بيت Securitywatch الأمن: هل المصادقة ثنائية تجعلك أكثر أمانا؟

الأمن: هل المصادقة ثنائية تجعلك أكثر أمانا؟

جدول المحتويات:

فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الفيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)

فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الفيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)
Anonim

هذا الأسبوع ، أقوم بالبحث مرة أخرى في حقيبة البريد التي أعرضها لأسفل لمعالجة سؤال آخر حول المصادقة ثنائية العامل (2FA). إنه موضوع تطرقت إليه من قبل ، ولكن استنادًا إلى حجم وخصوصية الأسئلة التي تلقيتها حولها ، فمن الواضح أنها قضية يفكر كثير من الناس بشأنها. نظرًا لأنني أعتبر 2FA ، ربما ، أفضل شيء فردي يمكن للأشخاص العاديين فعله للبقاء في أمان عبر الإنترنت ، فأنا أكثر من سعداء بالتحدث إلى ما لا نهاية.

يأتي سؤال اليوم من تيد ، الذي كتب في سؤاله حول ما إذا كانت أنظمة 2FA هي بالفعل كل ما تصدع. يرجى ملاحظة أن خطاب تيد قد تم تحريره لإيجاز. يبدأ تيد رسالته من خلال الرجوع إلى بعض كتاباتي الأخرى على 2FA.

لقد كتبت "بمجرد تسجيل مفتاح الأمان الخاص بك ، ستكون رموز مرور الرسائل القصيرة خيارًا احتياطيًا في حالة فقد المفتاح أو تعذر الوصول إليه." إذا كان هذا صحيحًا ، فلماذا هذا الجهاز أكثر أمانًا من رمز 2FA للرسائل القصيرة؟ كما كتبت أيضًا ، "لكن الهواتف يمكن أن تُسرق ، ويبدو أن مقبس بطاقة SIM شيء نحتاج إلى القلق بشأنه الآن."
ما الذي يمنع أي شخص من إخبار Google بأنه أنت ، وفقد مفتاح الأمان ويحتاج إلى إرسال رسالة نصية قصيرة إلى هاتفك المسروق / المُقوى؟ إذا كنت أفهم هذا بشكل صحيح ، فهذا الجهاز لن يكون أكثر أمانًا من نصوص الرسائل النصية القصيرة SMS. إنه أكثر ملاءمة ، وهذا أمر مؤكد ، لكنني أخفق في معرفة مدى أمانه.
هل نتيجة كل هذا هي أن مفتاح الأمان سيزيد من أمانك ، ولكن فقط لأنك أكثر عرضة لاستخدامه ، وليس لأنه أكثر أمانًا بطبيعته من 2FA؟ ماذا ينقصني؟

أنت لا تفتقد أي شيء ، تيد. في الواقع ، فأنت ذكي لمعرفة ما إذا كانت هناك مشكلة أساسية تكمن في الكثير من الأمان المحيط بالمصادقة عبر الإنترنت: كيف يمكنك التحقق بشكل آمن من الأشخاص ، دون أن تجعل من المستحيل عليهم استرداد حساباتهم؟

أساسيات 2FA

دعونا تغطية بعض الأساسيات أولا. المصادقة ثنائية العامل ، أو 2FA ، هي مفهوم أمان حيث تحتاج إلى تقديم إثباتين للهوية ، يطلق عليهما العوامل ، من قائمة تضم ثلاثة محتملين.

  • شيء تعرفه ، مثل كلمة المرور.
  • شيء لديك ، مثل الهاتف.
  • شيء أنت ، مثل بصمتك.

من الناحية العملية ، يعني 2FA غالبًا ما تفعله بعد إدخال كلمة المرور لتسجيل الدخول إلى موقع أو خدمة. كلمة المرور هي العامل الأول ، والثاني يمكن أن يكون إما رسالة نصية قصيرة يتم إرسالها إلى هاتفك برمز خاص ، أو باستخدام Apple's FaceID على iPhone. الفكرة هي أنه بينما يمكن تخمين كلمة المرور أو سرقتها ، فمن غير المرجح أن يتمكن المهاجم من الحصول على كلمة المرور والعامل الثاني على حد سواء.

في رسالته ، يسأل تيد بشكل خاص عن مفاتيح الأجهزة 2FA. ربما تكون سلسلة YubiKey من Yubico هي الخيار الأكثر شهرة ، لكنها بعيدة عن الخيار الوحيد. تمتلك Google مفاتيح Titan Security الخاصة بها ، كما يوفر Nitrokey مفتاحًا مفتوح المصدر ، على سبيل المثال لا الحصر.

المزالق العملية

لا يوجد نظام أمان مثالي ، و 2FA لا يختلف. أشار Guemmy Kim ، المسؤول عن إدارة المنتجات لفريق Google Account Security ، إلى أن العديد من الأنظمة التي نعتمد عليها لاسترداد الحساب و 2FA عرضة للخداع. هذا هو المكان الذي يستخدم فيه الأشرار مواقع وهمية لخداعك لإدخال معلومات خاصة.

من المحتمل أن يصيب مهاجم ذكي هاتفك بجهاز حصان طروادة عن بُعد يسمح له بمشاهدة أو حتى اعتراض رموز التحقق من الرسائل القصيرة المرسلة إلى جهازك. أو يمكنهم إنشاء صفحة خداع مقنعة لخداعك لإدخال رمز لمرة واحدة تم إنشاؤه من تطبيق مثل Google Authenticator. حتى خيار الذهاب إلى رموز النسخ الاحتياطي للورق يمكن اعتراضه بواسطة موقع تصيد احتيالي خدعني في إدخال رمز.

واحدة من أكثر الهجمات الغريبة هي مقبس بطاقة SIM ، حيث يقوم أحد المهاجمين باستنساخ بطاقة SIM الخاصة بك أو يخدع شركة هاتفك لإلغاء تسجيل بطاقة SIM الخاصة بك ، من أجل اعتراض رسائل SMS الخاصة بك. في هذا السيناريو ، يمكن للمهاجم انتحال شخصيتك بشكل فعال ، حيث يمكنهم استخدام رقم هاتفك كرقم خاص بهم.

الهجوم غير الغريب هو فقدان قديم وسرقة. إذا كان هاتفك أو تطبيقًا على هاتفك هو أداة المصادقة الأساسية ، وفقدت ذلك ، فسيكون ذلك بمثابة صداع. وينطبق الشيء نفسه على مفاتيح الأجهزة. على الرغم من صعوبة كسر مفاتيح أمان الأجهزة ، مثل Yubico YubiKey ، فمن السهل جدًا خسارتها.

يأتي Yubico Yubikey Series 5 في العديد من التكوينات المختلفة.

مشكلة استرداد الحساب

ما يشير إليه تيد في رسالته هو أن العديد من الشركات تطلب منك إعداد طريقة 2FA ثانية ، بالإضافة إلى مفتاح أمان الأجهزة. على سبيل المثال ، تتطلب Google منك استخدام إما الرسائل القصيرة أو تثبيت تطبيق Authenticator للشركة أو تسجيل جهازك لتلقي إشعارات الدفع من Google التي تتحقق من حسابك. يبدو أنك بحاجة إلى واحد على الأقل من هذه الخيارات الثلاثة كنسخة احتياطية لأي خيار 2FA آخر تستخدمه ، مثل مفاتيح Titan من Google.

حتى إذا قمت بتسجيل مفتاح أمان ثانٍ كنسخة احتياطية ، فلا تزال بحاجة إلى تمكين SMS أو Google Authenticator أو الإخطارات المباشرة. بشكل خاص ، إذا كنت تريد استخدام برنامج الحماية المتقدمة من Google ، فيجب تسجيل مفتاح ثانٍ.

وبالمثل ، يتطلب Twitter أيضًا استخدام إما رموز الرسائل القصيرة أو تطبيق المصادقة بالإضافة إلى مفتاح أمان الأجهزة الاختياري. لسوء الحظ ، يسمح لك Twitter فقط بتسجيل مفتاح أمان واحد في كل مرة.

كما أشار تيد ، فإن هذه الطرق البديلة أقل أمانًا تقنيًا من استخدام مفتاح أمان بمفرده. لا يمكنني إلا أن أخمن سبب تنفيذ هذه الأنظمة بهذه الطريقة ، لكنني أشك في أنها تريد التأكد من أن عملائها يمكنهم الوصول دائمًا إلى حساباتهم. إن أكواد الرسائل القصيرة والتطبيقات المصادقة هي خيارات تم اختبارها على مدار الوقت يسهل على الأشخاص فهمها ولا تتطلب منهم شراء أجهزة إضافية. رموز SMS أيضا معالجة مشكلة سرقة الجهاز. إذا فقدت هاتفك أو سُرق ، فيمكنك قفله عن بُعد وإلغاء ترخيص بطاقة SIM الخاصة به والحصول على هاتف جديد يمكنه استلام رموز الرسائل القصيرة للعودة إلى الإنترنت.

أنا شخصياً أحب أن يكون لدي خيارات متعددة لأنني في الوقت الذي أشعر فيه بالقلق حيال الأمن ، أعرف نفسي أيضًا ، وأعلم أنني أفقد الأشياء أو أفشلها بشكل منتظم. أعلم أن الأشخاص الذين لم يستخدموا 2FA من قبل أبدًا قلقون جدًا بشأن العثور على أنفسهم مقفلين لحسابهم إذا استخدموا 2FA.

2FA هو في الواقع جيد جدا

من المهم دائمًا فهم عيوب أي نظام أمان ، ولكن هذا لا يؤدي إلى إبطال النظام. في حين أن 2FA تعاني من نقاط ضعف ، إلا أنها كانت ناجحة بشكل كبير.

مرة أخرى ، علينا فقط أن ننظر إلى Google. تطلب الشركة استخدام مفاتيح الأجهزة 2FA داخليًا ، وكانت النتائج تتحدث عن نفسها. اختفت عمليات الاستحواذ الناجحة على حساب موظفي Google على نحو فعال. هذا مهم بشكل خاص بالنظر إلى أن موظفي Google ، الذين يتمتعون بموقعهم في صناعة التكنولوجيا والثروة (المفترضة) ، هم الأساس للهجمات المستهدفة. هذا هو المكان الذي يبذل فيه المهاجمون مجهودًا كبيرًا لاستهداف أفراد معينين في أي هجوم. إنه أمر نادر الحدوث ، وعادة ما يكون ناجحًا إذا كان لدى المهاجم أموال كافية وصبر.

تشتمل حزمة أمان Google Titan Key Bundle على مفاتيح USB-A و Bluetooth.

التحذير هنا هو أن Google طلبت نوعًا معينًا من 2FA: مفاتيح أمان الأجهزة. هذه لها ميزة على خطط 2FA الأخرى باعتبارها صعبة للغاية للتصيد أو اعتراض بطريقة أخرى. قد يقول البعض أنه من المستحيل ، لكنني رأيت ما حدث لتيتانيك وأعرف بشكل أفضل.

ومع ذلك ، فإن أساليب اعتراض رموز الرسائل القصيرة (2FA) أو الرموز المميزة للمصادقة غريبة إلى حد ما ولا تتطور بشكل جيد. هذا يعني أنه من غير المرجح أن يتم استخدامها من قبل المجرم العادي ، الذي يتطلع إلى كسب بعض المال بأسرع وقت ممكن ، على الشخص العادي مثلك.

إلى Ted's point: مفاتيح أمان الأجهزة هي الطريقة الأكثر أمانًا التي رأيناها حتى الآن في لعبة 2FA. من الصعب جدًا التصيد والهجوم بشدة ، على الرغم من أنها لا تخلو من نقاط الضعف الكامنة فيها. علاوة على ذلك ، فإن مفاتيح الأجهزة 2FA مثبتة في المستقبل إلى حد ما. تبتعد العديد من الشركات عن رموز الرسائل القصيرة ، وقد تبنت بعضها عمليات تسجيل الدخول بدون كلمة مرور والتي تعتمد بالكامل على مفاتيح الأجهزة 2FA التي تستخدم معيار FIDO2. إذا كنت تستخدم مفتاح الجهاز الآن ، فهناك فرصة جيدة لأن تكون آمنًا لسنوات قادمة.

يعد Nitrokey FIDO U2F بأمان مفتوح المصدر.

  • مصادقة ثنائية العامل: من يملكها وكيفية إعدادها مصادقة ثنائية العامل: من يملكها وكيفية إعدادها
  • Google: هجمات التصيد الاحتيالي التي يمكنها التغلب على عاملين في ارتفاع Google: هجمات الاحتيال التي يمكنها التغلب على عاملين في ارتفاع
  • SecurityWatch: كيفية عدم الحصول على تأمين مع مصادقة ثنائية العامل SecurityWatch: كيفية عدم الحصول على تأمين مع مصادقة ثنائية العامل

نظرًا لأنه آمن مثل مفاتيح الأجهزة 2FA ، يتطلب النظام الإيكولوجي الأكبر إجراء بعض التنازلات من أجل منعك من قفل حسابك دون داع. يجب أن تكون تقنية 2FA عبارة عن تقنية يستخدمها الأشخاص فعليًا ، وإلا فإنها لا تستحق أي شيء على الإطلاق.

بالنظر إلى الخيار ، أعتقد أن معظم الأشخاص سيستخدمون خيارات 2FA القائمة على الرسائل والتطبيقات لأنها أسهل في الإعداد وخالية من الفعالية. قد لا تكون هذه هي أفضل الخيارات الممكنة ، ولكنها تعمل بشكل جيد للغاية بالنسبة لمعظم الناس. ومع ذلك ، قد يتغير ذلك قريبًا ، حيث تتيح لك Google استخدام جهاز محمول يعمل بنظام Android 7.0 أو إصدار أحدث كمفتاح أمان للجهاز.

على الرغم من القيود المفروضة عليه ، ربما يكون 2FA هو أفضل شيء فردي لحماية المستهلك منذ مكافحة الفيروسات. يمنع بدقة وفعالية بعض الهجمات الأكثر تدميرا ، كل ذلك دون إضافة الكثير من التعقيد على حياة الناس. ومع ذلك ، تقرر استخدام 2FA ، واختيار الطريقة المناسبة لك. عدم استخدام 2FA هو أكثر ضررا بكثير من استخدام نكهة 2FA أقل قليلا.

الأمن: هل المصادقة ثنائية تجعلك أكثر أمانا؟