A gyakran 2FA-ként emlegetett kétfaktoros hitelesítés leggyakoribb megjelenési formája az SMS. Gyakori, hogy az alkalmazások és a biztonságos szolgáltatások azt javasolják, hogy legalább SMS-ben adja hozzá a 2FA-t, például amikor bejelentkezik fiókjába – akár mindig, akár csak új eszközről. Ezzel a rendszerrel a mobiltelefon a második hitelesítési módszer.
Az SMS egy rövid, egyszer használatos kódból áll, amelyet a szolgáltatásba beírunk. Így Hacker Ricsinek hozzá kell férnie a jelszavunkhoz és telefonunkhoz, hogy beléphessen fiókunkba. Az egyik meglehetősen nyilvánvaló probléma a hálózati lefedettség. Mi van, ha a semmi közepén ragadunk jel nélkül, vagy külföldre utazunk, ahol nem férhetünk hozzá a mobilszolgáltatóhoz? Nem kapjuk meg a kódot tartalmazó üzenetet, és nem tudunk bejelentkezni.
De legtöbbször ez a módszer kényelmes (ha a telefonunk kéznél van) és vannak olyan szolgáltatások is, amelyekben automatizált rendszer kimondja a kódot, így vezetékes telefonnal is használható, ha nem tudunk szöveges üzeneteket fogadni.
Google Authenticator, Authy, generált kódok
Potenciálisan jobb alternatívája az SMS-nek, mert nem függ a vezeték nélküli szolgáltatótól. A Google Authenticator a legnépszerűbb alkalmazás a kategóriájában, de ha nem szeretnénk a Google-ra hagyatkozni az ilyen jellegű szolgáltatásban, akkor vannak olyan átfogó alternatívák, mint az Authy, amely titkosított biztonsági másolatot készít az idők során keletkezett kódokról, valamint több a platform és offline támogatás is. A Microsoft és a Lastpass is rendelkezik saját hitelesítővel.
Ezek az alkalmazások folyamatosan generálnak időspecifikus kódokat, internetkapcsolattal vagy anélkül. Az egyetlen kompromisszum az, hogy az alkalmazás beállítása kissé bonyolult. Miután beállítottuk az adott szolgáltatást a Authenticatorral, a rendszer kéri, hogy a felhasználónév és a jelszó mellett egy hitelesítési kódot is adjunk meg. Az okostelefonon lévő Google Authenticator alkalmazásra kell támaszkodnunk, hogy új kódot kapjunk. A kódok egy percen belül lejárnak, ezért néha gyorsan kell dolgozni, hogy beírjuk az aktuális kódot, mielőtt lejárna és újabb kódot kellene használni.
Fizikai hitelesítési kulcsok
Ha fejfájást kapnánk a kódoktól, alkalmazásoktól, hitelesítőktől és SMS-üzenetektől, akkor van egy másik lehetőség, amely egyre népszerűbb: a fizikai hitelesítési kulcs. Ez egy kis USB-eszköz, amelyet a kulcstartónkra helyezhetünk. Amikor egy új számítógépen bejelentkezünk a fiókunkba, egyszerűen behelyezzük az USB-kulcsot és megnyomjuk a gombját. És kész.
Erre létezik egy szabvány, az U2F. A Google, a Dropbox, a GitHub fiókok és még sokan mások kompatibilisek az U2F tokennel. A fizikai hitelesítési kulcsok NFC-vel és Bluetooth-szal is működhetnek, hogy olyan eszközökkel is kommunikáljanak, amelyek nem rendelkeznek USB-porttal.
Alkalmazásalapú és e-mail hitelesítés
Sok alkalmazás és szolgáltatás teljesen kihagyja a fenti lehetőségeket és a mobilalkalmazáson keresztül ellenőrzi a felhasználót. Például, ha engedélyezzük a “Bejelentkezés ellenőrzése” funkciót a Twitteren, amikor először jelentkezónk be a Twitterre egy új eszközről, akkor a bejelentkezést a telefonon lévő bejelentkezési alkalmazásból kell igazolnunk. A Twitter meg akar győződni arról, hogy a bejelentkezés előtt nálunk van a telefonunk, nem pedig Hacker Ricsinél.
Hasonlóképpen a Google-fiókok is valami hasonlót kínálnak, amikor egy új számítógépen bejelentkezünk, arra kér, hogy nyissuk meg a Gmailt a telefonon. Az Apple szintén az iOS-t használja az új eszközök bejelentkezésének ellenőrzésére. Új eszközön történő bejelentkezéskor egy egyszer használatos kódot küld egy már használt Apple-eszközre.
Az e-mail-alapú rendszerek, ahogyan azt a leírásból valószínűleg már mindenki kitalálta, az e-mail fiókunkat használja másodfaktoros hitelesítésként. Amikor bejelentkezünk egy olyan alkalmazásba vagy szolgáltatásba, amely ezt a lehetőséget használja, az egyszer használatos kódot a regisztrált e-mail címére küldi a további ellenőrzéshez.
Melyek azok a gyakori szolgáltatások, ahol a 2FA engedélyezése ajánlott?
- Google, Gmail, Hotmail, Outlook, Yahoo Mail
- Lastpass, 1Password, Keepass vagy bármely más jelszókezelő
- Dropbox, iCloud, OneDrive, Google Drive (és más felhőszolgáltatások, ahol értékes adatokat tárolhatunk)
- Banki szolgáltatások, PayPal és más pénzügyi szolgáltatások, amelyek támogatják ez
- Facebook, Twitter, LinkedIn
- Steam (arra az esetre, ha a játékkönyvtárunk történetesen többet ér, mint a bankszámlánk egyenlege)
Ha rés keletkezik, azonnal kapcsolja be a kétfaktoros hitelesítést?
Akkor már mindegy! A probléma az, hogy nem lehet csak úgy felkapcsolni és bekapcsolni a 2FA-t. A 2FA elindítása azt jelenti, hogy tokeneket kell kibocsátani, vagy kriptográfiai kulcsokat kell beágyazni más eszközökbe. A szolgáltatás megsértése esetén, biztonsági szakértők azt javasolják, hogy először a jelszavakat változtassuk meg és csak ezután kapcsoljuk be a 2FA-t. Továbbra is fontos a nehezen kitalálható jelszavak használata és a jelszavak különböző szolgáltatásokban/weboldalakon való újrafelhasználása.
Most akkor engedélyezzük a kétfaktoros hitelesítést vagy ne?
Igen. Különösen a kritikus szolgáltatások esetében, amelyek személyes adatokat és pénzügyi információkat tartalmaznak.
Hogyan hibázhat a 2FA egy sikeres adathalász kísérlet esetén?
A kétfaktoros hitelesítés egy adathalász-támadás során meghiúsulhat, ha a támadó ráveszi a felhasználót, hogy egy hamis oldalon adja meg a 2FA-kódját. A támadó ekkor hozzáfér a felhasználó bejelentkezési adataihoz és a 2FA-kódhoz is, megkerülve a 2FA biztonságát. Ennek megelőzése érdekében fontos, hogy a felhasználók tisztában legyenek az adathalászkísérletekkel és az adatok megadása előtt ellenőrizzék a bejelentkezési és 2FA-oldalak hitelességét.
Ez csak egy bosszantó extra, kevés előnnyel!
Nos, ilyen hozzáállással nem jutunk sehova. A valóságban egyes vállalkozások vagy szolgáltatások a 2FA-t megfelelési követelményként közelítik meg, ahelyett, hogy olyasvalami lenne, ami segíthet a csalások csökkentésében. Más vállalatok a minimálisan előírt 2FA-t használják, amely alig tesz valamit, csak azért, hogy kipipálják a 2FA-tickboxot. Felhasználóként bosszantó lehet a 2FA, de ha egy szolgáltató rugalmas hitelesítési módszert használ (nem csak a minimumot), az csökkentheti a csalás lehetőségét. És ki ne szeretné ezt?