Isplati li se koristiti SMS 2FA?

Da, ako se ne ponudi bolja opcija. SMS 2FA dramatično je bolji nego bez 2FA — zaustavlja većinu napada gomilanjem vjerodajnica. Ali za bilo koji račun gdje umjesto toga možete koristiti TOTP ili hardverski ključ, učinite to. Napadi zamjenom SIM kartice na račune zaštićene SMS-om doveli su do stvarnih gubitaka, posebno za kriptovalute i društvene račune visokog profila.

Koju aplikaciju za autentifikaciju trebam koristiti?

Aegis (otvoreni kod, Android) i Raivo (otvoreni kod, iOS) čisti su izbori. 1Password i Bitwarden mogu pohraniti TOTP tajne uz lozinke. Izbjegavajte Google Authenticator ako nemate sigurnosnu kopiju — donedavno se nije sinkronizirao, a mnogi su korisnici izgubili račune nakon gubitka telefona. Authy se sinkronizira, ali je došlo do proboja baze podataka kontakata 2024.

Jesu li hardverski ključevi vrijedni tog troška?

Za vaše račune velike vrijednosti, da. Par YubiKeya (jedan primarni, jedan rezervni u sefu) košta ukupno oko 90 dolara i najveća je sigurnosna investicija koju će većina ljudi ikada napraviti. Svaki račun koji se može konfigurirati da zahtijeva hardverski ključ - a mnogi kritični mogu - trebao bi biti.

Može li se 2FA zaobići?

TOTP i push obavijesti mogu se zaobići phishingom u stvarnom vremenu (napadač prosljeđuje prijavu na stvarnu stranicu). Hardverski ključevi (FIDO2) ne mogu, jer izvorno vezivanje čini potpis specifičan za mjesto. Tokovi oporavka računa također slabe 2FA — ako možete resetirati 2FA putem SMS-a, SMS postaje površina za napad.

Zašto neke stranice podržavaju samo SMS 2FA?

Troškovi implementacije i pristupačnost. SMS radi na svakom telefonu bez instaliranja aplikacije; TOTP/FIDO zahtijevaju jednokratno postavljanje koje neki korisnici smatraju zbunjujućim. Velike banke sporo su usvojile FIDO; cloud i tehnološke usluge usvojile su ga prije mnogo godina. Dobre vijesti: svaka stranica koja je najvažnija za vašu sigurnost podržava barem TOTP, a većina podržava hardverske ključeve.

Objašnjenje dvofaktorske autentifikacije: TOTP, Push, SMS i hardverski ključevi

Sama lozinka je jedan faktor — "nešto što znate." Napadač koji ukrade ili pogodi da posjeduje račun. Dvofaktorska autentifikacija dodaje drugi, neovisni faktor — "nešto što imate" ili "nešto što jeste" — koji istu ukradenu lozinku čini beskorisnom. Teži dio nije treba li koristiti 2FA. Važno je koju metodu koristiti, jer metode nisu jednako jake.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

Dvofaktorska provjera autentičnosti (2FA) ili višefaktorska provjera autentičnosti (MFA) zahtijeva dodatnu vjerodajnicu osim lozinke za prijavu. Kategorije faktora su:

Nešto što znate — lozinka, PIN, sigurnost pitanje
Nešto što imate — telefon, hardverski token, pametnu karticu
Nešto što jeste — otisak prsta, lice, mrežnica, glas

Dva faktora iz različitih kategorija su standardni. Lozinka i sigurnosno pitanje nisu stvarni 2FA — oboje su "nešto što znate."

Raspored faktora

Od najslabijeg do najjačeg:

SMS — originalni mainstream 2FA. Ranjiv na zamjenu SIM kartice (napadač uvjerava operatera da prenese vaš broj) i na presretanje putem slabosti SS7. Još uvijek bolje nego bez 2FA, ali najslabija opcija koja se još uvijek naširoko koristi.
Kodovi isporučeni e-poštom — jaki samo koliko i sam račun e-pošte, koji često ima slabiji 2FA. Prihvatljivo kao krajnja metoda oporavka, a ne primarni čimbenik.
TOTP (jednokratna lozinka temeljena na vremenu) — kodovi koje generira aplikacija za autentifikaciju (Aegis, Authy, Google Authenticator, 1Password) svakih 30 sekundi, izvedeni iz dijeljene tajne. Phishable, budući da ga napadač u stvarnom vremenu koji vas prevari da unesete kod na lažnu stranicu može ponoviti.
Push obavijesti — "odobriti ovu prijavu?" obavijesti na pouzdanom uređaju. Zgodno, ali osjetljivo na "MFA zamor" gdje napadači neželjeno šalju odobrenja dok korisnik ne dodirne yes.
Hardverski sigurnosni ključevi (FIDO2/WebAuthn) — fizički USB/NFC tokeni kao što su YubiKey, Solo, Google Titan. Ključ označava izazov sa stranice, kriptografski vezujući odgovor za porijeklo stranice — što znači da je krađa identiteta nemoguća jer lažna stranica ne može pokrenuti pravi potpis. Ovo je zlatni standard.

Kako TOTP zapravo funkcionira

Kada se prijavite, stranica prikazuje QR kod koji sadrži zajedničku 160-bitnu tajnu. Vaša aplikacija za autentifikaciju to pohranjuje. Za generiranje koda, aplikacija:

Uzima trenutno Unix vrijeme podijeljeno s 30 (daje brojač koji se povećava svakih 30 sekundi).
HMAC-SHA1 s dijeljenom tajnom preko brojača.
Izdvaja 6 znamenki iz HMAC izlaza (dinamički skraćivanje).

Poslužitelj samostalno izračunava istu vrijednost i prihvaća kod ako odgovara. Protokol je definiran u RFC 6238; simetričan je, potpuno izvan mreže i radi na svakoj aplikaciji za provjeru autentičnosti.

Zašto su hardverski ključevi različiti

FIDO2/WebAuthn povezuje autentifikaciju s izvorom web stranice u samom protokolu. Hardverski ključ nikada ne otkriva svoj privatni ključ; samo dokazuje posjed potpisivanjem izazova koji uključuje domenu stranice. Ako stranica za krađu identiteta na adresi evil.com traži potpis YubiKey, ključ predstavlja izazov za evil.com — što stranica prave banke neće prihvatiti. Uz TOTP, korisnik može upisati svoj 6-znamenkasti kod u evil.com, koji ga prosljeđuje pravoj banci u stvarnom vremenu. Hardverski ključevi zatvaraju tu rupu.

Kodovi za oporavak

Svaki račun zaštićen 2FA trebao bi imati pričuvne kodove za oporavak ispisane i fizički pohranjene — na sigurnom, s važnim dokumentima, bilo gdje osim na istom uređaju koji drži drugi faktor. Gubitak drugog faktora bez kodova za oporavak trajno vas zaključava za većinu usluga. Tijek oporavka varira: neke usluge prihvaćaju provjeru identiteta od strane podrške, ali trend je prema čvrstom zaključavanju za račune bez kodova za oporavak.

Passkeys: 2FA u jednom dodiru

Passkeys (FIDO2 vjerodajnice pohranjene u vašem OS ključu ili upravitelju lozinki) sažimaju lozinku + drugi faktor u jednu biometrijsku ili PIN provjeru na uređaju koji je već prošao autentifikacija na razini uređaja. Otporni su na krađu identiteta iz istog razloga kao i hardverski ključevi, a sinkroniziraju se putem iCloud Keychaina, Google Password Managera, 1Passworda, itd. Srednjoročni smjer je zamjena lozinke + 2FA s ključevima za pristup za nove web-lokacije, uz zadržavanje lozinke + hardverskog ključa za naslijeđene.

Tamo gdje je 2FA najvažniji

Računi visoke vrijednosti koji zahtijevaju snažan 2FA: vaša primarna e-pošta (vektor za oporavak za sve ostalo), vaš upravitelj lozinki, vaša banka, vaš registrar domene, vaši računi u oblaku (AWS/GCP/Azure) i vaša spremišta kodova (GitHub/GitLab). Za njih je hardverski ključ - po mogućnosti dva za sigurnosnu kopiju - odgovarajuća investicija. Za sve ostalo, TOTP putem aplikacije za autentifikaciju praktična je zadana postavka.

Često postavljana pitanja

Isplati li se koristiti SMS 2FA?: Da, ako se ne ponudi bolja opcija. SMS 2FA dramatično je bolji nego bez 2FA — zaustavlja većinu napada gomilanjem vjerodajnica. Ali za bilo koji račun gdje umjesto toga možete koristiti TOTP ili hardverski ključ, učinite to. Napadi zamjenom SIM kartice na račune zaštićene SMS-om doveli su do stvarnih gubitaka, posebno za kriptovalute i društvene račune visokog profila.
Koju aplikaciju za autentifikaciju trebam koristiti?: Aegis (otvoreni kod, Android) i Raivo (otvoreni kod, iOS) čisti su izbori. 1Password i Bitwarden mogu pohraniti TOTP tajne uz lozinke. Izbjegavajte Google Authenticator ako nemate sigurnosnu kopiju — donedavno se nije sinkronizirao, a mnogi su korisnici izgubili račune nakon gubitka telefona. Authy se sinkronizira, ali je došlo do proboja baze podataka kontakata 2024.
Jesu li hardverski ključevi vrijedni tog troška?: Za vaše račune velike vrijednosti, da. Par YubiKeya (jedan primarni, jedan rezervni u sefu) košta ukupno oko 90 dolara i najveća je sigurnosna investicija koju će većina ljudi ikada napraviti. Svaki račun koji se može konfigurirati da zahtijeva hardverski ključ - a mnogi kritični mogu - trebao bi biti.
Može li se 2FA zaobići?: TOTP i push obavijesti mogu se zaobići phishingom u stvarnom vremenu (napadač prosljeđuje prijavu na stvarnu stranicu). Hardverski ključevi (FIDO2) ne mogu, jer izvorno vezivanje čini potpis specifičan za mjesto. Tokovi oporavka računa također slabe 2FA — ako možete resetirati 2FA putem SMS-a, SMS postaje površina za napad.
Zašto neke stranice podržavaju samo SMS 2FA?: Troškovi implementacije i pristupačnost. SMS radi na svakom telefonu bez instaliranja aplikacije; TOTP/FIDO zahtijevaju jednokratno postavljanje koje neki korisnici smatraju zbunjujućim. Velike banke sporo su usvojile FIDO; cloud i tehnološke usluge usvojile su ga prije mnogo godina. Dobre vijesti: svaka stranica koja je najvažnija za vašu sigurnost podržava barem TOTP, a većina podržava hardverske ključeve.