セキュリティウォッチ Securitywatch:二要素認証は本当にあなたをより安全にしますか?

Securitywatch:二要素認証は本当にあなたをより安全にしますか?

目次:

ビデオ: ™â€žÃ˜Â§ الترÙÆ' إعلان شرÙÆ'Ø© زين إ�تؠيا سم (十一月 2024)

ビデオ: ™â€žÃ˜Â§ الترÙÆ' إعلان شرÙÆ'Ø© زين إ�تؠيا سم (十一月 2024)
Anonim

今週、私は底なしのメールバッグを掘り下げて、二要素認証(2FA)に関する別の質問に取り組みます。 それは私が以前に触れた主題ですが、それについて受け取った質問の量と特異性から判断すると、それは明らかに多くの人が考えている問題です。 2FAは、おそらく、一般の人がオンラインで安全に滞在するためにできる唯一の最善策だと考えているので、それについて延々と話すことができてうれしいです。

今日の質問は、2FAシステムが本当にクラックされているだけなのかどうかを尋ねたTedからの質問です。 Tedの手紙は簡潔にするために編集されていることに注意してください。 Tedは、2FAに関する他の私の文章を参照することからメッセージを始めます。

「セキュリティキーを登録すると、キーを紛失した場合やキーにアクセスできない場合に備えて、SMSパスコードがバックアップオプションになります」と書きました。 これが当てはまる場合、なぜこのデバイスは2FA SMSコードよりも安全なのですか? あなたが書いたように、「しかし、電話は盗まれる可能性があり、SIMジャッキングは今、私たちが心配する必要があるようです。」
誰かが自分が自分であること、セキュリティキーを紛失したこと、盗まれた/ジャックされた電話にSMSコードを送信する必要があることをGoogleに伝えないようにするにはどうすればよいですか? これを正しく理解している場合、このデバイスは2FA SMSテキストよりも安全ではありません。 それははるかに便利です、それは確かですが、私はそれがより安全であることを確認するために失敗します。
このすべての結果は、セキュリティキーがセキュリティを向上させるということですが、それは本質的に2FAよりも安全であるためではなく、使用する可能性が高いためです。 私は何が欠けていますか?

あなたは何も見逃していない、テッド。 実際、オンライン認証を取り巻く多くのセキュリティの根底にある基本的な問題を理解するのは賢明です。アカウントの復旧を不可能にせずに、どのようにして人々を安全に検証しますか?

2FAの基本

最初にいくつかの基本を説明しましょう。 2要素認証(2FA)は、可能性のある3つのリストから要素と呼ばれる2つのIDの証明を提示する必要があるセキュリティの概念です。

  • パスワードなど、 ご存知の もの。
  • 電話など、 持っている もの。
  • 指紋など、あなた が 何か。

実際には、2FAは多くの場合、パスワードを入力してサイトまたはサービスにサインインした後に行う2番目のことを意味します。 パスワードは最初の要素であり、2番目の要素は、特別なコードを使用して電話機に送信されるSMSメッセージか、iPhoneでAppleのFaceIDを使用することです。 パスワードを推測または盗むことができますが、攻撃者がパスワードと2番目の要素の両方を入手する可能性は低いという考え方です。

Tedは彼の手紙の中で、ハードウェア2FAキーについて具体的に尋ねています。 YubicoのYubiKeyシリーズはおそらく最も有名なオプションですが、唯一のオプションとはほど遠いものです。 Googleには独自のTitan Securityキーがあり、Nitrokeyはオープンソースキーを提供しています。

実用的な落とし穴

完璧なセキュリティシステムはなく、2FAも例外ではありません。 GoogleのアカウントセキュリティチームのプロダクトマネジメントリードであるGuemmy Kimは、アカウントの復旧と2FAに依存しているシステムの多くがフィッシングの影響を受けやすいことを正しく指摘しました。 これは、悪者が偽のサイトを使用して、あなたをだまして個人情報を入力させる場所です。

巧妙な攻撃者は、デバイスに送信されたSMS検証コードを表示したり、傍受したりすることを可能にするリモートアクセストロイの木馬を携帯電話に感染させる可能性があります。 または、説得力のあるフィッシングページを作成して、Google Authenticatorなどのアプリから生成された1回限りのコードを入力させることができます。 紙のバックアップコードの頼りになるオプションでさえ、コードを入力するようにだまされたフィッシングサイトによって傍受される可能性があります。

最もエキゾチックな攻撃の1つは、SMSメッセージを傍受するために、攻撃者がSIMカードのクローンを作成するか、電話会社をcompanyしてSIMカードの登録を解除するSIMジャッキングです。 このシナリオでは、攻撃者はあなたの電話番号を自分の電話番号として使用する可能性があるため、非常に効果的にあなたになりすますことができます。

それほどエキゾチックではない攻撃は、昔ながらの紛失と盗難です。 お使いの携帯電話または携帯電話上のアプリが主な認証者であり、それを紛失した場合、それは頭痛の種になります。 同じことがハードウェアキーにも当てはまります。 Yubico YubiKeyのようなハードウェアセキュリティキーは壊れにくいが、紛失しやすい。

Yubico Yubikeyシリーズ5には、さまざまな構成があります。

アカウント復旧の問題

Tedが彼の手紙で指摘しているのは、多くの企業がハードウェアセキュリティキーに加えて、2番目の2FAメソッドをセットアップする必要があるということです。 たとえば、Googleでは、SMSを使用するか、会社の認証アプリをインストールするか、アカウントを確認するGoogleからのプッシュ通知を受信するためにデバイスを登録する必要があります。 GoogleのTitanキーなど、使用する他の2FAオプションのバックアップとして、これら3つのオプションの少なくとも1つが必要なようです。

バックアップとして2つ目のセキュリティキーを登録する場合でも、SMS、Google認証システム、またはプッシュ通知を有効にする必要があります。 特に、Googleの高度な保護プログラムを使用する場合は、2番目のキーを登録する必要があります。

同様に、Twitterでは、オプションのハードウェアセキュリティキーに加えて、SMSコードまたは認証アプリのいずれかを使用する必要があります。 残念ながら、Twitterでは一度に1つのセキュリティキーしか登録できません。

Tedが指摘したように、これらの代替方法は、セキュリティキーを単独で使用するよりも技術的に安全性が低くなります。 これらのシステムがこのように実装された理由については推測することしかできませんが、顧客が常に自分のアカウントにアクセスできるようにしたいと思うのではないでしょうか。 SMSコードと認証アプリは、人々が理解しやすく、追加のデバイスを購入する必要がない、実績のあるオプションです。 SMSコードは、デバイスの盗難の問題にも対処します。 電話を紛失したり盗まれたりした場合、リモートでロックしてSIMカードの認証を解除し、SMSコードを受信できる新しい電話を取得してオンラインに戻すことができます。

個人的には、セキュリティについて心配している間、私は自分自身も知っており、私はかなり定期的に物を失ったり壊したりするので、複数のオプションを利用できるようにしています。 2FAを使用したことがない人は、2FAを使用している場合、アカウントからロックアウトされていることに気がつくことを知っています。

2FAは実際には非常に良い

セキュリティシステムの欠点を理解することは常に重要ですが、それによってシステムが無効になるわけではありません。 2FAには弱点がありますが、非常に成功しています。

繰り返しになりますが、Googleに注目するだけです。 会社はハードウェア2FAキーを内部で使用することを要求し、結果はそれを物語っています。 Google従業員のアカウント乗っ取りの成功は事実上消滅しました。 これは、Googleの従業員が技術業界での地位と(推定)富を持ち、標的型攻撃の第一人者であることを考えると特に重要です。 これは、攻撃者が攻撃で特定の個人を標的とするために多大な努力を費やす場所です。 まれであり、攻撃者が十分な資金と忍耐力を持っている場合、通常成功します。

Google Titanセキュリティキーバンドルには、USB-AキーとBluetoothキーが含まれています。

ここでの注意点は、Googleが特定のタイプの2FAを必要としたことです:ハードウェアセキュリティキー。 これらには、フィッシングや傍受が非常に難しいという点で、他の2FAスキームに勝る利点があります。 不可能と言う人もいるかもしれませんが、タイタニック号に何が起こったのかを見て、よく知っています。

それでも、2FA SMSコードまたは認証トークンを傍受する方法はかなりエキゾチックであり、実際にはうまく拡張できません。 それは、あなたのような平均的な人に対して、できるだけ早く簡単にお金を稼ぎたいと考えている平均的な犯罪者によって使用される可能性が低いことを意味します。

Tedのポイント:ハードウェアセキュリティキーは、2FAを実行するためにこれまで見た中で最も安全な方法です。 固有の弱点がないわけではありませんが、フィッシングは非常に難しく、攻撃は非常に困難です。 さらに、2FAハードウェアキーはある程度まで将来にわたって保証されています。 多くの企業はSMSコードから離れつつあり、FIDO2標準を使用するハードウェア2FAキーに完全に依存するパスワードなしのログインを採用している企業もあります。 現在ハードウェアキーを使用している場合は、今後数年間安全である可能性が高くなります。

Nitrokey FIDO U2Fは、オープンソースのセキュリティを約束します。

  • 二要素認証:誰がそれを設定し、どのように設定するか二要素認証:誰がそれを設定し、どのように設定するか
  • Google:2ファクターに勝てるフィッシング攻撃が増えているGoogle:2ファクターに勝つフィッシング攻撃が増えている
  • SecurityWatch:2要素認証でロックアウトされない方法SecurityWatch:2要素認証でロックアウトされない方法

ハードウェア2FAキーと同じくらい安全ですが、より大きなエコシステムでは、不必要にアカウントからロックアウトされないようにするために、いくつかの妥協が必要です。 2FAは、人々が実際に使用するテクノロジーである必要があります。そうでなければ、まったく価値がありません。

選択肢があれば、ほとんどの人はセットアップが簡単で効果的に無料であるため、アプリとSMSベースの2FAオプションを使用すると思います。 これらは最良の選択肢ではないかもしれませんが、ほとんどの人にとって非常にうまく機能します。 ただし、Android 7.0以降を実行するモバイルデバイスをハードウェアセキュリティキーとして使用できるようになったため、状況はすぐに変わる可能性があります。

制限はありますが、2FAはおそらく、ウイルス対策以来の消費者セキュリティにとって唯一の最高のものです。 人々の生活にあまり複雑さを加えることなく、最も破壊的な攻撃のいくつかをきちんと効果的に防ぎます。 ただし、2FAを使用することにした場合は、自分に合った方法を選択してください。 2FAを使用しないことは、わずかに少ない2FAフレーバーを使用するよりもはるかに有害です。

Securitywatch:二要素認証は本当にあなたをより安全にしますか?