Säkerhetsklocka: gör du verkligen säkrare med tvåfaktorautentisering?

Den här veckan gräver jag tillbaka i min bottenlösa brevväska för att ta itu med en annan fråga om tvåfaktorautentisering (2FA). Det är ett ämne som jag har berört tidigare, men utifrån volymen och specificiteten på de frågor jag har fått om det är det helt klart en fråga som många tänker på. Eftersom jag ser på 2FA som, kanske, det enskilt bästa som vanliga människor kan göra för att hålla sig säkra på nätet, är jag mer än glad att prata oändligt om det.

Dagens fråga kommer från Ted, som skrev och frågade om 2FA-system verkligen är allt de är knäckta till. Observera att Teds brev har redigerats för korthet. Ted börjar sitt meddelande genom att hänvisa till några av mina andra skrivningar på 2FA.

Du skrev "När du har registrerat din säkerhetsnyckel kommer SMS-lösenkoder att vara ett alternativ för säkerhetskopiering om du tappar eller inte får åtkomst till din nyckel." Om detta är sant, varför är den här enheten säkrare än en 2FA SMS-kod? Som du också skrev: "Men telefoner kan stulas och SIM-jacking är tydligen en sak som vi behöver oroa oss för nu."

Vad kan du förhindra att någon säger till Google att de är du, har tappat säkerhetsnyckeln och behöver en SMS-kod som skickas till din stulna / jackade telefon? Om jag förstår detta korrekt, är den här enheten inte säkrare än 2FA SMS-texter. Det är mycket bekvämare, det är säkert, men jag ser inte hur det är säkrare.

Är resultatet av allt detta att säkerhetsnyckeln kommer att öka din säkerhet, men bara för att du är mer benägen att använda den, inte för att den i sig är säkrare än 2FA? Vad saknar jag?

Du saknar ingenting, Ted. I själva verket är du smart att ta reda på en grundläggande fråga som ligger till grund för en hel del av säkerheten kring online-autentisering: hur kan du säkert verifiera vem som är, utan att göra det omöjligt för dem att återställa sina konton?

Grunderna i 2FA

Låt oss först täcka några grunder. Tvåfaktorautentisering, eller 2FA, är ett säkerhetskoncept där du måste presentera två bevis på identitet, kallad faktorer, från en lista över möjliga tre.

• Något du vet , till exempel ett lösenord.

• Något du har , till exempel en telefon.

• Något du är , till exempel ditt fingeravtryck.

I praktiska termer betyder 2FA ofta en andra sak som du gör efter att du har angett ditt lösenord för att logga in på en webbplats eller tjänst. Lösenordet är den första faktorn, och det andra kan vara antingen ett SMS-meddelande som skickas till din telefon med en speciell kod eller med Apples FaceID på en iPhone. Tanken är att medan ett lösenord kan gissas eller stulas, är det mindre troligt att en angripare kan få både ditt lösenord och din andra faktor.

I sitt brev frågar Ted specifikt om hårdvaru 2FA-nycklar. Yubicos YubiKey-serie är förmodligen det mest kända alternativet, men det är långt ifrån det enda alternativet. Google har sina egna Titan Security-nycklar och Nitrokey erbjuder en open source-nyckel för att bara nämna två.

De praktiska fallgroparna

Inget säkerhetssystem är perfekt, och 2FA är inte annorlunda. Guemmy Kim, produktledning för Googles kontosäkerhetsgrupp, påpekade med rätta att många av de system vi litar på för återställning av konton och 2FA är mottagliga för phishing. Det är här dåliga killarna använder falska webbplatser för att lura dig att skriva in privat information.

En smart angripare kan potentiellt smitta din telefon med en Trojan för fjärråtkomst som låter dem se eller till och med fånga upp SMS-verifieringskoder som skickas till din enhet. Eller så kan de skapa en övertygande phishing-sida för att lura dig att ange en engångskod som genereras från en app som Google Authenticator. Till och med mitt alternativ för papperskopior kan fångas av en phishing-webbplats som lurade mig att ange en kod.

En av de mest exotiska attackerna skulle vara SIM-jackning, där en angripare klonar ditt SIM-kort eller lurar ditt telefonselskab att avregistrera ditt SIM-kort för att avlyssna dina SMS-meddelanden. I det här scenariot kan angriparen mycket effektivt efterge dig, eftersom de kan använda ditt telefonnummer som sitt eget.

En inte-exotisk attack är vanlig gammal förlust och stöld. Om din telefon eller en app på din telefon är din primära autentiserare och du tappar den kommer det att bli en huvudvärk. Detsamma gäller för hårdvaruknappar. Även om hårdvarusäkerhetsnycklar, som Yubico YubiKey, är svåra att bryta, är de väldigt enkla att förlora.

Yubico Yubikey Series 5 finns i många olika konfigurationer.

Problemet med återställning av konto

Det Ted påpekar i sitt brev är att många företag kräver att du installerar en andra 2FA-metod, utöver en hårdvarusäkerhetsnyckel. Google kräver till exempel att du använder antingen SMS, installerar företagets Authenticator-app eller registrerar din enhet för att få push-aviseringar från Google som verifierar ditt konto. Det verkar som om du behöver minst ett av dessa tre alternativ som en säkerhetskopia till något annat 2FA-alternativ du använder - till exempel Titan-tangenterna från Google.

Även om du registrerar en andra säkerhetsnyckel som säkerhetskopia måste du fortfarande aktivera SMS, Google Authenticator eller push-aviseringar. Om du vill använda Googles avancerade skyddsprogram krävs att du registrerar en ny nyckel.

På samma sätt kräver Twitter också att du använder antingen SMS-koder eller en autentiseringsapp förutom en valfri hårdvarusäkerhetsnyckel. Tyvärr tillåter Twitter bara dig att registrera en säkerhetsnyckel åt gången.

Som Ted påpekade är dessa alternativa metoder tekniskt mindre säkra än att använda en säkerhetsnyckel i sig själv. Jag kan bara gissa varför dessa system implementerades på detta sätt, men jag misstänker att de vill se till att deras kunder alltid kan komma åt sina konton. SMS-koder och autentiseringsappar är tidtestade alternativ som är lätta för människor att förstå och inte kräver att de köper ytterligare enheter. SMS-koder hanterar också problemet med enhetsstöld. Om du tappar telefonen eller om den är stulen kan du låsa den på distans, avautorisera SIM-kortet och få en ny telefon som kan få SMS-koderna för att komma tillbaka online.

Personligen gillar jag att ha flera alternativ tillgängliga eftersom jag är bekymrad över säkerhet och jag känner också mig själv och vet att jag tappar eller bryter saker ganska regelbundet. Jag vet att människor som aldrig har använt 2FA tidigare är mycket bekymrade över att hitta sig låsta ur sitt konto om de använder 2FA.

2FA är faktiskt väldigt bra

Det är alltid viktigt att förstå nackdelarna med något säkerhetssystem, men det gör inte systemet ogiltigt. Medan 2FA har sina svagheter har den varit enormt framgångsrik.

Återigen måste vi bara se till Google. Företaget krävde internt hårdvara 2FA-nycklar och resultaten talar för sig själva. Framgångsrika kontoövertaganden av Google-anställda försvann effektivt. Detta är särskilt viktigt med tanke på att Google-anställda, med sin position inom teknikindustrin och (förmodad) rikedom, är främsta för riktade attacker. Det är här angriparna lägger stor ansträngning på att rikta in sig på specifika individer i en attack. Det är sällsynt, och vanligtvis framgångsrik om angriparen har tillräckligt med medel och tålamod.

Google Titan Security Key Bundle innehåller USB-A- och Bluetooth-nycklar.

Förbehållet här är att Google krävde en specifik typ av 2FA: hårdvarusäkerhetsnycklar. Dessa har fördelen jämfört med andra 2FA-scheman som mycket svåra att phish eller på annat sätt fånga upp. Vissa kan säga omöjligt, men jag såg vad som hände med Titanic och vet bättre.

Ändå är metoderna för att fånga upp 2FA SMS-koder eller autentiseringsmärken ganska exotiska och skalar inte riktigt bra. Det betyder att de troligtvis inte kommer att användas av den genomsnittliga kriminella, som vill tjäna lite pengar så snabbt och enkelt som möjligt, på den genomsnittliga personen, som du.

Till Teds punkt: hårdvarusäkerhetsnycklar är det säkraste sättet vi ännu inte har sett att göra 2FA. De är väldigt svåra att phish och mycket svåra att attackera, även om de inte är utan deras inneboende svagheter. Dessutom är 2FA hårdvaruknappar framtidssäkrad till viss del. Många företag flyttar sig från SMS-koder, och vissa har till och med tagit in lösenordslösa inloggningar som helt och hållet förlitar sig på hårdvaru 2FA-nycklar som använder FIDO2-standarden. Om du använder en hårdvaruknapp nu, finns det en god chans att du kommer att vara säker i många år framöver.

Nitrokey FIDO U2F lovar öppen källkodssäkerhet.

• Tvåfaktorautentisering: Vem har det och hur man ställer in det Tvåfaktorsautentisering: Vem har det och hur man ställer in det
• Google: Phishing-attacker som kan slå tvåfaktorer ökar Google: Phishing-attacker som kan slå tvåfaktorer är på väg
• SecurityWatch: Hur man inte låses ut med tvåfaktorautentisering SecurityWatch: Hur man inte låses ut med tvåfaktorautentisering

Lika säkert som 2FA-nycklar är, kräver det större ekosystemet några kompromisser för att förhindra att du låser dig från ditt konto onödigt. 2FA måste vara en teknik som människor faktiskt använder, annars är det inte värt någonting alls.

Med tanke på valet tror jag att de flesta kommer att använda app- och SMS-baserade 2FA-alternativ eftersom de är lättare att installera och effektivt gratis. Dessa är kanske inte de bästa alternativen, men de fungerar mycket bra för de flesta. Det kan dock ändras snart när Google låter dig använda en mobil enhet som kör Android 7.0 eller senare som en hårdvarusäkerhetsnyckel.

Trots sina begränsningar är 2FA förmodligen det enskilt bästa för konsumenternas säkerhet sedan antivirus. Det förhindrar snyggt och effektivt några av de mest förödande attackerna, allt utan att lägga till för mycket komplexitet i människors liv. Men du bestämmer dig för att använda 2FA, välj en metod som är vettig för dig. Att inte använda 2FA är mycket mer skadligt än att använda en något mindre bra 2FA-smak.