Er SMS 2FA værd at bruge?

Ja, hvis der ikke tilbydes en bedre løsning. SMS 2FA er dramatisk bedre end ingen 2FA - det stopper hovedparten af angreb, der fylder legitimationsoplysninger. Men for enhver konto, hvor du kan bruge TOTP eller en hardwarenøgle i stedet, skal du gøre det. SIM swap-angreb mod SMS-beskyttede konti har ført til reelle tab, især for kryptovaluta og højprofilerede sociale konti.

Hvilken godkendelsesapp skal jeg bruge?

Aegis (open source, Android) og Raivo (open source, iOS) er rene valg. 1Password og Bitwarden kan gemme TOTP-hemmeligheder sammen med adgangskoder. Undgå Google Authenticator, hvis du ikke har nogen backup - indtil for nylig blev den ikke synkroniseret, og mange brugere har mistet konti efter at have mistet telefonen. Authy synkroniserer, men havde et brud på kontaktdatabasen i 2024.

Er hardwarenøgler prisen værd?

For dine konti af høj værdi, ja. Et par YubiKeys (en primær, en backup i et pengeskab) koster i alt omkring 90 $ og er den højeste gearingsinvestering, de fleste mennesker nogensinde vil foretage. Enhver konto, der kan konfigureres til at kræve en hardwarenøgle - og mange kritiske kan - bør være det.

TOTP- og push-meddelelser kan omgås af phishing i realtid (angriberen proxyer login til det rigtige websted). Hardwarenøgler (FIDO2) kan ikke, fordi oprindelsesbindingen gør signaturen stedspecifik. Kontogendannelsesstrømme svækker også 2FA - hvis du kan nulstille 2FA via SMS, bliver SMS'en angrebsoverfladen.

Hvorfor understøtter nogle websteder kun SMS 2FA?

Implementeringsomkostninger og tilgængelighed. SMS fungerer på alle telefoner uden en appinstallation; TOTP/FIDO kræver en engangsopsætning, som nogle brugere finder forvirrende. Store banker har været langsomme til at vedtage FIDO; cloud- og teknologitjenester tog det i brug for år siden. Den gode nyhed: hvert websted, der betyder mest for din sikkerhed, understøtter mindst TOTP, og de fleste understøtter hardwarenøgler.

To-faktor-godkendelse forklaret: TOTP, Push, SMS og hardwarenøgler

En adgangskode alene er en faktor - "noget du kender." En angriber, der stjæler eller gætter på den, ejer kontoen. To-faktor autentificering tilføjer en anden, uafhængig faktor - "noget du har" eller "noget du er" - der gør den samme stjålne adgangskode ubrugelig. Den svære del er ikke, om man skal bruge 2FA. Det er hvilken metode man skal bruge, for metoderne er ikke lige stærke.

Hele artiklens krop findes på engelsk nedenfor.

Ttofaktorgodkendelse (2FA) eller multifaktorgodkendelse (MFA) kræver en ekstra legitimation ud over adgangskoden for at logge ind. Faktorkategorierne er:

Noget du kender —PIN9X, sikkerhed aXPLZ,adgangskode spørgsmål
Noget du har — en telefon, et hardwaretoken, et smartkort
Noget du er — fingeraftryk, ansigt, nethinde, stemme standard. En adgangskode plus et sikkerhedsspørgsmål er ikke ægte 2FA - begge er "noget du kender." Sårbar over for SIM-bytning (en angriber overbeviser operatøren om at portere dit nummer) og over for aflytning via SS7-svagheder. Stadig bedre end ingen 2FA, men den svageste mulighed, der stadig er meget brugt.
E-mail-leverede koder — kun så stærk som selve e-mail-kontoen, som ofte har svagere 2FA. Acceptabel som en sidste-udvejsgendannelsesmetode, ikke en primær faktor.
TOTP (Time-Based One-Time Password) — koder genereret af en autentificeringsapp (Aegis, Authy, Google Authenticator, 1Password) hvert 30. sekund, afledt af en delt. Phishable, da en angriber i realtid, som narre dig til at indtaste koden på et falsk websted, kan afspille den igen.
Push notifikationer — "godkend dette login?" meddelelser på en betroet enhed. Praktisk, men sårbar over for "MFA-træthed", hvor hackere spam-godkendelser, indtil brugeren trykker ja.
Hardwaresikkerhedsnøgler (FIDO2/WebAuthn) — fysiske USB/NFC-tokens som YubiKey, Solo, Google Titan. Nøglen tegner en udfordring fra webstedet, der kryptografisk binder svaret til webstedets oprindelse - hvilket betyder, at phishing er umuligt, fordi et falsk websted ikke kan udløse den rigtige signatur. Dette er guldstandarden.

Sådan virker TOTP faktisk

Når du tilmelder dig, viser webstedet en QR-kode, der indeholder en delt 160-bit hemmelighed. Din autentificeringsapp gemmer den. For at generere en kode tager appen:

T den aktuelle Unix-tid divideret med 30 (giver en tæller, der stiger hvert 30. sekund).
HMAC-SHA1 med den delte hemmelighed over tælleren.
udtrækker det dynamiske output fra HMAC-cifrene trunkering).

Serveren beregner uafhængigt den samme værdi og accepterer koden, hvis den matcher. Protokollen er defineret i RFC 6238; den er symmetrisk, helt offline og kører på hver autentificeringsapp.

Hvorfor hardwarenøgler er forskellige

FIDO2/WebAuthn binder godkendelsen til webstedets oprindelse i selve protokollen. Hardwarenøglen afslører aldrig sin private nøgle; det beviser kun besiddelse ved at underskrive en udfordring, der inkluderer webstedets domæne. Hvis et phishing-sted på evil.com beder om en YubiKey-signatur, tegner nøglen en udfordring for evil.com - som den rigtige bankside ikke vil acceptere. Med TOTP kan brugeren indtaste deres 6-cifrede kode i evil.com, som videresender den til den rigtige bank i realtid. Hardwarenøgler lukker det hul.

Recovery codes

Hver 2FA-beskyttede konto bør have backup-gendannelseskoder udskrevet og gemt fysisk - i et pengeskab med vigtige dokumenter, hvor som helst undtagen på den samme enhed, som indeholder den anden faktor. Hvis du mister den anden faktor uden gendannelseskoder, låser du dig permanent ude for de fleste tjenester. Gendannelsesflowet varierer: nogle tjenester accepterer identitetsbekræftelse af support, men tendensen går i retning af hårde lockouts for konti uden gendannelseskoder.

Passkeys: 2FA i ét tryk

Passkeys (FIDO2-legitimationsoplysninger gemt i dit OS-nøglering eller biometrisk-manager) til at kollapse en enkelt kodeord + en anden enhed, der allerede har sendt en PIN-kode + en anden enhed. godkendelse på enhedsniveau. De er phishing-sikre af samme grund, som hardwarenøgler er, og de synkroniseres via iCloud-nøglering, Google Password Manager, 1Password osv. Den mellemlange retning er at erstatte adgangskode + 2FA med adgangsnøgler til nye websteder, mens adgangskode + hardwarenøgle beholdes for ældre websteder.

Hvor 2FA betyder mest

De højværdikonti, der kræver stærk 2FA: din primære e-mail (gendannelsesvektor for alt andet), din adgangskodeadministrator, din bank, din domæneregistrator, dine skykonti (AWS/GCP/Azure) og dine kodelagre (GitHub/GitLab). Til disse er en hardwarenøgle - helst to til backup - den passende investering. For alt andet er TOTP via en autentificeringsapp den praktiske standard.

Ofte stillede spørgsmål

Er SMS 2FA værd at bruge?: Ja, hvis der ikke tilbydes en bedre løsning. SMS 2FA er dramatisk bedre end ingen 2FA - det stopper hovedparten af angreb, der fylder legitimationsoplysninger. Men for enhver konto, hvor du kan bruge TOTP eller en hardwarenøgle i stedet, skal du gøre det. SIM swap-angreb mod SMS-beskyttede konti har ført til reelle tab, især for kryptovaluta og højprofilerede sociale konti.
Hvilken godkendelsesapp skal jeg bruge?: Aegis (open source, Android) og Raivo (open source, iOS) er rene valg. 1Password og Bitwarden kan gemme TOTP-hemmeligheder sammen med adgangskoder. Undgå Google Authenticator, hvis du ikke har nogen backup - indtil for nylig blev den ikke synkroniseret, og mange brugere har mistet konti efter at have mistet telefonen. Authy synkroniserer, men havde et brud på kontaktdatabasen i 2024.
Er hardwarenøgler prisen værd?: For dine konti af høj værdi, ja. Et par YubiKeys (en primær, en backup i et pengeskab) koster i alt omkring 90 $ og er den højeste gearingsinvestering, de fleste mennesker nogensinde vil foretage. Enhver konto, der kan konfigureres til at kræve en hardwarenøgle - og mange kritiske kan - bør være det.
Kan 2FA omgås?: TOTP- og push-meddelelser kan omgås af phishing i realtid (angriberen proxyer login til det rigtige websted). Hardwarenøgler (FIDO2) kan ikke, fordi oprindelsesbindingen gør signaturen stedspecifik. Kontogendannelsesstrømme svækker også 2FA - hvis du kan nulstille 2FA via SMS, bliver SMS'en angrebsoverfladen.
Hvorfor understøtter nogle websteder kun SMS 2FA?: Implementeringsomkostninger og tilgængelighed. SMS fungerer på alle telefoner uden en appinstallation; TOTP/FIDO kræver en engangsopsætning, som nogle brugere finder forvirrende. Store banker har været langsomme til at vedtage FIDO; cloud- og teknologitjenester tog det i brug for år siden. Den gode nyhed: hvert websted, der betyder mest for din sikkerhed, understøtter mindst TOTP, og de fleste understøtter hardwarenøgler.