Uwierzytelnianie dwuskładnikowe nie jest już najlepszą ochroną przed hakerami

Uwierzytelnianie dwuskładnikowe (2FA) miało przynajmniej na jakiś czas położyć kres włamaniom na konta internetowe. Jednak… od kilku lat istnieją różne techniki obchodzenia tego. Trzeba od razu powiedzieć, że w 201/2222, jeśli chodzi o podwójne uwierzytelnianie, jest jedzenie i picie. Istnieje kilka trybów, które nie zapewniają dokładnie tego samego poziomu bezpieczeństwa.

Najczęściej preferowaną metodą uwierzytelniania dwuskładnikowego dla witryn i organizacji jest metoda oparta na tokenach jednorazowych (OTP). Są one generowane dynamicznie przez aplikację na smartfonie lub urządzeniu zewnętrznym. Lub – co niestety często się zdarza – w razie potrzeby można je otrzymać SMS-em.

Niepokojąca liczba narzędzi ułatwia hakowanie kont chronionych przez 2FA

Oprócz tego typu uwierzytelniania istnieją również tryby 2FA oparte na Fizyczne klucze bezpieczeństwa, takie jak Yubikey i Tytan Google. Za każdym razem pomysł jest taki sam: oprócz nazwy użytkownika i hasła każde połączenie z Twoimi kontami oznacza wysłanie czegoś innego, aby po raz ostatni upewnić się co do Twojej tożsamości.

Na papierze metoda wydaje się nie do powstrzymania. Ale szybko odkrywamy istotne wady. Na przykład pominięcie uwierzytelniania dwuskładnikowego jest stosunkowo proste, gdy to drugie polega na kodach OTP otrzymanych przez SMS. Haker może w tym celu wykorzystać technologię SIM Swap. Jeśli ma jakiekolwiek dane osobowe o Tobie.

Konkretnie, trafi on następnie do twojego operatora i poprosi o duplikat twojej karty SIM, który pozwoli mu odbierać wszystkie twoje wiadomości SMS. Mogą również zainfekować smartfon ofiary, szpiegując w ten sposób ich pocztę e-mail. Zagrożenia, które można zmniejszyć, korzystając z generatora kodu fizycznego lub smartfona. Podobnie jak fizyczne klucze bezpieczeństwa.

Jednak badanie przeprowadzone wspólnie przez Uniwersytet Stony Brook i firmę Palo Alto Networks podkreśla rosnącą popularność nowych i fajniejszych metod przeciwko uwierzytelnianiu dwuskładnikowemu, ułatwianemu przez rozproszone zestawy narzędzi. W ciemnej sieci. Mówimy o rozwiązaniach typu „wszystko w jednym”, które tworzą kampanie phishingowe i upraszczają kradzież danych połączeń 2FA, dzięki czemu niedoświadczony haker może osiągnąć swoje cele.

Dzięki plikom cookie połączenia, włączenie uwierzytelniania dwuskładnikowego nie ma większego znaczenia

W sumie badacze informują, że odkryli ponad 1200 takich narzędzi, które mogą sprawić, że bezpieczeństwo uwierzytelniania dwuskładnikowego stanie się niemal trywialne. Nie przejmują się już kradzieżą jednorazowych kodów logowania – zamiast tego chodzi tylko o wyodrębnienie plików cookie logowania, tych małych plików, które zawierają wszystkie dane potrzebne do prawidłowego potwierdzenia uwierzytelnienia.

Według naukowców te ciasteczka są na ogół kradzione na dwa sposoby. Hakerzy mogą zainfekować swoją ofiarę wyspecjalizowanym złośliwym oprogramowaniem lub mogą ją wessać bezpośrednio, udając gospodarza publicznej sieci Wi-Fi. Technika znana jako „człowiek w środku” (MitM). Gdy hakerzy otrzymają te pliki cookie, mają nieograniczony dostęp do Twoich kont z dowolnego urządzenia.

Przynajmniej do czasu wygaśnięcia odpowiednich plików cookie. Na niektórych kontach, takich jak Facebook, Instagram czy TikTok, te pliki cookie mogą mieć bardzo długą datę ważności, co stanowi zwiększone ryzyko dla ofiar. Czas pokaże, jak połączyć tę istotną słabość w internetowym łańcuchu bezpieczeństwa: pliki cookie już teraz pojawiają się jako urządzenie, które musi być w pełni kontrolowane, aby lepiej zabezpieczyć bezpieczeństwo kont internetowych.

Przeczytaj także – Irańscy hakerzy opracowują złośliwe oprogramowanie na Androida, aby ominąć uwierzytelnianie dwuskładnikowe za pośrednictwem SMS-ów

Szkoda, gdy platformy były online Próba spopularyzowania korzystania z uwierzytelniania dwuskładnikowego, który wciąż walczy o zwycięstwo. W każdym razie to badanie pokazuje, że jest jeszcze wiele do zrobienia, aby zabezpieczyć nasze dane w Internecie, nawet zanim zaczniemy mówić o podwójnym uwierzytelnianiu. Czas pokaże, jak długo potrwa sytuacja, zanim będzie dostępne naprawdę skuteczne rozwiązanie.