Kannattaako SMS 2FA:ta käyttää?

Kyllä, jos parempaa vaihtoehtoa ei tarjota. SMS 2FA on dramaattisesti parempi kuin ei 2FA - se pysäyttää suurimman osan tunnistetietojen täyttämisestä. Mutta kaikilla tileillä, joilla voit käyttää TOTP:tä tai laitteistoavainta sen sijaan, tee. SIM-swap-hyökkäykset SMS-suojattuja tilejä vastaan ovat johtaneet todellisiin tappioihin erityisesti kryptovaluutoilla ja korkean profiilin sosiaalisissa tileissä.

Mitä todennussovellusta minun pitäisi käyttää?

Aegis (avoin lähdekoodi, Android) ja Raivo (avoin lähdekoodi, iOS) ovat puhtaita valintoja. 1Password ja Bitwarden voivat tallentaa TOTP-salaisuuksia salasanojen rinnalle. Vältä Google Authenticatoria, jos sinulla ei ole varmuuskopiota – viime aikoihin asti se ei synkronoitunut, ja monet käyttäjät ovat menettäneet tilinsä puhelimen menettämisen jälkeen. Authy synkronoi, mutta siinä oli yhteystietokantamurto vuonna 2024.

Ovatko laitteistoavaimet hintansa arvoisia?

Arvokkaille tileillesi kyllä. YubiKeys-pari (yksi ensisijainen, yksi varmuuskopio tallelokerossa) maksaa yhteensä noin 90 dollaria, ja se on suurin vipuvaikutteinen tietoturvasijoitus, jonka useimmat ihmiset koskaan tekevät. Kaikkien tilien, jotka voidaan määrittää vaatimaan laitteistoavainta – ja monet kriittiset voivat – pitäisi olla.

Voidaanko 2FA ohittaa?

TOTP- ja push-ilmoitukset voidaan ohittaa reaaliaikaisella tietojenkalastelulla (hyökkääjä välittää kirjautumisen oikealle sivustolle). Laitteistoavaimet (FIDO2) eivät voi, koska alkuperän sidonta tekee allekirjoituksesta paikkakohtaisen. Tilin palautusvirrat heikentävät myös 2FA:ta – jos voit nollata 2FA:n tekstiviestillä, tekstiviestistä tulee hyökkäyspinta.

Miksi jotkut sivustot tukevat vain SMS 2FA:ta?

Käyttöönottokustannukset ja saavutettavuus. SMS toimii kaikissa puhelimissa ilman sovelluksen asennusta; TOTP/FIDO vaativat kertaluonteisen asennuksen, joka on joidenkin käyttäjien mielestä hämmentävää. Suuret pankit ovat olleet hitaita ottamaan käyttöön FIDOa; pilvi- ja teknologiapalvelut ottivat sen käyttöön vuosia sitten. Hyvä uutinen: jokainen tietoturvasi kannalta tärkein sivusto tukee vähintään TOTP:tä ja useimmat tukevat laitteistoavaimia.

Kaksivaiheinen todennus selitetty: TOTP, Push, SMS ja laitteistoavaimet

Salasana yksin on yksi tekijä - "jotain, jonka tiedät". Hyökkääjä, joka varastaa tai arvaa omistavansa tilin. Kaksivaiheinen todennus lisää toisen riippumattoman tekijän - "jotain sinulla on" tai "jotain, mitä olet" - joka tekee samasta varastetusta salasanasta hyödyttömän. Vaikeinta ei ole käyttää 2FA:ta. Se on mitä menetelmää käyttää, koska menetelmät eivät ole yhtä vahvoja.

Artikkelin koko runko on englanniksi alla.

Kaksivaiheinen todennus (2FA) tai Monivaiheinen todennus (MFA) vaatii salasanan lisäksi lisätunnuksia sisäänkirjautumiseen. Tekijäluokat ovat:

Jotain mitä tiedät – salasana, PIN, suojaus kysymys
Jotain, mitä sinulla on — puhelin, laitteistotunnus, älykortti
Jotain, mitä olet — sormenjälki, kasvot, verkkokalvo, ääni

Two1 on kategorioiden X2X standardia. Salasana ja turvakysymys eivät ole todellisia 2FA – molemmat ovat "jotain, jonka tiedät".

Tekijän sijoitus

Heikoimmasta vahvimpaan:

SMS – alkuperäinen valtavirran 2FA. Alttiina SIM-kortin vaihdolle (hyökkääjä vakuuttaa operaattorin siirtämään numerosi) ja siepaukselle SS7-heikkoudelle. Silti parempi kuin ei 2FA:ta, mutta heikoin vaihtoehto, jota käytetään edelleen laajalti.
Sähköpostissa toimitetut koodit – vain yhtä vahva kuin itse sähköpostitili, jolla on usein heikompi 2FA. Hyväksyttävä viimeisenä keinona palautusmenetelmänä, ei ensisijaisena tekijänä.
TOTP (Time-Based One-Time Password) – todennussovelluksen (Aegis, Authy, Google Authenticator, 1Password) luomat koodit, jotka johdetaan jaetusta salaisuudesta 30 sekunnin välein. Tietojenkalastelu, koska reaaliaikainen hyökkääjä, joka huijaa sinut syöttämään koodin väärennetylle sivustolle, voi toistaa sen.
Push-ilmoitukset — "hyväksytäänkö tämä kirjautuminen?" ilmoituksia luotetussa laitteessa. Kätevä, mutta herkkä "MFA-väsymykselle", jossa hyökkääjät lähettävät hyväksyntöjä roskapostiksi, kunnes käyttäjä napauttaa kyllä.
Laitteiston suojausavaimet (FIDO2/WebAuthn) – fyysiset USB/NFC-tunnukset, kuten YubiKey, Solo, Google Titan. Avain allekirjoittaa haasteen sivustolta ja sitoo vastauksen kryptografisesti sivuston alkuperään – eli tietojenkalastelu on mahdotonta, koska väärennetty sivusto ei voi laukaista oikeaa allekirjoitusta. Tämä on kultainen standardi.

Kuinka TOTP todella toimii

Kun rekisteröidyt, sivusto näyttää QR-koodin, joka sisältää jaetun 160-bittisen salaisuuden. Todennussovelluksesi tallentaa sen. Luodakseen koodin sovellus:

Ottaa nykyisen Unix-ajan jaettuna 30:llä (antaa laskurin, joka kasvaa 30 sekunnin välein).
HMAC-SHA1 jaetulla salaisuudella. katkaisu).

Palvelin laskee itsenäisesti saman arvon ja hyväksyy koodin, jos se vastaa. Protokolla on määritelty RFC 6238:ssa; se on symmetrinen, täysin offline-tilassa ja toimii kaikissa autentikointisovelluksissa.

Miksi laitteistoavaimet ovat erilaisia

FIDO2/WebAuthn sitoo todennuksen verkkosivuston alkuperään itse protokollassa. Laitteistoavain ei koskaan paljasta yksityistä avaimensa; se vain osoittaa hallussapidon allekirjoittamalla haasteen, joka sisältää sivuston verkkotunnuksen. Jos verkkourkintasivusto osoitteessa evil.com pyytää YubiKey-allekirjoitusta, avain merkitsee haastetta evil.comille – jota oikea pankkisivusto ei hyväksy. TOTP:n avulla käyttäjä voi kirjoittaa 6-numeroisen koodinsa evil.com-sivustolle, joka välittää sen reaaliajassa oikealle pankille. Laitteistoavaimet sulkevat tämän reiän.

Palautuskoodit

Jokaisella 2FA-suojatulla tilillä tulee olla palautuskoodien varmuuskopiot tulostettuina ja tallennettuina fyysisesti – kassakaapissa tärkeiden asiakirjojen kanssa kaikkialla paitsi samassa laitteessa, jossa toinen tekijä on. Toisen tekijän menettäminen ilman palautuskoodeja sulkee sinut pysyvästi useimpien palveluiden ulkopuolelle. Palautuskulku vaihtelee: jotkin palvelut hyväksyvät henkilöllisyyden vahvistuksen tuen avulla, mutta suuntaus on kohti kovaa lukitusta tilille, jolla ei ole palautuskoodeja.

Passkeys: 2FA yhdellä napautuksella

Passkeys (FIDO2-tunnistetiedot, jotka on tallennettu käyttöjärjestelmän avainnippuun tai salasanan hallintaan) tai PIN-koodin tarkistus jo toiseen salasananhallintaan läpäissyt laitetason todennuksen. Ne ovat tietojenkalasteluturvallisia samasta syystä kuin laitteistoavaimetkin, ja ne synkronoidaan iCloud Keychainin, Google Password Managerin, 1Passwordin jne. kautta. Keskipitkän aikavälin suunta on korvata salasana + 2FA uusien sivustojen salasanoilla, mutta säilyttää salasana + laitteistoavain vanhoille.

Missä 2FA:lla on eniten merkitystä

Korkeaarvoiset tilit, jotka vaativat vahvan 2FA:n: ensisijainen sähköpostiosoitteesi (palautusvektori kaikkeen muuhun), salasanasi hallinta, pankkisi, verkkotunnuksesi rekisteröijä, pilvitilisi (AWS/GCP/Azure) ja koodivarastot (GitHub/GitLab). Näille laitteistoavain – mieluiten kaksi varmuuskopiointia varten – on sopiva investointi. Kaikessa muussa TOTP autentikointisovelluksen kautta on käytännöllinen oletusarvo.

Usein kysytyt kysymykset

Kannattaako SMS 2FA:ta käyttää?: Kyllä, jos parempaa vaihtoehtoa ei tarjota. SMS 2FA on dramaattisesti parempi kuin ei 2FA - se pysäyttää suurimman osan tunnistetietojen täyttämisestä. Mutta kaikilla tileillä, joilla voit käyttää TOTP:tä tai laitteistoavainta sen sijaan, tee. SIM-swap-hyökkäykset SMS-suojattuja tilejä vastaan ovat johtaneet todellisiin tappioihin erityisesti kryptovaluutoilla ja korkean profiilin sosiaalisissa tileissä.
Mitä todennussovellusta minun pitäisi käyttää?: Aegis (avoin lähdekoodi, Android) ja Raivo (avoin lähdekoodi, iOS) ovat puhtaita valintoja. 1Password ja Bitwarden voivat tallentaa TOTP-salaisuuksia salasanojen rinnalle. Vältä Google Authenticatoria, jos sinulla ei ole varmuuskopiota – viime aikoihin asti se ei synkronoitunut, ja monet käyttäjät ovat menettäneet tilinsä puhelimen menettämisen jälkeen. Authy synkronoi, mutta siinä oli yhteystietokantamurto vuonna 2024.
Ovatko laitteistoavaimet hintansa arvoisia?: Arvokkaille tileillesi kyllä. YubiKeys-pari (yksi ensisijainen, yksi varmuuskopio tallelokerossa) maksaa yhteensä noin 90 dollaria, ja se on suurin vipuvaikutteinen tietoturvasijoitus, jonka useimmat ihmiset koskaan tekevät. Kaikkien tilien, jotka voidaan määrittää vaatimaan laitteistoavainta – ja monet kriittiset voivat – pitäisi olla.
Voidaanko 2FA ohittaa?: TOTP- ja push-ilmoitukset voidaan ohittaa reaaliaikaisella tietojenkalastelulla (hyökkääjä välittää kirjautumisen oikealle sivustolle). Laitteistoavaimet (FIDO2) eivät voi, koska alkuperän sidonta tekee allekirjoituksesta paikkakohtaisen. Tilin palautusvirrat heikentävät myös 2FA:ta – jos voit nollata 2FA:n tekstiviestillä, tekstiviestistä tulee hyökkäyspinta.
Miksi jotkut sivustot tukevat vain SMS 2FA:ta?: Käyttöönottokustannukset ja saavutettavuus. SMS toimii kaikissa puhelimissa ilman sovelluksen asennusta; TOTP/FIDO vaativat kertaluonteisen asennuksen, joka on joidenkin käyttäjien mielestä hämmentävää. Suuret pankit ovat olleet hitaita ottamaan käyttöön FIDOa; pilvi- ja teknologiapalvelut ottivat sen käyttöön vuosia sitten. Hyvä uutinen: jokainen tietoturvasi kannalta tärkein sivusto tukee vähintään TOTP:tä ja useimmat tukevat laitteistoavaimia.