Elemente de care trebuie să fiți conștienți atunci când utilizați 2FA cu site-uri web și servicii
Autentificarea cu doi factori (2FA) este un tip specific de autentificare multifactorială (MFA) care consolidează securitatea accesului prin solicitarea a două metode (denumite și factori de autentificare) pentru a vă verifica identitatea. Acești factori pot include ceva ce știți – cum ar fi un nume de utilizator și o parolă – plus ceva ce aveți – cum ar fi o aplicație pentru smartphone – pentru a aproba cererile de autentificare.
2FA protejează împotriva phishing-ului, a ingineriei sociale și a atacurilor de forțare brută a parolei și vă protejează autentificările de atacatorii care exploatează acreditările slabe sau furate.
Autentificarea cu doi factori (2FA) este elementul de bază al unui model de securitate cu încredere zero. Pentru a proteja datele sensibile, trebuie să verificați dacă utilizatorii care încearcă să acceseze datele respective sunt cine spun că sunt. 2FA este o modalitate eficientă de a vă proteja împotriva multor amenințări de securitate care vizează parolele și conturile utilizatorilor, cum ar fi phishing-ul, atacurile de forță brută, exploatarea credențialelor și altele.
Să spunem că utilizați un nume de utilizator și o parolă pentru a finaliza autentificarea primară la o aplicație. Aceste informații sunt trimise pe internet (rețeaua dvs. primară). Veți dori să utilizați un canal diferit (în afara benzii) pentru a finaliza al doilea factor. Aprobarea unei notificări push trimise prin rețeaua dvs. mobilă este un exemplu de autentificare în afara benzii.
Care sunt tipurile de 2FA?
SMS 2FA
Autentificarea cu doi factori prin SMS validează identitatea unui utilizator prin trimiterea unui cod de securitate prin SMS către dispozitivul său mobil. Utilizatorul introduce apoi codul în site-ul web sau în aplicația la care se autentifică.
TOTP 2FA
Metoda 2FA cu parolă unică bazată pe timp (TOTP – Time-Based One Time Password) generează o cheie la nivel local pe dispozitivul pe care un utilizator încearcă să îl acceseze. Cheia de securitate este, în general, un cod QR pe care utilizatorul îl scanează cu dispozitivul său mobil pentru a genera o serie de numere. Utilizatorul introduce apoi aceste numere în site-ul web sau în aplicație pentru a obține accesul. Codurile de acces generate de autentificatoare expiră după o anumită perioadă de timp, iar unul nou va fi generat data viitoare când un utilizator se conectează la un cont. TOTP face parte din arhitectura de securitate Open Authentication (OAUTH).
Push-Based 2FA
Push-Based 2FA îmbunătățește SMS și TOTP 2FA prin adăugarea de niveluri suplimentare de securitate, îmbunătățind în același timp ușurința de utilizare pentru utilizatorii finali. Push-based 2FA confirmă identitatea unui utilizator cu mai mulți factori de autentificare, ceea ce alte metode nu pot face. Duo Security este principalul furnizor de 2FA bazat pe push.
U2F Tokens
Tokenurile U2F securizează autentificarea cu doi factori prin utilizarea unui port USB fizic pentru a valida locația și identitatea unui utilizator care încearcă să se conecteze. Pentru a utiliza un token U2F, un utilizator introduce tokenul în dispozitivul său și apasă butonul situat în partea superioară a dispozitivului. Odată ce token-ul este activat, utilizatorul introduce PIN-ul și obține acces la conturile sale.
WebAuthn
Creată de FIDO (Fast IDentity Online) Alliance și W3C, Web Authentication API este o specificație care permite înregistrarea și autentificarea prin criptografie puternică, cu cheie publică. WebAuthn (Web Authentication API) permite terților, cum ar fi Duo, să exploateze autentificatoarele biometrice integrate pe laptopuri și smartphone-uri, permițând utilizatorilor să se autentifice rapid și cu instrumentele pe care le au deja la îndemână.
Ce amenințări abordează 2FA?
- Passwords furate
- Tentative de phishing
- Social Engineering
- Brute-Force Attacks
- Broken Logic
- Key Logging
Vulnerabilități în autentificarea cu doi factori
Evadarea autentificării cu doi factori
În anumite momente, implementarea autentificării cu doi factori este imperfectă până la punctul în care poate fi ocolită în întregime.
Dacă utilizatorului i se cere mai întâi să introducă o parolă, iar apoi i se cere să introducă un cod de verificare pe o pagină separată, utilizatorul se află efectiv într-o stare de „autentificare” înainte de a introduce codul de verificare. În acest caz, merită să testați pentru a vedea dacă puteți sări direct la paginile „numai pentru cei conectați” după finalizarea primei etape de autentificare. Ocazional, veți constata că un site web nu verifică efectiv dacă ați finalizat sau nu al doilea pas înainte de a încărca pagina.
Tokenuri de autentificare cu doi factori
Codurile de verificare sunt de obicei citite de utilizator de pe un dispozitiv fizic de un anumit tip. Multe site-uri web de înaltă securitate pun acum la dispoziția utilizatorilor un dispozitiv dedicat în acest scop, cum ar fi tokenul RSA sau dispozitivul cu tastatură pe care l-ați putea folosi pentru a accesa serviciile bancare online sau laptopul de lucru. Pe lângă faptul că sunt construite special pentru securitate, aceste dispozitive dedicate au și avantajul de a genera direct codul de verificare. De asemenea, este obișnuit ca site-urile web să utilizeze o aplicație mobilă dedicată, cum ar fi Google Authenticator, din același motiv.
Pe de altă parte, unele site-uri web trimit codurile de verificare pe telefonul mobil al unui utilizator sub formă de mesaj text. Deși acest lucru este, din punct de vedere tehnic, tot o verificare a factorului „ceva ce ai”, este deschis la abuzuri. În primul rând, codul este transmis prin SMS, în loc să fie generat de dispozitivul în sine. Acest lucru creează posibilitatea ca codul să fie interceptat. Există, de asemenea, riscul schimbului de SIM-uri, prin care un atacator obține în mod fraudulos o cartelă SIM cu numărul de telefon al victimei. Atacatorul ar primi apoi toate mesajele SMS trimise victimei, inclusiv cel care conține codul de verificare al acesteia.
.