İki Faktörlü Kimlik Doğrulaması için SMS ve 2FA Uygulamalarını Kullanmanın Durdurulması Zamanı

İlan

Bugünlerde, ziyaret ettiğiniz her web sitesi sizi teşvik etmeye çalışıyor gibi görünüyor iki faktörlü kimlik doğrulama kullan (2FA).

2FA'yı kullanmanın en yaygın yollarından biri, mobil cihazınızdan benzersiz bir kod girmektir. Genellikle, kodu kısa mesajla alırsınız veya üçüncü taraf 2FA uygulamasını kullanarak bir mesaj alırsınız.

Her iki yöntem de kolaylıklarından dolayı kodları kullanmanın popüler yöntemleridir. Bununla birlikte, her iki yöntem de güvenlik açısından zayıftır. Ve 2FA kodunuz yalnızca bunu sağlamak için kullanılan teknoloji kadar güvenli olduğu için zayıf yönler önemlidir.

Peki, sorun ne kodlarınıza erişmek için SMS ve üçüncü taraf uygulamaları kullanma Parolasız Oturum Açma Nedir? Aslında Güvende mi?Parolasız girişler geliyor. Güvende mi? Parolasız oturum açma nasıl çalışır? İşte bilmeniz gerekenler. Daha fazla oku ? Ve daha güvenli olan eşit derecede uygun bir alternatif var mı? Her şeyi açıklayacağız. Daha fazla bilgi edinmek için okumaya devam edin.

İki Faktörlü Kimlik Doğrulama Nasıl Çalışır?

İki faktörlü kimlik doğrulamanın nasıl çalıştığını tartışalım. Teknolojinin arkasındaki mekaniği anlamadan, bu makalenin geri kalanı çok anlamlı olmayacaktır.

Geniş anlamda, 2FA hesabınıza fazladan bir güvenlik katmanı ekler Hesaplarınızı 2FA ile Güvenli Hale Getirme: Gmail, Outlook ve Daha Fazlasıİki faktörlü kimlik doğrulama, e-postalarınızı ve sosyal ağlarınızı korumaya yardımcı olabilir mi? Çevrimiçi güvenliğiniz için bilmeniz gerekenler şunlardır. Daha fazla oku . Çok faktörlü kimlik doğrulama olarak da bilinen giriş bilgileri yalnızca bir paroladan değil, aynı zamanda yalnızca hesabın yasal sahibinin erişebildiği ikinci bir bilgi parçasından oluşur.

2FA birçok farklı biçimde gelir İki Faktörlü Kimlik Doğrulama Türlerinin ve Yöntemlerinin Artıları ve Eksileriİki faktörlü kimlik doğrulama yöntemleri eşit yaratılmaz. Bazıları açıkça daha güvenli ve daha güvenlidir. İşte en yaygın yöntemlere ve hangilerinin bireysel ihtiyaçlarınızı en iyi karşıladığına bir göz atın. Daha fazla oku . En temel düzeyinde, güvenlik soruları kadar basit bir şey olabilir (çünkü başka hiç kimse annenin kızlık soyadını bilmek Şifre Güvenlik Sorularını Neden Yanlış Yanıtlıyorsunuz?Çevrimiçi hesap güvenliği sorularına nasıl cevap veriyorsunuz? Dürüst cevaplar? Ne yazık ki, dürüstlüğünüz çevrimiçi zırhınızda bir chink oluşturabilir. Güvenlik sorularının nasıl güvenli bir şekilde cevaplanacağına bakalım. Daha fazla oku veya en sevdiğiniz evcil hayvan). Daha karmaşık uçta, retina taraması veya parmak izi gibi biyometrik bir kimlik olabilir.

SMS Doğrulamasından Neden Kaçınmalısınız?

SMS, 2FA kodlarına erişmek ve kullanmak için en erişilebilir yol olarak bir konuma sahiptir. Bir site iki faktörlü kimlik doğrulama girişleri sunuyorsa, seçeneklerden biri olarak neredeyse kesinlikle SMS sunar.

Ancak SMS, 2FA'yı kullanmak için güvenli bir yol değildir. İki önemli güvenlik açığı vardır.

İlk olarak, teknoloji SIM Takas saldırılarına açık. Bir bilgisayar korsanının SIM Değişimi yapması fazla zaman almaz. Sosyal güvenlik numaranız gibi başka bir kişisel bilgiye erişimleri varsa, operatörünüzü arayabilir ve numaranızı yeni bir SIM karta taşıyabilirler.

İkincisi, bilgisayar korsanları SMS mesajlarını durdur. Her şey şimdi tarihli 7 numaralı Sinyal Sistemi (SS7) telefon yönlendirme sistemine geri dönüyor. Metodoloji 1975'te yeniden tasarlandı, ancak yine de neredeyse küresel olarak çağrıları bağlamak ve bağlantılarını kesmek için kullanılıyor. Ayrıca numara çevirilerini, ön ödemeli faturalandırmayı ve en önemlisi SMS mesajlarını işler.

Şaşırtıcı olmayan bir şekilde, 1975'teki bu teknoloji güvenlik delikleriyle doludur. İşte böyle güvenlik uzmanı Bruce Schneier kusurları tarif etti:

“Saldırganların bir SS7 portalına erişimi varsa, sohbetlerinizi çevrimiçi bir kayıt cihazına yönlendirebilir ve aramayı amaçlanan hedefi […] Bu, iyi donanımlı bir suçlunun doğrulama mesajlarınızı alıp daha önce görmeden kullanabileceği anlamına gelir onlar.”

Tabii ki, bir siber suçlunun Facebook'unu hackledi Facebook Hesabınızın Saldırıya Uğradığını Nasıl Öğrenebilirsiniz?Facebook çok fazla veri barındırırken hesabınızı güvende tutmanız gerekir. Facebook'unuzun saldırıya uğramış olup olmadığını nasıl öğreneceğiniz aşağıda açıklanmıştır. Daha fazla oku hesabı ideal olmaktan uzaktır. Ancak, 2FA'nın diğer kullanımlarını düşündüğünüzde durum daha korkutucu. Bir siber suçlu, çevrimiçi bankacılığında kullandığınız kodları çalabilir, hatta para transferlerini başlatmak ve tamamlamak Arkadaşlarınıza Para Göndermek için En İyi 6 UygulamaBir dahaki sefere arkadaşlarınıza para göndermeniz gerektiğinde, birkaç dakika içinde herkese para göndermek için bu harika mobil uygulamalara göz atın. Daha fazla oku .

Ayrıca Schneier, SS7 ağına herkesin yaklaşık 1,000 $ karşılığında satın alabileceğini iddia ediyor. Erişim sağlandıktan sonra, bir yönlendirme isteği gönderebilirler. Sorunu tamamlamak için ağ, isteğin kaynağının kimliğini doğrulamayabilir.

SMS ile iki faktörlü kimlik doğrulamayı kullanmanın 2FA'yı devre dışı bırakmaktan daha iyi olduğunu unutmayın. Ve muhtemelen kurban olmanız pek olası değildir. Ancak, biraz endişelenmeye başlıyorsanız, okumaya devam etmeniz gerekir. Birçok kişi SMS'nin güvensiz olduğunu kabul eder ve bunun yerine üçüncü taraf uygulamalarına yönelir.

Ancak bu daha iyi olmayabilir.

Neden 2FA Uygulamalarından Kaçının?

2FA kodlarını kullanmanın diğer yaygın yolu, özel bir akıllı telefon uygulaması yüklemektir. Aralarından seçim yapabileceğiniz çok şey var. Google Authenticator tartışmasız en çok tanınanıdır, ancak mutlaka en iyisi değildir. Orada birçok alternatif var - Authy, Authenticator Plus ve Duo'ya bakın.

Ancak uzman 2FA uygulamaları ne kadar güvenli? En büyük zayıflıkları gizli anahtara güvenme.

Bir saniyeliğine bir adım geri gidelim. Farkında değilseniz, uygulamaların birçoğuna ilk kez kaydolduğunuzda gizli bir anahtar girmeniz gerekir. Sır, sizinle uygulamanın sağlayıcısı arasında paylaşılır.

Bir siteye eriştiğinizde, uygulamanın oluşturduğu kod, anahtarınızın ve geçerli saatin kombinasyonuna dayanır. Aynı anda, sunucu aynı bilgileri kullanarak bir kod üretiyor. Erişim verilebilmesi için iki kodun eşleşmesi gerekir. Kulağa mantıklı geliyor.

Peki, anahtarlar neden zayıf nokta? Peki, bir siber suçlu bir şirketin şifresi ve sırları veritabanına erişmeyi başarırsa ne olur? Her hesap savunmasız olacaktır; saldırgan gelip gidebilir Başka Birinin Facebook Hesabınıza Erişip Erişmediğini Kontrol EtmeBirisi sizin bilginiz olmadan Facebook hesabınıza erişebiliyorsa, hem uğursuz hem de endişe vericidir. İhlal edilip edilmediğinizi nasıl öğreneceğiniz aşağıda açıklanmıştır. Daha fazla oku irade.

İkinci olarak, sır ya düz metin olarak ya da bir QR kodu olarak görüntülenir; olamaz karma veya tuzla birlikte kullanılır Tüm Bu MD5 Hash Şeyler Aslında Ne Demektir [Teknoloji Açıklaması]İşte MD5, karma ve bilgisayar ve kriptografiye küçük bir genel bakış. Daha fazla oku . Muhtemelen şirketin sunucularında da düz metindir.

Gizli anahtar, uzman uygulamaların kullandığı Zaman Tabanlı Tek Kullanımlık Parola (TOTP) içindeki temel kusurdur. Bu nedenle fiziksel bir U2F anahtarı her zaman daha güvenli bir seçenektir.

2FA Uygulamaları için Tasarım ve Güvenlik Kusurları

Elbette, bir siber suçlunun üçüncü taraf bir uygulamanın gerekli veritabanlarını hackleme şansı oldukça düşüktür. Ancak uygulamanızın tasarımında temel güvenlik kusurları da olabilir.

Popüler şifre yöneticisi LastPass LastPass Güvenliğinizi Güçlendirmenin 8 Kolay YoluLastPass'ı birçok çevrimiçi şifrenizi yönetmek için kullanıyor olabilirsiniz, ancak doğru mu kullanıyorsunuz? LastPass hesabınızı daha da güvenli hale getirmek için atabileceğiniz sekiz adım: Daha fazla oku Aralık 2017'de kurban düştü. bir Medium'daki programcının blog yazısı ortaya çıkan 2FA gizli anahtarlarına parmak izi, şifre veya diğer güvenlik önlemleri olmadan erişilebilir.

Geçici çözüm bile karmaşık değildi. LastPass Authenticator uygulamasının ayarlar etkinliğine (com.lastpass.authenticator.activities) erişerek. SettingsActivity), herhangi bir kontrol yapılmadan uygulamanın ayarlar bölmesine girilebilir. Oradan, Geri tüm 2FA kodlarına erişmek için bir kez.

LastPass şimdi kusuru düzeltti, ancak sorular devam ediyor. Programcıya göre, LastPass'a konuyu yedi ay boyunca anlatmaya çalıştı, ancak şirket bunu asla düzeltmedi. Başka kaç tane üçüncü taraf 2FA uygulaması güvensiz? Geliştiriciler yamalamayı bilen ancak geciktirilen kaç tane güvenlik açığı biliyor? Konu söz konusu olduğunda da endişeler var Facebook'ta kod üreticinize erişimi kaybetme Code Generator'a erişiminizi kaybettiyseniz Facebook'a nasıl giriş yapılırFacebook'un kod üreticisine erişiminiz mi kayboldu? Bu makalede Facebook hesabınıza giriş yapmak için alternatif yöntemler ele alınmaktadır. Daha fazla oku Örneğin.

Yerine Ne Yapmalı: U2F Tuşlarını Kullanma

Kodlarınız için SMS ve 2FA'ya güvenmek yerine, Evrensel 2. Faktör tuşları U2F Anahtarları Nedir ve Nerede Desteklenir?U2F anahtarları, hesaplarınızı güvende tutmanın en iyi yollarından biridir. Ancak U2F anahtarları nerede desteklenir? Daha fazla oku (U2F). Kod oluşturmanın ve hizmetlerinize erişmenin en güvenli yoludur.

Yaygın olarak 2FA'nın ikinci nesil bir versiyonu olarak kabul edilir, mevcut protokolü hem basitleştirir hem de güçlendirir. Ayrıca, U2F tuşlarını kullanmak neredeyse bir SMS mesajı veya üçüncü taraf uygulaması açmak kadar uygundur.

U2F tuşları NFC veya USB bağlantısı kullanır. Cihazınızı bir hesaba ilk kez bağladığınızda, "Nonce" adı verilen rastgele bir sayı oluşturur. Benzersiz bir kod oluşturmak için Nonce, sitenin alan adıyla birleştirilir.

Daha sonra, U2F anahtarınızı cihazınıza bağlayıp servisin tanımasını bekleyerek dağıtabilirsiniz.

Peki, olumsuz tarafı nedir? U2F açık bir standart olmasına rağmen, hala fiziksel bir U2F anahtarı satın almak için paraya mal oluyor. Ve belki daha da önemlisi, hırsızlık riski altındasınız.

Çalınan bir U2F anahtarı hesabınızı otomatik olarak güvenli hale getirmez; bilgisayar korsanının hala şifrenizi bilmesi gerekir. Ancak halka açık bir alanda, bir hırsız, mallarınızı çalmadan önce şifrenizi uzaktan girdiğinizi görmüş olabilir.

U2F Anahtarları Pahalı Olabilir

Fiyatlar üreticiler arasında önemli ölçüde farklılık gösterir, ancak yaklaşık 15 ila 50 dolar arasında bir ödeme yapmayı bekleyebilirsiniz.

İdeal olarak, “FIDO Sertifikalı” bir model satın almak istersiniz. FIDO (Çevrimiçi Hızlı Kimlik) İttifakı, kimlik doğrulama teknolojileri arasında birlikte çalışabilirlik sağlamaktan sorumludur. Üyeler arasında Google ve Microsoft'tan Bank of America ve MasterCard'a kadar herkes bulunur.

Bir FIDO cihazı satın alarak, U2F anahtarının her gün kullandığınız tüm hizmetlerle çalışacağından emin olabilirsiniz. Bir tane satın almak istiyorsanız DIGIPASS SecureClick U2F anahtarını kontrol edin.

Güvensiz 2FA Hala 2FA'dan Daha İyi

Özetlemek gerekirse, Universal 2nd Factor anahtarları kullanım kolaylığı ve güvenlik arasında mutlu bir ortam sağlar. SMS en az güvenli yaklaşımdır, ancak aynı zamanda en uygun olanıdır.

Ve unutmayın, herhangi bir 2FA, 2FA'dan daha iyidir. Evet, belirli uygulamalara giriş yapmanız fazladan 10 saniye sürebilir, ancak güvenliğinizi feda etmekten daha iyidir.