Sikkerhedsproblemer med to-faktor-autentifikation (2FA)

To-faktor-autentifikation (2FA) er en særlig type af multi-faktor-autentifikation (MFA), der styrker adgangssikkerheden ved at kræve to metoder (også kaldet autentifikationsfaktorer) til at bekræfte din identitet. Disse faktorer kan omfatte noget, du kender – f.eks. et brugernavn og en adgangskode – plus noget, du har – f.eks. en smartphone-app – til at godkende godkendelsesanmodninger.

2FA beskytter mod phishing, social engineering og brute-force-angreb på adgangskoder og sikrer dine logins mod angribere, der udnytter svage eller stjålne legitimationsoplysninger.

Two-factor authentication (2FA) er grundelementet i en sikkerhedsmodel med nul tillid. For at beskytte følsomme data skal du verificere, at de brugere, der forsøger at få adgang til disse data, er dem, de siger, de er. 2FA er en effektiv måde at beskytte mod mange sikkerhedstrusler, der er rettet mod brugernes adgangskoder og konti, f.eks. phishing, brute-force-angreb, udnyttelse af legitimationsoplysninger m.m.

Lad os sige, at du bruger et brugernavn og en adgangskode til at gennemføre primær autentificering til et program. Disse oplysninger sendes over internettet (dit primære netværk). Du ønsker at bruge en anden (out-of-band) kanal til at udfylde din anden faktor. Godkendelse af en push-meddelelse, der sendes via dit mobilnetværk, er et eksempel på out-of-band-autentifikation.

Hvad er typerne af 2FA?

SMS 2FA

howtogeek.com

SMS to-faktor-godkendelse validerer en brugers identitet ved at sende en sikkerhedskode til deres mobilenhed via sms. Brugeren indtaster derefter koden på det websted eller i den applikation, som han/hun skal autentificere sig på.

TOTP 2FA

blog.meteor.com

Den tidsbaserede TOTP-metode (Time-Based One Time Password) 2FA-metode genererer en nøgle lokalt på den enhed, som en bruger forsøger at få adgang til. Sikkerhedsnøglen er som regel en QR-kode, som brugeren scanner med sin mobilenhed for at generere en række tal. Brugeren indtaster derefter disse numre på webstedet eller i programmet for at få adgang. De adgangskoder, der genereres af autenticatorer, udløber efter et vist tidsrum, og der genereres en ny kode næste gang brugeren logger på en konto. TOTP er en del af sikkerhedsarkitekturen Open Authentication (OAUTH).

Push-Based 2FA

how-to-geek

Push-baseret 2FA forbedrer SMS og TOTP 2FA ved at tilføje yderligere lag af sikkerhed og samtidig forbedre brugervenligheden for slutbrugerne. Push-baseret 2FA bekræfter en brugers identitet med flere autentifikationsfaktorer, hvilket andre metoder ikke kan. Duo Security er den førende leverandør af push-baseret 2FA.

U2F-tokens

wellesley.edu

U2F-tokens sikrer to-faktor-autentificering ved at bruge en fysisk USB-port til at validere placeringen og identiteten af en bruger, der forsøger at logge ind. For at bruge et U2F-token indsætter en bruger tokenet i sin enhed og trykker på knappen på toppen af enheden. Når tokenet er aktiveret, indtaster brugeren sin pinkode og får adgang til sine konti.

WebAuthn

inovex.de

Web Authentication API er udarbejdet af FIDO-alliancen (Fast IDentity Online) og W3C og er en specifikation, der muliggør registrering og autentificering med stærk, offentlig nøglekryptografi. WebAuthn (Web Authentication API) gør det muligt for tredjeparter som Duo at udnytte indbyggede biometriske autentificatorer på bærbare computere og smartphones, så brugerne kan autentificere sig hurtigt og med de værktøjer, de allerede har ved hånden.

Hvilke trusler adresserer 2FA?

  • Stjålne adgangskoder
  • Phishing-forsøg
  • Social Engineering
  • Brute-Force-angreb
  • Brudt logik
  • Logning af nøgler

Sårbarheder i to-faktor-autentificering

Ombrydelse af to-faktor-autentificering

I nogle tilfælde, er implementeringen af to-faktor-autentificering så mangelfuld, at den kan omgås helt.

Hvis brugeren først bliver bedt om at indtaste en adgangskode og derefter bedt om at indtaste en bekræftelseskode på en separat side, er brugeren faktisk i en “logget ind”-tilstand, før han har indtastet bekræftelseskoden. I dette tilfælde er det værd at teste, om man kan springe direkte over til sider, hvor brugeren kun er logget ind, efter at have gennemført det første godkendelsestrin. Af og til vil du opleve, at et websted faktisk ikke kontrollerer, om du har gennemført det andet trin, før siden indlæses.

Token til to-faktor-godkendelse

Verifikationskoder læses normalt af brugeren fra en fysisk enhed af en eller anden art. Mange højsikkerhedswebsteder giver nu brugerne en dedikeret enhed til dette formål, f.eks. den RSA-token eller tastaturenhed, som du måske bruger til at få adgang til din netbank eller din bærbare computer på arbejdet. Ud over at være bygget specielt til sikkerhedsformål har disse dedikerede enheder også den fordel, at de genererer verifikationskoden direkte. Det er også almindeligt, at websteder bruger en dedikeret mobilapp, f.eks. Google Authenticator, af samme grund.

På den anden side sender nogle websteder bekræftelseskoder til en brugers mobiltelefon som en sms. Selv om dette teknisk set stadig er en verificering af faktoren “noget du har”, er det åbent for misbrug. For det første overføres koden via sms i stedet for at blive genereret af enheden selv. Dette skaber mulighed for, at koden kan opsnappes. Der er også en risiko for SIM-swapping, hvor en angriber på bedragerisk vis får et SIM-kort med offerets telefonnummer. Angriberen vil så modtage alle sms-beskeder, der sendes til offeret, herunder den, der indeholder deres bekræftelseskode.