Mục lục:
Video: Lần thứ hai Bá» VÄn hóa bác Äá» xuất bán vé há»i chá»i trâu Äá» SÆ¡n (Tháng mười một 2024)
Tuần này, tôi sẽ đào sâu vào hộp thư không đáy của mình để giải quyết một câu hỏi khác về xác thực hai yếu tố (2FA). Đây là một chủ đề tôi đã từng đề cập trước đây, nhưng đánh giá từ khối lượng và tính cụ thể của các câu hỏi tôi đã nhận được về nó, đây rõ ràng là một vấn đề rất nhiều người đang nghĩ đến. Vì tôi xem 2FA là, có lẽ, điều tốt nhất mà mọi người thường làm có thể làm để giữ an toàn khi trực tuyến, tôi rất vui khi được nói không ngừng về nó.
Câu hỏi ngày hôm nay đến từ Ted, người đã viết khi hỏi về việc liệu các hệ thống 2FA có thực sự là tất cả những gì chúng bị bẻ khóa hay không. Xin lưu ý rằng bức thư của Ted đã được chỉnh sửa cho ngắn gọn. Ted bắt đầu tin nhắn của mình bằng cách tham khảo một số bài viết khác của tôi trên 2FA.
Bạn đã viết "Khi bạn đăng ký khóa bảo mật của mình, mật mã SMS sẽ là một tùy chọn dự phòng trong trường hợp bạn bị mất hoặc không thể truy cập khóa của mình." Nếu điều này là đúng, thì tại sao thiết bị này an toàn hơn mã SMS 2FA? Như bạn cũng đã viết, "Nhưng điện thoại có thể bị đánh cắp và việc cắm SIM rõ ràng là điều chúng ta cần lo lắng bây giờ."
Điều gì để ngăn ai đó nói với Google rằng họ là bạn, đã mất khóa bảo mật và cần mã SMS được gửi đến điện thoại bị đánh cắp / bị đánh cắp của bạn? Nếu tôi hiểu chính xác điều này, thiết bị này sẽ không an toàn hơn các tin nhắn SMS 2FA. Điều đó thuận tiện hơn rất nhiều, điều đó là chắc chắn, nhưng tôi không thấy nó an toàn hơn thế nào.
Có phải kết quả cuối cùng là khóa bảo mật sẽ tăng cường bảo mật của bạn, nhưng chỉ vì bạn có khả năng sử dụng nó nhiều hơn, chứ không phải vì nó vốn đã an toàn hơn 2FA? Tôi đang thiếu gì?
Bạn không thiếu thứ gì, Ted. Trên thực tế, bạn rất thông minh khi xử lý một vấn đề cơ bản tiềm ẩn rất nhiều bảo mật xung quanh xác thực trực tuyến: làm thế nào để bạn xác minh an toàn con người là ai, mà không khiến họ không thể khôi phục tài khoản của họ?
Khái niệm cơ bản 2FA
Trước tiên, hãy bao gồm một số điều cơ bản. Xác thực hai yếu tố, hoặc 2FA, là một khái niệm bảo mật trong đó bạn cần trình bày hai bằng chứng nhận dạng, được gọi là các yếu tố, từ danh sách ba yếu tố có thể.
- Một cái gì đó bạn biết, chẳng hạn như một mật khẩu.
- Một cái gì đó bạn có, chẳng hạn như một chiếc điện thoại.
- Một cái gì đó bạn là, chẳng hạn như dấu vân tay của bạn.
Trong điều kiện thực tế, 2FA thường có nghĩa là điều thứ hai bạn làm sau khi nhập mật khẩu để đăng nhập vào trang web hoặc dịch vụ. Mật khẩu là yếu tố đầu tiên và thứ hai có thể là tin nhắn SMS được gửi đến điện thoại của bạn bằng mã đặc biệt hoặc sử dụng FaceID của Apple trên iPhone. Ý tưởng là trong khi mật khẩu có thể được đoán hoặc đánh cắp, thì ít có khả năng kẻ tấn công có thể lấy được cả mật khẩu và yếu tố thứ hai của bạn.
Trong thư của mình, Ted đang hỏi cụ thể về các khóa 2FA phần cứng. Dòng YubiKey của Yubico có lẽ là tùy chọn được biết đến nhiều nhất, nhưng khác xa với tùy chọn duy nhất. Google có các khóa Bảo mật Titan riêng và Nitrokey cung cấp khóa nguồn mở, chỉ đặt tên hai.
Những cạm bẫy thực tế
Không có hệ thống bảo mật nào là hoàn hảo và 2FA cũng không khác. Guemmy Kim, trưởng nhóm quản lý sản phẩm của nhóm Bảo mật tài khoản của Google, đã chỉ ra rằng nhiều hệ thống chúng tôi dựa vào để khôi phục tài khoản và 2FA dễ bị lừa đảo. Đây là nơi kẻ xấu sử dụng các trang web giả mạo để lừa bạn nhập thông tin cá nhân.
Kẻ tấn công thông minh có khả năng lây nhiễm điện thoại của bạn bằng Trojan truy cập từ xa cho phép chúng xem hoặc thậm chí chặn mã xác minh SMS được gửi đến thiết bị của bạn. Hoặc họ có thể tạo một trang lừa đảo thuyết phục để lừa bạn nhập mã một lần được tạo từ một ứng dụng như Google Authenticator. Ngay cả tùy chọn chuyển mã giấy dự phòng của tôi cũng có thể bị chặn bởi một trang lừa đảo đã lừa tôi nhập mã.
Một trong những cuộc tấn công kỳ lạ nhất là tấn công SIM, trong đó kẻ tấn công sao chép thẻ SIM của bạn hoặc lừa công ty điện thoại của bạn hủy đăng ký thẻ SIM của bạn, để chặn tin nhắn SMS của bạn. Trong trường hợp này, kẻ tấn công có thể mạo danh bạn rất hiệu quả, vì họ có thể sử dụng số điện thoại của bạn làm số của họ.
Một cuộc tấn công không quá kỳ lạ là mất mát và trộm cắp cũ. Nếu điện thoại hoặc ứng dụng trên điện thoại của bạn là thiết bị xác thực chính của bạn và bạn mất nó, điều đó sẽ gây đau đầu. Điều này cũng đúng với các phím cứng. Mặc dù các khóa bảo mật phần cứng, như Yubico YubiKey, rất khó bị phá vỡ, nhưng chúng rất dễ bị mất.
Yubico Yubikey Series 5 có nhiều cấu hình khác nhau.
Vấn đề khôi phục tài khoản
Điều Ted chỉ ra trong thư của mình là nhiều công ty yêu cầu bạn thiết lập phương thức 2FA thứ hai, bên cạnh khóa bảo mật phần cứng. Ví dụ: Google yêu cầu bạn sử dụng SMS, cài đặt ứng dụng Authenticator của công ty hoặc đăng ký thiết bị của bạn để nhận thông báo đẩy từ Google xác minh tài khoản của bạn. Bạn dường như cần ít nhất một trong ba tùy chọn này để dự phòng cho bất kỳ tùy chọn 2FA nào khác mà bạn sử dụng, chẳng hạn như các phím Titan từ Google.
Ngay cả khi bạn đăng ký khóa bảo mật thứ hai làm bản sao lưu, bạn vẫn cần bật SMS, Google Authenticator hoặc thông báo đẩy. Đáng chú ý, nếu bạn muốn sử dụng Chương trình bảo vệ nâng cao của Google, việc đăng ký khóa thứ hai là bắt buộc.
Tương tự, Twitter cũng yêu cầu bạn sử dụng mã SMS hoặc ứng dụng xác thực bên cạnh khóa bảo mật phần cứng tùy chọn. Thật không may, Twitter chỉ cho phép bạn đăng ký một khóa bảo mật tại một thời điểm.
Như Ted đã chỉ ra, các phương pháp thay thế này về mặt kỹ thuật kém an toàn hơn so với việc sử dụng khóa bảo mật. Tôi chỉ có thể đoán tại sao các hệ thống này được triển khai theo cách này, nhưng tôi nghi ngờ rằng họ muốn đảm bảo khách hàng của họ luôn có thể truy cập vào tài khoản của họ. Mã SMS và ứng dụng xác thực là các tùy chọn được kiểm tra theo thời gian để mọi người dễ hiểu và không yêu cầu họ mua thêm thiết bị. Mã SMS cũng giải quyết vấn đề trộm cắp thiết bị. Nếu bạn bị mất điện thoại hoặc bị mất cắp, bạn có thể khóa điện thoại từ xa, hủy cấp phép thẻ SIM và nhận một điện thoại mới có thể nhận mã SMS để quay lại trực tuyến.
Cá nhân, tôi thích có sẵn nhiều tùy chọn vì trong khi tôi lo lắng về bảo mật, tôi cũng biết bản thân mình và biết rằng tôi bị mất hoặc phá vỡ mọi thứ khá thường xuyên. Tôi biết rằng những người chưa bao giờ sử dụng 2FA trước đây rất lo lắng về việc họ bị khóa tài khoản nếu họ sử dụng 2FA.
2FA thực sự rất tốt
Điều quan trọng là phải hiểu những nhược điểm của bất kỳ hệ thống bảo mật nào, nhưng điều đó không làm mất hiệu lực hệ thống. Mặc dù 2FA có những điểm yếu, nhưng nó đã rất thành công.
Một lần nữa, chúng ta chỉ phải tìm đến Google. Công ty yêu cầu sử dụng các khóa 2FA phần cứng trong nội bộ và kết quả đã nói lên điều đó. Việc tiếp quản tài khoản thành công của nhân viên Google đã biến mất một cách hiệu quả. Điều này đặc biệt quan trọng khi xem xét rằng các nhân viên của Google, với vị trí của họ trong ngành công nghệ và sự giàu có (được cho là), là nguyên nhân chính cho các cuộc tấn công có chủ đích. Đây là nơi những kẻ tấn công dành nhiều nỗ lực để nhắm mục tiêu vào các cá nhân cụ thể trong một cuộc tấn công. Thật hiếm, và thường thành công nếu kẻ tấn công có đủ tiền và sự kiên nhẫn.
Gói bảo mật Google Titan bao gồm các khóa USB-A và Bluetooth.
Thông báo trước ở đây là Google yêu cầu một loại 2FA cụ thể: khóa bảo mật phần cứng. Chúng có lợi thế hơn các chương trình 2FA khác vì rất khó lừa đảo hoặc đánh chặn. Một số người có thể nói không thể, nhưng tôi đã thấy những gì đã xảy ra với Titanic và biết rõ hơn.
Tuy nhiên, các phương thức chặn mã SMS 2FA hoặc mã thông báo xác thực khá kỳ lạ và không thực sự mở rộng quy mô. Điều đó có nghĩa là chúng không thể được sử dụng bởi một tên tội phạm trung bình, những người đang tìm cách kiếm tiền nhanh chóng và dễ dàng nhất có thể, đối với người bình thường, như bạn.
Theo quan điểm của Ted: khóa bảo mật phần cứng là cách an toàn nhất mà chúng tôi từng thấy để thực hiện 2FA. Chúng rất khó lừa đảo và rất khó tấn công, mặc dù chúng không phải không có điểm yếu cố hữu. Hơn nữa, các khóa phần cứng 2FA được chứng minh trong tương lai ở một mức độ nào đó. Nhiều công ty đang tránh xa các mã SMS và một số thậm chí đã chấp nhận đăng nhập mật khẩu hoàn toàn dựa vào các khóa 2FA phần cứng sử dụng tiêu chuẩn FIDO2. Nếu bạn đang sử dụng khóa phần cứng ngay bây giờ, rất có thể bạn sẽ an toàn trong nhiều năm tới.
Nitrokey FIDO U2F hứa hẹn bảo mật nguồn mở.
- Xác thực hai yếu tố: Ai có nó và làm thế nào để thiết lập nó Xác thực hai yếu tố: Ai có nó và làm thế nào để thiết lập nó
- Google: Các cuộc tấn công lừa đảo có thể đánh bại hai nhân tố đang gia tăng Google: Các cuộc tấn công lừa đảo có thể đánh bại hai nhân tố đang gia tăng
- SecurityWatch: Làm thế nào để không bị khóa với xác thực hai yếu tố SecurityWatch: Làm thế nào để không bị khóa với xác thực hai yếu tố
An toàn như các khóa 2FA phần cứng, hệ sinh thái lớn hơn yêu cầu một số thỏa hiệp được thực hiện để tránh bị khóa tài khoản của bạn một cách không cần thiết. 2FA cần phải là một công nghệ mà mọi người thực sự sử dụng, nếu không thì nó chẳng có giá trị gì cả.
Đưa ra lựa chọn, tôi nghĩ rằng hầu hết mọi người sẽ sử dụng các tùy chọn 2FA dựa trên ứng dụng và SMS vì chúng dễ cài đặt hơn và miễn phí hiệu quả. Đây có thể không phải là lựa chọn tốt nhất có thể, nhưng chúng hoạt động rất tốt cho hầu hết mọi người. Điều đó có thể sẽ sớm thay đổi, tuy nhiên, giờ đây Google cho phép bạn sử dụng thiết bị di động chạy Android 7.0 trở lên làm khóa bảo mật phần cứng.
Mặc dù có những hạn chế, 2FA có lẽ là điều tốt nhất cho bảo mật người tiêu dùng kể từ khi có chương trình chống vi-rút. Nó gọn gàng và hiệu quả ngăn chặn một số cuộc tấn công tàn khốc nhất, tất cả mà không thêm quá nhiều phức tạp vào cuộc sống của mọi người. Tuy nhiên, bạn quyết định sử dụng 2FA, chọn một phương pháp có ý nghĩa với bạn. Không sử dụng 2FA có hại hơn nhiều so với sử dụng hương vị 2FA ít hơn một chút.