Ποια επιλογή ελέγχου ταυτότητας δύο παραγόντων είναι η καλύτερη;
Από την άλλη πλευρά, ο έλεγχος ταυτότητας δύο παραγόντων (2FA) είναι ένα απλό και απίστευτα αποτελεσματικό χαρακτηριστικό ασφαλείας. Στην ουσία, εφαρμόζοντας έλεγχο ταυτότητας δύο παραγόντων, διασφαλίζετε ότι ένας εισβολέας δεν μπορεί να αναλάβει το λογαριασμό ενός θύματος χρησιμοποιώντας μόνο ένα όνομα χρήστη και έναν κωδικό πρόσβασης. Υπάρχει ένα επιπλέον βήμα κατά τη διαδικασία ελέγχου ταυτότητας χωρίς το οποίο δεν θα παραχωρηθεί πρόσβαση. Μέχρι στιγμής, τόσο απλό. Εδώ όμως αρχίζει να γίνεται πιο περίπλοκο.
Τα περισσότερα συστήματα 2FA βασίζονται σε έναν δεύτερο προσωρινό κωδικό πρόσβασης (συχνά αναφέρεται ως κωδικός μίας χρήσης ή OTP), τον οποίο πρέπει να εισαγάγει ο χρήστης για να ξεκλειδώσει τον λογαριασμό του. Σε άλλες περιπτώσεις, η σύνδεση απαιτεί μια συσκευή υλικού ή ένα διακριτικό που λειτουργεί ως απόδειξη ότι ο χρήστης έχει άδεια πρόσβασης στον λογαριασμό. Υπάρχει πολλή συζήτηση σχετικά με ποια είναι η καλύτερη επιλογή - ένα διακριτικό υλικού ή ένα OTP. Το ερώτημα για το ποιο είναι το καλύτερο διακριτικό υλικού έχει επίσης συζητηθεί και το ίδιο ισχύει και για τους διαφορετικούς τρόπους με τους οποίους μπορούν να εφαρμοστούν συστήματα 2FA που βασίζονται σε OTP. Με άλλα λόγια, για πολλούς, το 2FA έθεσε περισσότερα ερωτήματα από ό, τι απάντησε.
Table of Contents
Η συζήτηση OTP
Ένα OTP είναι ένας αρκετά ισχυρός δεύτερος παράγοντας, αλλά πρέπει να εφαρμοστεί σωστά. Για να λειτουργούν τα OTP, πρέπει να είναι μοναδικά και τυχαία. Εάν οι χάκερ μπορούν να καταλάβουν τον αλγόριθμο πίσω από τον μηχανισμό που δημιουργεί OTP, μπορούν να νικήσουν ολόκληρο το σύστημα 2FA. Μπορεί επίσης να είναι σε θέση να επιλύσουν το πρόβλημα αν έχουν αρκετό χρόνο για να μαντέψουν το OTP. Για λόγους χρηστικότητας, συχνά, τα OTP είναι 4- ή 6-ψήφιοι κωδικοί που μπορούν να μαντέψουν με σχετική ευκολία. Γι 'αυτό είναι σημαντικό να διασφαλιστεί ότι λήγουν μετά από ένα λογικό χρονικό διάστημα. Φυσικά, τα κατάλληλα όρια τιμών μπορούν επίσης να εμποδίσουν τους επιτιθέμενους από την ωμή βία να εισέλθουν.
Είναι δίκαιο να πούμε ότι οι περισσότεροι προγραμματιστές και διαχειριστές συστήματος που έχουν επιλέξει 2FA με βάση το OTP τηρούν αυτούς τους κανόνες και οι επιθέσεις αυτού του συγκεκριμένου είδους δεν είναι τόσο συχνές. Όσον αφορά τη μέθοδο παράδοσης για OTP, ωστόσο, τα πράγματα είναι εντελώς διαφορετικά.
Υπάρχουν διάφοροι τρόποι με τους οποίους μπορείτε να παραδώσετε ένα OTP στον χρήστη. Μπορείτε να το κάνετε μέσω email, SMS ή μιας εφαρμογής ελέγχου ταυτότητας στο smartphone τους. Αρκετά άτομα έχουν χάσει την ψυχραιμία τους για το πόσο ανασφαλή είναι μερικά από αυτά τα μέσα. Συζητήσαμε στο παρελθόν, για παράδειγμα, η τεχνολογία πίσω από τα μηνύματα κειμένου που είναι αρκετά παλιά και μπορεί θεωρητικά να επιτρέψει στους χάκερ να παρακολουθούν OTP και να παρακάμψουν το 2FA. Για λίγο τώρα, τα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν επίσης καταδικαστεί ως υπερβολικά ανασφαλή για τη μεταφορά ευαίσθητων πληροφοριών, όπως τα OFA 2FA.
Το γεγονός είναι ότι ο καλύτερος τρόπος για να διασφαλιστεί ότι τα OTPs δεν μπορούν να υποκλαπούν κατά τη μετάδοση δεν είναι να τα μεταδώσετε καθόλου. Αυτός είναι ο λόγος για τον οποίο οι εφαρμογές για κινητά 2FA όπως το Google Authenticator θεωρούνται η καλύτερη επιλογή για συστήματα ελέγχου ταυτότητας δύο παραγόντων που βασίζονται σε OTP και δεν απαιτούν πρόσθετο διακριτικό υλικού. Το πρόβλημα με αυτές τις εφαρμογές, ωστόσο, είναι ότι οι χρήστες που δεν διαθέτουν smartphone δεν μπορούν να τις χρησιμοποιήσουν.
Είναι τα διακριτικά υλικού η λύση;
Η ιδέα των εφαρμογών 2FA προέρχεται από διακριτικά υλικού που χρησιμοποιούν επίσης σύνθετες κρυπτογραφικές συναρτήσεις για τη δημιουργία OTP επί τόπου. Γνωστό ως RSA SecurID, είναι περίπου το μέγεθος ενός κλειδιού fob και έχουν μια μικρή μονόχρωμη οθόνη LCD που δείχνει το τρέχον OTP. Μπορείτε να το δείτε ως λύση, ειδικά εάν ορισμένοι από τους πιθανούς χρήστες σας δεν διαθέτουν smartphone, αλλά υπάρχει ακόμα ένα πράγμα που πρέπει να λάβετε υπόψη. Η εγγενής ευπάθεια με τους κωδικούς μίας χρήσης είναι ότι όπως και οι κανονικοί κωδικοί πρόσβασης, μπορούν επίσης να είναι ηλεκτρονικό ψάρεμα.
Αυτός είναι ο λόγος για τον οποίο, σύμφωνα με τους ειδικούς ασφαλείας, τα πιο ασφαλή συστήματα 2FA βασίζονται σε κλειδιά U2F - μάρκες υλικού που αντί να δημιουργούν και να εμφανίζουν OTP, επικοινωνούν απευθείας με τον υπολογιστή ή την κινητή συσκευή σας και σας ελέγχουν αυτόματα. Είναι αρκετά μικρά για να μεταφέρονται γύρω από ένα μπρελόκ, δεν έχουν μπαταρία και η ασύρματη τεχνολογία που βασίζονται σε ορισμένα από αυτά σημαίνει ότι ο έλεγχος ταυτότητας είναι συχνά στιγμιαίος. Επειδή ο χρήστης δεν απαιτείται να εισαγάγει ένα OTP, αυτή θεωρείται η καλύτερη μέθοδος όσον αφορά τόσο τη χρηστικότητα όσο και την ασφάλεια. Ωστόσο, δεν είναι ακόμα τέλειο.
Σε αντίθεση με τις εφαρμογές 2FA, τα μηνύματα ηλεκτρονικού ταχυδρομείου και, στις περισσότερες περιπτώσεις, τα μηνύματα κειμένου, τα κλειδιά U2F δεν είναι δωρεάν. Η επένδυση δεν είναι τεράστια, αλλά το λυπηρό γεγονός είναι ότι οι περισσότεροι χρήστες δεν ενδιαφέρονται ιδιαίτερα να πληρώσουν για ασφάλεια, και ακόμη και μια λογική τιμή μπορεί να είναι αρκετό για ένα εμπόδιο για αυτούς. Προφανώς, υπάρχει και το πρόβλημα της απώλειας των μικρών κουπονιών.
Πώς να επιλέξετε την καταλληλότερη εφαρμογή 2FA για την υπηρεσία σας;
Συνολικά, δεν υπάρχει «το τέλειο 2FA». Ορισμένες εφαρμογές είναι πιο ασφαλείς από άλλες, αλλά όλες έχουν τα δικά τους ξεχωριστά ζητήματα, πράγμα που σημαίνει ότι εάν χρησιμοποιείτε μια διαδικτυακή υπηρεσία, πρέπει να αποφασίσετε τι είδους 2FA πρόκειται να εφαρμόσετε με βάση τους χρήστες, τις ανάγκες τους, και τα μοντέλα απειλής τους. Για επιπλέον ευελιξία, οι περισσότεροι πάροχοι υπηρεσιών επιτρέπουν στους χρήστες να επιλέξουν ποια εφαρμογή 2FA θέλουν να χρησιμοποιήσουν από μια λίστα με πολλές διαφορετικές επιλογές και αυτή είναι ίσως η πιο λογική προσέγγιση, δεδομένου του πόσο διαφορετική μπορεί να είναι η βάση χρήστη.
Βεβαιωθείτε ότι δεν ξεχνάτε ένα πράγμα - ακόμα και το πιο ανασφαλές 2FA είναι καλύτερο από το 2FA.
