Es ist an der Zeit, SMS und 2FA-Apps für die Zwei-Faktor-Authentifizierung zu verwenden
Anscheinend versucht jede Website, die Sie jemals besuchen, die Verwendung der Zwei-Faktor-Authentifizierung (2FA) anzuregen..
Eine der gebräuchlichsten Methoden zur Verwendung von 2FA ist die Eingabe eines eindeutigen Codes von Ihrem Mobilgerät aus. In der Regel erhalten Sie den Code in einer Textnachricht oder Sie verwenden eine 2FA-App eines Drittanbieters, um eine solche zu generieren.
Beide Methoden sind aufgrund ihrer Bequemlichkeit beliebte Methoden, um Codes zu verwenden. Beide Methoden sind jedoch auch aus Sicherheitsgründen schwach. Und da Ihr 2FA-Code nur so sicher ist wie die Technologie, mit der er bereitgestellt wird, sind die Schwächen wichtig.
Was ist also falsch an der Verwendung von SMS und Apps von Drittanbietern, um auf Ihre Codes zuzugreifen? Und gibt es eine ebenso bequeme Alternative, die sicherer ist? Wir werden alles erklären. Lesen Sie weiter, um mehr zu erfahren.
Wie funktioniert die Zwei-Faktor-Authentifizierung?
Nehmen wir uns einen Moment Zeit, um zu diskutieren, wie die Zwei-Faktor-Authentifizierung funktioniert. Ohne die Mechanismen der Technologie zu verstehen, macht der Rest dieses Artikels keinen Sinn.
Im Allgemeinen fügt 2FA Ihrem Konto eine zusätzliche Sicherheitsebene hinzu. Anmeldeinformationen, die auch als Multi-Faktor-Authentifizierung bezeichnet werden, bestehen nicht nur aus einem Kennwort, sondern auch aus einer zweiten Information, auf die nur der rechtmäßige Eigentümer des Kontos Zugriff hat.
2FA gibt es in vielen verschiedenen Formen. Vor- und Nachteile von Zwei-Faktor-Authentifizierungstypen und -methoden Vor- und Nachteile von Zwei-Faktor-Authentifizierungstypen und -methoden Zwei-Faktor-Authentifizierungsmethoden sind nicht gleichwertig. Einige sind nachweislich sicherer und sicherer. Hier erhalten Sie einen Überblick über die gebräuchlichsten Methoden, die Ihren individuellen Bedürfnissen am besten entsprechen. Weiterlesen . Auf der einfachsten Ebene könnte es etwas so einfaches wie Sicherheitsfragen sein (da sonst niemand den Mädchennamen Ihrer Mutter wissen könnte. Warum beantworten Sie Passwort-Sicherheitsfragen? Warum ?: Warum beantworten Sie Passwort-Sicherheitsfragen? Wie ist Ihre Online-Antwort? Fragen zur Sicherheit Ihres Kontos? Ehrliche Antworten? Leider kann Ihre Ehrlichkeit Ihre Online-Rüstung reißen. Sehen Sie sich an, wie Sie Sicherheitsfragen sicher beantworten können. Weitere Informationen oder Ihr Lieblingshaustier. Am komplizierteren Ende könnte es sich um eine biometrische ID handeln, beispielsweise einen Retina-Scan oder einen Fingerabdruck.
Warum sollten Sie die SMS-Überprüfung vermeiden?
SMS hat eine Position als die am besten zugängliche Möglichkeit, auf 2FA-Codes zuzugreifen und diese zu verwenden. Wenn eine Site Zwei-Faktor-Authentifizierungs-Logins anbietet, bietet SMS fast immer eine der Optionen.
SMS ist jedoch kein sicherer Weg, um 2FA zu verwenden. Es gibt zwei Hauptanfälligkeiten.
Erstens ist die Technologie anfällig für SIM-Swap-Angriffe. Ein Hacker braucht nicht viel, um einen SIM-Swap durchzuführen. Wenn sie Zugriff auf eine andere persönliche Information haben, wie z. B. Ihre Sozialversicherungsnummer, können sie Ihren Mobilfunkanbieter anrufen und Ihre Nummer auf eine neue SIM-Karte verschieben.
Zweitens können Hacker SMS abfangen. Es kommt alles auf das jetzt datierte Telefon-Routing-System Signaling System No. 7 (SS7) zurück. Die Methodik wurde bereits 1975 entwickelt, wird aber fast immer noch weltweit zum Verbinden und Trennen von Anrufen verwendet. Außerdem werden Zahlenübersetzungen, Prepaid-Abrechnungen und vor allem SMS-Nachrichten verarbeitet.
Es überrascht nicht, dass diese Technologie aus dem Jahr 1975 voller Sicherheitslücken ist. So beschrieb Sicherheitsexperte Bruce Schneier die Fehler:
“Wenn die Angreifer Zugriff auf ein SS7-Portal haben, können sie Ihre Gespräche an ein Online-Aufzeichnungsgerät weiterleiten und den Anruf an das vorgesehene Ziel umleiten […] Dies bedeutet, dass ein gut ausgestatteter Krimineller Ihre Bestätigungsnachrichten abholen und verwenden kann, bevor Sie sie verwenden sie sogar gesehen.”
Wenn Sie herausfinden, dass ein Cyberkrimineller Ihr Facebook gehackt hat, können Sie herausfinden, ob Ihr Facebook-Konto gehackt wurde. Wie Sie herausfinden können, ob Ihr Facebook-Konto gehackt wurde. Angesichts der Menge an Daten, die wir unseren Profilen hinzugefügt haben, ist es wichtiger als jemals zuvor, um sicherzustellen, dass Sie die Datenschutzeinstellungen von Facebook im Auge behalten. Lesen Sie mehr Konto ist alles andere als ideal. Die Situation ist jedoch erschreckender, wenn Sie andere Anwendungen von 2FA in Betracht ziehen. Ein Cyber-Krimineller kann Codes stehlen, die Sie in Ihrem Online-Banking verwenden, oder sogar Geldüberweisungen initiieren und abschließen. 6 Apps, die Ihnen helfen, Geld zwischen Freunden zu übertragen. 6 Apps, die Ihnen helfen, Geld zwischen Freunden zu transferieren. Manchmal müssen Sie Geld schnell und sicher an Freunde senden . Hier sind sechs der besten verfügbaren Optionen. Weiterlesen .
Darüber hinaus behauptet Schneier, dass jeder für rund 1.000 US-Dollar Zugang zum SS7-Netzwerk erwerben kann. Sobald sie Zugriff haben, können sie eine Routing-Anfrage senden. Um das Problem zu lösen, kann das Netzwerk die Quelle der Anfrage möglicherweise nicht authentifizieren.
Denken Sie daran, dass die Zwei-Faktor-Authentifizierung über SMS besser ist als die Deaktivierung von 2FA. Und es ist wahrscheinlich unwahrscheinlich, dass Sie ein Opfer werden. Wenn Sie sich jedoch etwas besorgt fühlen, müssen Sie weiterlesen. Viele Menschen akzeptieren, dass SMS unsicher ist, und greifen stattdessen auf Apps von Drittanbietern zurück.
Das kann aber nicht viel besser sein.
Warum sollten Sie 2FA-Apps vermeiden?
Die andere übliche Methode zur Verwendung von 2FA-Codes ist die Installation einer dedizierten Smartphone-App. Es gibt viele zur Auswahl. Google Authenticator ist wohl der bekannteste, aber nicht unbedingt der beste. Authy, Authenticator Plus und Duo gibt es viele Alternativen.
Aber wie sicher sind spezialisierte 2FA-Apps? Ihre größte Schwäche ist ihre Vertrauen auf einen geheimen Schlüssel.
Lassen Sie uns einen Moment zurücktreten. Falls Sie dies nicht wissen, müssen Sie bei der ersten Anmeldung vieler Apps einen geheimen Schlüssel eingeben. Das Geheimnis wird zwischen Ihnen und dem Anbieter der App geteilt.
Wenn Sie auf eine Website zugreifen, basiert der von der App erstellte Code auf einer Kombination aus Ihrem Schlüssel und der aktuellen Uhrzeit. Zur gleichen Zeit generiert der Server einen Code, der dieselben Informationen verwendet. Die beiden Codes müssen übereinstimmen, damit der Zugriff gewährt werden kann. Klingt vernünftig.
Warum sind Schlüssel der Schwachpunkt? Nun, was passiert, wenn ein Cyber-Krimineller Zugriff auf die Kennwort- und Geheimdatenbank eines Unternehmens erhält? Jedes Konto wäre verwundbar. Der Angreifer könnte kommen und gehen. So prüfen Sie, ob jemand anderes auf Ihr Facebook-Konto zugreift Wie Sie prüfen, ob jemand anderes auf Ihr Facebook-Konto zugreift Es ist unheimlich und besorgniserregend, wenn jemand ohne Ihr Konto auf Ihr Facebook-Konto zugreifen kann Wissen. Hier erfahren Sie, ob Sie verletzt wurden. Lesen Sie mehr nach Belieben.
Zweitens wird das Geheimnis entweder im Klartext oder als QR-Code angezeigt. es kann nicht mit einem Salt gehashed werden oder verwendet werden Was bedeutet das MD5-Hash-Material eigentlich? [Technologie erklärt] Was bedeutet das alles MD5-Hash-Material? [Technologie erklärt] Hier ist ein vollständiger Überblick über MD5, Hashing und eine kleine Übersicht über Computer und Kryptographie. Weiterlesen . Es ist wahrscheinlich auch in Klartext auf den Servern des Unternehmens.
Der geheime Schlüssel ist der grundlegende Fehler in dem Time-Based One-Time Password (TOTP), das von spezialisierten Apps verwendet wird. Aus diesem Grund ist ein physischer U2F-Schlüssel immer eine sicherere Option.
Fehler in Design und Sicherheit für 2FA-Apps
Natürlich sind die Chancen, dass ein Cyberkrimineller die notwendigen Datenbanken einer App eines Drittanbieters hackt, ziemlich gering. Ihre App könnte jedoch auch grundlegende Sicherheitslücken bei der Gestaltung aufweisen.
Populärer Passwort-Manager LastPass 8 Einfache Möglichkeiten, Ihre LastPass-Sicherheit aufzuladen 8 Einfache Möglichkeiten, Ihre LastPass-Sicherheit aufzuladen Sie können LastPass verwenden, um Ihre vielen Online-Passwörter zu verwalten, aber verwenden Sie sie richtig? In acht Schritten können Sie Ihr LastPass-Konto noch sicherer machen. Mehr lesen fiel im Dezember 2017 zum Opfer. Der Blogeintrag eines Programmierers auf Medium ergab, dass auf geheime Schlüssel von 2FA ohne Fingerabdruck, Kennwort oder andere Sicherheitsmaßnahmen zugegriffen werden konnte.
Die Problemumgehung war nicht einmal kompliziert. Durch den Zugriff auf die Einstellungsaktivität der LastPass Authenticator-App (com.lastpass.authenticator.activities.SettingsActivity) konnte der Einstellungsbereich für die App ohne Überprüfung aufgerufen werden. Von dort könnte man drücken Zurück einmal, um auf alle 2FA-Codes zuzugreifen.
LastPass hat den Fehler jetzt behoben, aber es bleiben Fragen. Dem Programmierer zufolge hatte er versucht, LastPass sieben Monate lang über das Problem zu informieren, aber das Unternehmen hat das Problem nie behoben. Wie viele andere 2FA-Apps von Drittanbietern sind unsicher? Und wie viele unfixierte Sicherheitslücken kennen die Entwickler, verzögern jedoch das Patchen? Es gibt auch Bedenken, wenn der Zugriff auf Ihren Code-Generator auf Facebook verloren geht. So melden Sie sich bei Facebook an, wenn Sie den Zugriff auf Code-Generator verloren haben. So melden Sie sich bei Facebook an, wenn Sie den Zugriff auf Code-Generator verloren haben. Was ist, wenn Sie sich nicht bei Facebook anmelden können Ihr neuer Computer, weil Sie keinen Zugriff auf den Code Generator auf Ihrem Telefon haben? Lesen Sie mehr zum Beispiel.
Was Sie stattdessen tun sollten: Verwenden Sie die U2F-Tasten
Anstatt sich für die Codes auf SMS und 2FA zu verlassen, sollten Sie Universal 2nd Factor-Schlüssel verwenden. Was sind U2F-Schlüssel und wo werden sie unterstützt? Was sind U2F-Schlüssel und wo werden sie unterstützt? U2F-Schlüssel sind eine der besten Möglichkeiten, um Ihre Konten sicher und geschützt zu halten. Aber wo werden U2F-Schlüssel unterstützt? Lesen Sie mehr (U2F). Sie sind die sicherste Art, Codes zu generieren und auf Ihre Dienste zuzugreifen.
Sie wird weithin als Version der zweiten Generation von 2FA betrachtet und vereinfacht und verstärkt das aktuelle Protokoll. Außerdem ist die Verwendung von U2F-Schlüsseln fast genauso praktisch wie das Öffnen einer SMS-Nachricht oder einer App eines Drittanbieters.
U2F-Schlüssel verwenden entweder eine NFC- oder eine USB-Verbindung. Wenn Sie Ihr Gerät zum ersten Mal mit einem Konto verbinden, wird eine Zufallszahl mit dem Namen a generiert “Nonce.” Der Nonce wird mit dem Domänennamen der Site gehasht, um einen eindeutigen Code zu erstellen.
Danach können Sie Ihren U2F-Schlüssel bereitstellen, indem Sie ihn an Ihr Gerät anschließen und darauf warten, dass der Dienst ihn erkennt.
Also, was ist der Nachteil? Obwohl U2F ein offener Standard ist, kostet es trotzdem Geld, einen physischen U2F-Schlüssel zu kaufen. Und vielleicht besorgniserregender: Sie sind durch Diebstahl gefährdet.
Ein gestohlener U2F-Schlüssel macht Ihr Konto nicht automatisch unsicher. Ein Hacker muss Ihr Passwort trotzdem kennen. In einem öffentlichen Bereich hat ein Dieb jedoch möglicherweise schon aus der Ferne gesehen, wie Sie Ihr Kennwort eingegeben haben, bevor Sie Ihren Besitz gestohlen haben.
U2F-Tasten können teuer sein
Die Preise variieren stark zwischen den Herstellern, aber Sie können damit rechnen, zwischen 15 und 50 US-Dollar zu zahlen.
Idealerweise möchten Sie ein Modell kaufen, das heißt “FIDO-zertifiziert.” Die FIDO-Allianz (Fast IDentity Online) ist für die Interoperabilität zwischen Authentifizierungstechnologien verantwortlich. Mitglieder sind alle von Google und Microsoft, Bank of America und MasterCard.
Durch den Kauf eines FIDO-Geräts können Sie sicher sein, dass Ihr U2F-Schlüssel mit allen Diensten funktioniert, die Sie täglich verwenden. Schauen Sie sich den DIGIPASS SecureClick U2F-Schlüssel an, wenn Sie einen erwerben möchten.
Digipass SecureClick FIDO U2F-Sicherheitsschlüssel Digipass SecureClick FIDO U2F-Sicherheitsschlüssel Kaufen Sie jetzt bei Amazon
Unsicheres 2FA ist immer noch besser als kein 2FA
Zusammenfassend lässt sich sagen, dass die Universal 2nd Factor-Schlüssel ein gutes Medium zwischen Benutzerfreundlichkeit und Sicherheit darstellen. SMS ist der am wenigsten sichere Ansatz, aber auch der bequemste.
Und denk dran, jeder 2FA ist besser als kein 2FA. Ja, es kann zusätzliche 10 Sekunden dauern, um sich bei bestimmten Apps anzumelden, aber es ist besser, als Ihre Sicherheit zu opfern.
Erfahren Sie mehr über: Online-Sicherheit, Zwei-Faktor-Authentifizierung.