Która opcja uwierzytelniania dwuskładnikowego jest najlepsza?
Na pierwszy rzut oka uwierzytelnianie dwuskładnikowe (2FA) jest bezwzględnie prostą i niezwykle skuteczną funkcją bezpieczeństwa. Zasadniczo, wdrażając uwierzytelnianie dwuskładnikowe, upewniasz się, że osoba atakująca nie może przejąć konta ofiary przy użyciu tylko nazwy użytkownika i hasła. Istnieje dodatkowy krok podczas procesu uwierzytelniania, bez którego dostęp nie zostanie przyznany. Do tej pory takie proste. Tutaj zaczyna się jednak komplikować.
Większość systemów 2FA korzysta z drugiego hasła tymczasowego (często określanego jako hasło jednorazowe lub OTP), które użytkownik musi wprowadzić, aby odblokować swoje konto. W innych przypadkach logowanie wymaga urządzenia sprzętowego lub tokena, który działa jako dowód, że użytkownik jest uprawniony do dostępu do konta. Toczy się wiele dyskusji na temat tego, która opcja jest lepsza - token sprzętowy lub OTP. Omówiono również kwestię, który z tokenów sprzętowych jest najlepszy, to samo dotyczy różnych sposobów wdrażania systemów 2FA opartych na OTP. Innymi słowy, dla wielu 2FA zadał więcej pytań niż odpowiedział.
Table of Contents
Dyskusja OTP
OTP jest dość solidnym drugim czynnikiem, ale należy go poprawnie wdrożyć. Jeśli OTP mają działać, muszą być unikalne i losowe. Jeśli hakerzy są w stanie zrozumieć algorytm mechanizmu, który tworzy OTP, mogą pokonać cały system 2FA. Mogą również być w stanie obejść ten problem, jeśli mają wystarczająco dużo czasu, aby odgadnąć OTP. Ze względu na użyteczność często OTP są 4 lub 6 cyfrowymi kodami, które można stosunkowo łatwo odgadnąć. Dlatego ważne jest, aby wygasły po upływie rozsądnego czasu. Oczywiście odpowiednie limity prędkości mogą również powstrzymać atakujących przed brutalnym zmuszaniem się do wejścia.
Można śmiało powiedzieć, że większość programistów i administratorów systemu, którzy wybrali 2FA oparte na OTP, przestrzegają tych zasad, a tego rodzaju ataki nie są tak częste. Jednak jeśli chodzi o metodę dostarczania OTP, sprawy wyglądają zupełnie inaczej.
Istnieje wiele różnych sposobów dostarczania OTP użytkownikowi. Możesz to zrobić za pomocą e-maila, SMS-a lub aplikacji uwierzytelniającej na smartfonie. Sporo ludzi traci spokój z powodu niepewności co do niektórych z tych mediów. W przeszłości omawialiśmy na przykład technologię wiadomości tekstowych, która jest dość stara i teoretycznie pozwala hakerom przechwytywać OTP i omijać 2FA. Od pewnego czasu wiadomości e-mail są również potępiane jako zbyt niepewne, aby przenosić poufne informacje, takie jak 2FA OTP.
Faktem jest, że najlepszym sposobem zapewnienia, że OTP nie mogą zostać przechwycone podczas transmisji, jest ich wcale. Właśnie dlatego aplikacje mobilne 2FA, takie jak Google Authenticator, są uważane za najlepszą opcję dla dwuskładnikowych systemów uwierzytelniania opartych na protokole OTP, które nie wymagają dodatkowego tokena sprzętowego. Problem z tymi aplikacjami polega jednak na tym, że użytkownicy, którzy nie mają smartfona, nie mogą z nich korzystać.
Czy tokeny sprzętowe są rozwiązaniem?
Idea aplikacji 2FA wywodzi się z tokenów sprzętowych, które również wykorzystują złożone funkcje kryptograficzne do tworzenia OTP na miejscu. Znane jako RSA SecurID, mają z grubsza rozmiar pilota i mają mały monochromatyczny wyświetlacz LCD, który pokazuje aktualny OTP. Możesz postrzegać to jako rozwiązanie, zwłaszcza jeśli niektórzy potencjalni użytkownicy nie mają smartfonów, ale jest jeszcze jedna rzecz do rozważenia. Nieodłączną luką w hasłach jednorazowych jest to, że podobnie jak zwykłe hasła, można je wyłudzić.
Dlatego według ekspertów ds. Bezpieczeństwa najbezpieczniejsze systemy 2FA polegają na kluczach U2F - tokenach sprzętowych, które zamiast generować i wyświetlać OTP, komunikują się bezpośrednio z komputerem lub urządzeniem mobilnym i automatycznie uwierzytelniają użytkownika. Są na tyle małe, że można je nosić na kółku na klucze, nie mają baterii, a technologia bezprzewodowa, na której polegają niektóre z nich, oznacza, że uwierzytelnianie jest często natychmiastowe. Ponieważ użytkownik nie musi wprowadzać OTP, jest to uważane za najlepszą metodę zarówno pod względem użyteczności, jak i bezpieczeństwa. Jednak wciąż nie jest idealny.
W przeciwieństwie do aplikacji 2FA, e-maili i, w większości przypadków, wiadomości tekstowych, klucze U2F nie są darmowe. Inwestycja nie jest ogromna, ale smutny jest fakt, że większość użytkowników nie jest szczególnie zainteresowana płaceniem za bezpieczeństwo, a nawet rozsądna cena może być dla nich barierą. Oczywiście istnieje również problem utraty małych tokenów.
Jak wybrać najbardziej odpowiednią implementację 2FA dla swojej usługi?
Podsumowując, nie ma czegoś takiego jak „idealne 2FA”. Niektóre implementacje są bezpieczniejsze niż inne, ale wszystkie mają swoje osobne problemy, co oznacza, że jeśli prowadzisz usługę online, musisz zdecydować, jaki rodzaj 2FA zamierzasz wdrożyć w zależności od użytkowników, ich potrzeb, i ich modele zagrożeń. W celu zapewnienia dodatkowej elastyczności większość dostawców usług pozwala użytkownikom wybrać implementację 2FA z listy kilku różnych opcji, i jest to być może najbardziej rozsądne podejście, biorąc pod uwagę różnorodność bazy użytkowników.
Upewnij się jednak, że nie zapomnisz jednej rzeczy - nawet najbardziej niepewny 2FA jest lepszy niż brak 2FA.
