sicherheitsgesichtspunkten schwach. Und weil Ihr 2FA-Code nur so sicher ist wie die Technologie, mit der er bereitgestellt wird, sind die Schwachstellen wichtig.

Also, was ist los mit Verwenden von SMS und Apps von Drittanbietern, um auf Ihre Codes zuzugreifen Was sind passwortlose Anmeldungen? Sind sie tatsächlich sicher?Passwortlose Logins kommen. Sind sie sicher? Wie um alles in der Welt funktionieren passwortlose Anmeldungen? Folgendes müssen Sie wissen. Weiterlesen

? Und gibt es eine ebenso bequeme Alternative, die sicherer ist? Wir werden alles erklären. Lesen Sie weiter, um mehr zu erfahren.

Funktionsweise der Zwei-Faktor-Authentifizierung

Nehmen wir uns einen Moment Zeit, um zu diskutieren, wie die Zwei-Faktor-Authentifizierung funktioniert. Ohne die Mechanik hinter der Technologie zu verstehen, wird der Rest dieses Artikels nicht viel Sinn machen.

Im Großen und Ganzen 2FA Fügt Ihrem Konto eine zusätzliche Sicherheitsebene hinzu So sichern Sie Ihre Konten mit 2FA: Google Mail, Outlook und mehrKann die Zwei-Faktor-Authentifizierung dazu beitragen, Ihre E-Mails und sozialen Netzwerke zu schützen? Folgendes müssen Sie wissen, um online sicher zu sein. Weiterlesen . Anmeldeinformationen, die auch als Multi-Faktor-Authentifizierung bezeichnet werden, bestehen nicht nur aus einem Kennwort, sondern auch aus einer zweiten Information, auf die nur der rechtmäßige Eigentümer des Kontos Zugriff hat.

2FA gibt es in vielen verschiedenen Formen Vor- und Nachteile von Zwei-Faktor-Authentifizierungstypen und -methodenZwei-Faktor-Authentifizierungsmethoden werden nicht gleich erstellt. Einige sind nachweislich sicherer und sicherer. Hier sehen Sie die gängigsten Methoden und welche am besten zu Ihren individuellen Bedürfnissen passen. Weiterlesen . Im Grunde könnte es so einfach sein wie Sicherheitsfragen (weil es sonst niemand könnte kenne den Mädchennamen deiner Mutter Warum Sie Fragen zur Passwortsicherheit falsch beantwortenWie beantworten Sie Fragen zur Online-Kontosicherheit? Ehrliche Antworten? Leider könnte Ihre Ehrlichkeit einen Riss in Ihrer Online-Rüstung verursachen. Lassen Sie uns einen Blick darauf werfen, wie Sicherheitsfragen sicher beantwortet werden können. Weiterlesen oder dein Lieblingshaustier). Am komplizierteren Ende könnte es sich um eine biometrische ID wie einen Retina-Scan oder einen Fingerabdruck handeln.

Warum Sie die SMS-Überprüfung vermeiden sollten

SMS ist die am besten zugängliche Möglichkeit, auf 2FA-Codes zuzugreifen und diese zu verwenden. Wenn eine Site Zwei-Faktor-Authentifizierungsanmeldungen bietet, bietet sie mit ziemlicher Sicherheit SMS als eine der Optionen an.

SMS ist jedoch keine sichere Möglichkeit, 2FA zu verwenden. Es hat zwei Hauptschwachstellen.

Erstens ist die Technologie anfällig für SIM-Swap-Angriffe. Ein Hacker braucht nicht viel, um einen SIM-Tausch durchzuführen. Wenn sie Zugriff auf eine andere persönliche Information haben - wie Ihre Sozialversicherungsnummer - können sie Ihren Mobilfunkanbieter anrufen und Ihre Nummer auf eine neue SIM-Karte verschieben.

Zweitens können Hacker SMS-Nachrichten abfangen. Es kommt alles auf das jetzt datierte Telefon-Routing-System Signaling System Nr. 7 (SS7) zurück. Die Methode wurde bereits 1975 entwickelt, wird jedoch immer noch fast weltweit zum Verbinden und Trennen von Anrufen verwendet. Es werden auch Nummernübersetzungen, Prepaid-Abrechnungen und vor allem SMS-Nachrichten verarbeitet.

Es überrascht nicht, dass diese Technologie von 1975 voller Sicherheitslücken ist. Hier ist wie Sicherheitsexperte Bruce Schneier beschrieb die Mängel:

„Wenn die Angreifer Zugriff auf ein SS7-Portal haben, können sie Ihre Konversationen an ein Online-Aufzeichnungsgerät weiterleiten und den Anruf an weiterleiten Das beabsichtigte Ziel […] bedeutet, dass ein gut ausgestatteter Krimineller Ihre Bestätigungsnachrichten abrufen und verwenden kann, bevor Sie sie überhaupt gesehen haben Sie."

Natürlich entdecken, dass ein Cyber-Krimineller hat hat dein Facebook gehackt So finden Sie heraus, ob Ihr Facebook-Konto gehackt wurdeDa Facebook so viele Daten enthält, müssen Sie Ihr Konto schützen. Hier erfahren Sie, ob Ihr Facebook gehackt wurde. Weiterlesen Konto ist alles andere als ideal. Die Situation ist jedoch beängstigender, wenn Sie andere Anwendungen von 2FA in Betracht ziehen. Ein Cyberkrimineller könnte Codes stehlen, die Sie in Ihrem Online-Banking verwenden, oder sogar Geldtransfers initiieren und abschließen Die 6 besten Apps, um Geld an Freunde zu sendenWenn Sie das nächste Mal Geld an Freunde senden müssen, sehen Sie sich diese großartigen mobilen Apps an, um innerhalb von Minuten Geld an andere zu senden. Weiterlesen .

Darüber hinaus behauptet Schneier, dass jeder für rund 1.000 US-Dollar Zugang zum SS7-Netzwerk erwerben kann. Sobald sie Zugriff haben, können sie eine Routing-Anfrage senden. Um das Problem zu beheben, authentifiziert das Netzwerk möglicherweise nicht die Quelle der Anforderung.

Denken Sie daran, dass die Zwei-Faktor-Authentifizierung per SMS besser ist, als 2FA deaktiviert zu lassen. Und es ist wahrscheinlich unwahrscheinlich, dass Sie ein Opfer werden. Wenn Sie sich jedoch etwas besorgt fühlen, müssen Sie weiterlesen. Viele Menschen akzeptieren, dass SMS unsicher sind, und wenden sich stattdessen Apps von Drittanbietern zu.

Aber das kann nicht viel besser sein.

Warum Sie 2FA Apps vermeiden sollten

Die andere übliche Methode zur Verwendung von 2FA-Codes ist die Installation einer dedizierten Smartphone-App. Es gibt viele zur Auswahl. Google Authenticator ist wohl das bekannteste, aber nicht unbedingt das beste. Es gibt viele Alternativen - sehen Sie sich Authy, Authenticator Plus und Duo an.

Aber wie sicher sind spezielle 2FA-Apps? Ihre größte Schwäche ist ihre Vertrauen auf einen geheimen Schlüssel.

Machen wir einen Schritt zurück. Falls Sie sich nicht bewusst sind, müssen Sie bei der erstmaligen Anmeldung für viele Apps einen geheimen Schlüssel eingeben. Das Geheimnis wird zwischen Ihnen und dem Anbieter der App geteilt.

Wenn Sie auf eine Site zugreifen, basiert der von der App erstellte Code auf einer Kombination Ihres Schlüssels und der aktuellen Uhrzeit. Gleichzeitig generiert der Server einen Code mit denselben Informationen. Die beiden Codes müssen übereinstimmen, damit der Zugriff gewährt wird. Klingt vernünftig.

Warum sind Schlüssel die Schwachstelle? Was passiert, wenn ein Cyberkrimineller Zugriff auf die Passwort- und Geheimdatenbank eines Unternehmens erhält? Jedes Konto wäre anfällig - das Angreifer könnten kommen und gehen So überprüfen Sie, ob jemand anderes auf Ihr Facebook-Konto zugreiftEs ist sowohl unheimlich als auch besorgniserregend, wenn jemand ohne Ihr Wissen Zugriff auf Ihr Facebook-Konto hat. Hier erfahren Sie, ob Sie verletzt wurden. Weiterlesen nach Belieben.

Zweitens wird das Geheimnis entweder im Klartext oder als QR-Code angezeigt. es kann nicht sein gehackt oder mit einem Salz verwendet Was all dieses MD5-Hash-Zeug eigentlich bedeutet [Technologie erklärt]Hier finden Sie eine vollständige Übersicht über MD5, Hashing und einen kleinen Überblick über Computer und Kryptografie. Weiterlesen . Es ist wahrscheinlich auch im Klartext auf den Servern des Unternehmens.

Der geheime Schlüssel ist der grundlegende Fehler im zeitbasierten Einmalkennwort (TOTP), das von speziellen Apps verwendet wird. Aus diesem Grund ist ein physischer U2F-Schlüssel immer eine sicherere Option.

Fehler in Design und Sicherheit für 2FA-Apps

Natürlich ist die Wahrscheinlichkeit, dass ein Cyberkrimineller die erforderlichen Datenbanken einer Drittanbieter-App hackt, relativ gering. Ihre App kann jedoch auch unter grundlegenden Sicherheitslücken im Design leiden.

Beliebt Passwort-Manager LastPass 8 einfache Möglichkeiten, Ihre LastPass-Sicherheit zu erhöhenMöglicherweise verwenden Sie LastPass, um Ihre vielen Online-Passwörter zu verwalten, aber verwenden Sie es richtig? Hier sind acht Schritte, mit denen Sie Ihr LastPass-Konto noch sicherer machen können. Weiterlesen fiel im Dezember 2017 zum Opfer. EIN Blogbeitrag des Programmierers auf Medium Aufgedeckte 2FA-Geheimschlüssel konnten ohne Fingerabdruck, Passwort oder andere Sicherheitsmaßnahmen abgerufen werden.

Die Problemumgehung war nicht einmal kompliziert. Durch Zugriff auf die Einstellungsaktivität der LastPass Authenticator-App (com.lastpass.authenticator.activities). SettingsActivity), man könnte den Einstellungsbereich für die App ohne Überprüfung aufrufen. Von dort konnte man drücken Zurück einmal, um auf alle 2FA-Codes zuzugreifen.

LastPass hat den Fehler jetzt behoben, aber es bleiben Fragen offen. Laut dem Programmierer hatte er sieben Monate lang versucht, LastPass über das Problem zu informieren, aber das Unternehmen hat es nie behoben. Wie viele andere 2FA-Apps von Drittanbietern sind unsicher? Und wie viele nicht behobene Schwachstellen kennen die Entwickler, verzögern aber das Patchen? Es gibt auch Bedenken, wenn es darum geht Verlust des Zugriffs auf Ihren Codegenerator auf Facebook So melden Sie sich bei Facebook an, wenn Sie den Zugriff auf den Code Generator verloren habenZugriff auf den Codegenerator von Facebook verloren? Dieser Artikel behandelt alternative Methoden zum Anmelden bei Ihrem Facebook-Konto. Weiterlesen zum Beispiel.

Was stattdessen zu tun ist: Verwenden Sie U2F-Schlüssel

Anstatt sich für Ihre Codes auf SMS und 2FA zu verlassen, sollten Sie verwenden Universelle 2. Faktor-Schlüssel Was sind U2F-Schlüssel und wo werden sie unterstützt?U2F-Schlüssel sind eine der besten Möglichkeiten, um Ihre Konten sicher zu verwahren. Aber wo werden U2F-Schlüssel unterstützt? Weiterlesen (U2F). Sie sind die sicherste Methode, um Codes zu generieren und auf Ihre Dienste zuzugreifen.

Es wird allgemein als eine Version der zweiten Generation von 2FA angesehen und vereinfacht und stärkt das aktuelle Protokoll. Darüber hinaus ist die Verwendung von U2F-Schlüsseln fast so bequem wie das Öffnen einer SMS-Nachricht oder einer Drittanbieter-App.

U2F-Schlüssel verwenden entweder eine NFC- oder eine USB-Verbindung. Wenn Sie Ihr Gerät zum ersten Mal mit einem Konto verbinden, wird eine Zufallszahl namens "Nonce" generiert. Das Nonce wird mit dem Domainnamen der Site gehasht, um einen eindeutigen Code zu erstellen.

Anschließend können Sie Ihren U2F-Schlüssel bereitstellen, indem Sie ihn an Ihr Gerät anschließen und darauf warten, dass der Dienst ihn erkennt.

Was ist der Nachteil? Obwohl U2F ein offener Standard ist, kostet der Kauf eines physischen U2F-Schlüssels dennoch Geld. Und vielleicht noch besorgniserregender ist, dass Sie durch Diebstahl gefährdet sind.

Ein gestohlener U2F-Schlüssel macht Ihr Konto nicht automatisch unsicher. Ein Hacker müsste immer noch Ihr Passwort kennen. In einem öffentlichen Bereich hat ein Dieb möglicherweise bereits gesehen, dass Sie Ihr Passwort aus der Ferne eingegeben haben, bevor Sie Ihre Besitztümer gestohlen haben.

U2F-Schlüssel können teuer sein

Die Preise variieren erheblich zwischen den Herstellern, aber Sie können damit rechnen, zwischen 15 und 50 US-Dollar zu zahlen.

Idealerweise möchten Sie ein Modell kaufen, das „FIDO-zertifiziert“ ist. Die FIDO-Allianz (Fast IDentity Online) ist für die Interoperabilität zwischen Authentifizierungstechnologien verantwortlich. Mitglieder sind alle von Google und Microsoft über die Bank of America bis hin zu MasterCard.

Durch den Kauf eines FIDO-Geräts können Sie sicher sein, dass Ihr U2F-Schlüssel mit allen Diensten funktioniert, die Sie täglich nutzen. Schauen Sie sich den DIGIPASS SecureClick U2F-Schlüssel an, wenn Sie einen kaufen möchten.

Unsicheres 2FA ist immer noch besser als kein 2FA

Zusammenfassend lässt sich sagen, dass die Universal 2nd Factor-Schlüssel ein gutes Medium zwischen Benutzerfreundlichkeit und Sicherheit darstellen. SMS ist der am wenigsten sichere Ansatz, aber auch der bequemste.

Und denken Sie daran, jeder 2FA ist besser als kein 2FA. Ja, es kann zusätzliche 10 Sekunden dauern, bis Sie sich bei bestimmten Apps angemeldet haben. Dies ist jedoch besser, als Ihre Sicherheit zu beeinträchtigen.