É hora de parar de usar aplicativos SMS e 2FA para autenticação de dois fatores

Propaganda

Atualmente, parece que todos os sites que você visita tentam encorajá-lo a use autenticação de dois fatores (2FA).

Uma das maneiras mais comuns de usar o 2FA é inserir um código exclusivo do seu dispositivo móvel. Normalmente, você recebe o código em uma mensagem de texto ou usa um aplicativo 2FA de terceiros para gerar um.

Os dois métodos são maneiras populares de usar códigos devido à sua conveniência. No entanto, ambos os métodos também são fracos do ponto de vista de segurança. E como o seu código 2FA é tão seguro quanto a tecnologia usada para fornecê-lo, os pontos fracos são importantes.

Então, o que há de errado com usando SMS e aplicativos de terceiros para acessar seus códigos O que são logins sem senha? Eles são realmente seguros?Logins sem senha estão chegando. Eles estão seguros? Como diabos os logins sem senha funcionam? Aqui está o que você precisa saber. consulte Mais informação ? E existe uma alternativa igualmente conveniente e mais segura? Nós vamos explicar tudo. Continue lendo para descobrir mais.

Como funciona a autenticação de dois fatores

Vamos discutir um pouco como funciona a autenticação de dois fatores. Sem entender a mecânica por trás da tecnologia, o restante deste artigo não fará muito sentido.

Em termos gerais, 2FA adiciona uma camada extra de segurança à sua conta Como proteger suas contas com 2FA: Gmail, Outlook e muito maisA autenticação de dois fatores pode ajudar a proteger seu email e redes sociais? Aqui está o que você precisa saber para obter segurança online. consulte Mais informação . Também conhecidas como autenticação multifatorial, as credenciais de login consistem não apenas em uma senha, mas também em uma segunda informação que somente o proprietário legítimo da conta tem acesso.

2FA vem em várias formas diferentes Os prós e os contras dos métodos e tipos de autenticação de dois fatoresMétodos de autenticação de dois fatores não são criados iguais. Alguns são comprovadamente mais seguros e seguros. Veja a seguir os métodos mais comuns e quais melhor atendem às suas necessidades individuais. consulte Mais informação . No nível mais básico, pode ser algo tão simples quanto perguntas de segurança (porque ninguém mais poderia saber o nome de solteira da sua mãe Por que você está respondendo perguntas de segurança com senha erradasComo você responde às perguntas de segurança da conta online? Respostas honestas? Infelizmente, sua honestidade pode criar uma fenda na sua armadura online. Vamos dar uma olhada em como responder com segurança às perguntas de segurança. consulte Mais informação ou seu animal de estimação favorito). No final mais complicado, poderia ser um ID biométrico, como uma retina ou uma impressão digital.

Por que você deve evitar a verificação por SMS

O SMS goza de uma posição como a maneira mais acessível de acessar e usar códigos 2FA. Se um site oferece logins de autenticação de dois fatores, quase certamente oferece o SMS como uma das opções.

Mas o SMS não é uma maneira segura de usar o 2FA. Possui duas principais vulnerabilidades.

Em primeiro lugar, a tecnologia é suscetível a ataques de troca de SIM. Não é preciso muito para um hacker realizar uma troca de SIM. Se eles tiverem acesso a outra informação pessoal - como seu número de previdência social -, poderão ligar para sua operadora e mover seu número para um novo cartão SIM.

Em segundo lugar, os hackers podem interceptar mensagens SMS. Tudo volta ao atual sistema de roteamento de telefone do Signaling System No. 7 (SS7). A metodologia foi projetada em 1975, mas ainda é usada quase globalmente para conectar e desconectar chamadas. Ele também lida com traduções de números, cobrança pré-paga e, crucialmente, mensagens SMS.

Sem surpresa, essa tecnologia de 1975 está cheia de falhas de segurança. Aqui está como especialista em segurança Bruce Schneier descreveu as falhas:

“Se os invasores tiverem acesso a um portal SS7, eles poderão encaminhar suas conversas para um dispositivo de gravação online e redirecionar a chamada para seu destino pretendido [...] Isso significa que um criminoso bem equipado pode pegar suas mensagens de verificação e usá-las antes mesmo de ver eles."

Claro, descobrir que um cibercriminoso tem hackeado seu Facebook Como descobrir se sua conta do Facebook foi invadidaCom o Facebook abrigando tantos dados, você precisa manter sua conta segura. Veja como descobrir se o seu Facebook foi invadido. consulte Mais informação conta está longe de ser ideal. Mas a situação é mais assustadora quando você considera outros usos do 2FA. Um cibercriminoso pode roubar códigos usados ​​em seu banco on-line ou até iniciar e concluir transferências de dinheiro Os 6 melhores aplicativos para enviar dinheiro para amigosDa próxima vez que você precisar enviar dinheiro para amigos, confira esses ótimos aplicativos móveis para enviar dinheiro para qualquer pessoa em questão de minutos. consulte Mais informação .

Além disso, Schneier também afirma que qualquer pessoa pode adquirir acesso à rede SS7 por cerca de US $ 1.000. Depois de terem acesso, eles podem enviar uma solicitação de roteamento. Para concluir o problema, a rede pode não autenticar a origem da solicitação.

Lembre-se de que usar a autenticação de dois fatores via SMS é melhor do que deixar o 2FA desativado. E provavelmente é improvável que você se torne uma vítima. No entanto, se você está começando a se sentir um pouco preocupado, precisa continuar lendo. Muitas pessoas aceitam que o SMS é inseguro e recorrem a aplicativos de terceiros.

Mas isso pode não ser muito melhor.

Por que você deve evitar os aplicativos 2FA

A outra maneira comum de usar códigos 2FA é instalar um aplicativo dedicado para smartphone. Há muito por onde escolher. O Google Authenticator é sem dúvida o mais reconhecível, mas não é necessariamente o melhor. Existem muitas alternativas por aí - confira Authy, Authenticator Plus e Duo.

Mas quão seguros são os aplicativos 2FA especializados? Sua maior fraqueza é a sua dependência de uma chave secreta.

Vamos dar um passo atrás por um segundo. Caso você não saiba, ao se inscrever em muitos aplicativos pela primeira vez, será necessário inserir uma chave secreta. O segredo é compartilhado entre você e o provedor do aplicativo.

Quando você acessa um site, o código que o aplicativo cria é baseado na combinação de sua chave e a hora atual. No mesmo momento, o servidor está gerando um código usando as mesmas informações. Os dois códigos precisam corresponder para que o acesso seja concedido. Parece sensato.

Então, por que as chaves são o ponto fraco? Bem, o que acontece se um cibercriminoso conseguir obter acesso ao banco de dados de senhas e segredos de uma empresa? Toda conta seria vulnerável - o atacante poderia ir e vir Como verificar se outra pessoa está acessando sua conta do FacebookÉ sinistro e preocupante se alguém tiver acesso à sua conta do Facebook sem o seu conhecimento. Veja como saber se você foi violado. consulte Mais informação à vontade.

Em segundo lugar, o segredo é exibido em texto sem formatação ou como um código QR; não pode ser hash ou usado com um sal O que todo esse material de hash MD5 realmente significa [tecnologia explicada]Aqui está um resumo completo do MD5, hash e uma pequena visão geral de computadores e criptografia. consulte Mais informação . Provavelmente também está em texto sem formatação nos servidores da empresa.

A chave secreta é a falha fundamental na TOTP (senha de uso único com base no tempo) usada por aplicativos especializados. É por isso que uma chave U2F física é sempre uma opção mais segura.

Falhas no design e na segurança de aplicativos 2FA

Obviamente, as chances de um cibercriminoso invadir os bancos de dados necessários de um aplicativo de terceiros são bastante pequenas. Mas seu aplicativo também pode sofrer falhas básicas de segurança em seu design.

Popular gerenciador de senhas LastPass 8 maneiras fáceis de sobrecarregar sua segurança LastPassVocê pode estar usando o LastPass para gerenciar suas muitas senhas on-line, mas está usando certo? Aqui estão oito etapas que você pode seguir para tornar sua conta LastPass ainda mais segura. consulte Mais informação foi vítima em dezembro de 2017. UMA postagem do blog do programador no Medium As chaves secretas 2FA reveladas podem ser acessadas sem impressão digital, senha ou outras medidas de segurança.

A solução alternativa não foi nem complicada. Acessando a atividade de configurações do aplicativo LastPass Authenticator (com.lastpass.authenticator.activities. SettingsActivity), pode-se entrar no painel de configurações do aplicativo sem nenhuma verificação. A partir daí, você pode pressionar Costas uma vez para acessar todos os códigos 2FA.

O LastPass já corrigiu a falha, mas as perguntas permanecem. Segundo o programador, ele tentou contar ao LastPass sobre o problema por sete meses, mas a empresa nunca o corrigiu. Quantos outros aplicativos 2FA de terceiros são inseguros? E quantas vulnerabilidades não corrigidas os desenvolvedores conhecem, mas atrasam o patch? Também existem preocupações quando se trata de perdendo o acesso ao seu gerador de código no Facebook Como entrar no Facebook se você perdeu o acesso ao Code GeneratorPerdeu o acesso ao gerador de código do Facebook? Este artigo aborda métodos alternativos para fazer login na sua conta do Facebook. consulte Mais informação por exemplo.

O que fazer em vez disso: use chaves U2F

Em vez de confiar no SMS e 2FA para seus códigos, você deve usar Chaves universais do 2º fator O que são chaves U2F e onde elas são suportadas?As chaves U2F são uma das melhores maneiras de manter suas contas seguras. Mas onde as chaves U2F são suportadas? consulte Mais informação (U2F). Eles são a maneira mais segura de gerar códigos e acessar seus serviços.

Amplamente considerada uma versão de segunda geração do 2FA, simplifica e fortalece o protocolo atual. Além disso, o uso de teclas U2F é quase tão conveniente quanto abrir uma mensagem SMS ou aplicativo de terceiros.

As teclas U2F usam uma conexão NFC ou USB. Quando você conecta seu dispositivo a uma conta pela primeira vez, ele gera um número aleatório chamado "Nonce". O Nonce é hash com o nome de domínio do site para criar um código exclusivo.

Posteriormente, você pode implantar sua chave U2F conectando-a ao dispositivo e aguardando o reconhecimento do serviço.

Então, qual é a desvantagem? Bem, mesmo que o U2F seja um padrão aberto, ainda custa dinheiro comprar uma chave física do U2F. E talvez mais preocupante, você corre o risco de roubo.

Uma chave U2F roubada não torna sua conta automaticamente insegura; um hacker ainda precisará saber sua senha. Mas em uma área pública, um ladrão já deve ter visto você digitar sua senha de longe, antes de roubar seus pertences.

Chaves U2F podem ser caras

Os preços variam consideravelmente entre os fabricantes, mas você pode esperar pagar entre US $ 15 e US $ 50.

Idealmente, você deseja comprar um modelo que seja "certificado pela FIDO". A Aliança FIDO (Fast IDentity Online) é responsável por alcançar a interoperabilidade entre as tecnologias de autenticação. Os membros incluem todos, do Google e Microsoft, ao Bank of America e MasterCard.

Ao comprar um dispositivo FIDO, você pode ter certeza de que a chave U2F funcionará com todos os serviços que você usa todos os dias. Confira a chave DIGIPASS SecureClick U2F se você quiser comprar uma.

2FA inseguro ainda é melhor que o 2FA

Para resumir, as chaves universais do 2º fator fornecem um meio termo entre facilidade de uso e segurança. O SMS é a abordagem menos segura, mas também a mais conveniente.

E lembre-se, qualquer 2FA é melhor que nenhum 2FA. Sim, pode levar mais 10 segundos para fazer login em determinados aplicativos, mas é melhor do que sacrificar sua segurança.