Bezpečnost | Dvoufázové ověření

Americký úřad varuje: dvouúrovňové ověřování pomocí SMS není bezpečné

  • Americký úřad prohlásil ověření pomocí SMS za zastaralé
  • Útočníci se mohou dostat i k ověřovacímu kódu
  • Bezpečnost zvýší například ověřovací aplikace

Na dvouúrovňové ověřování jsme si zvykli především při přihlašování do webových aplikací internetového bankovnictví. Po zadání jména a hesla čekáme na ověřovací kód, který nám dorazí formou SMS zprávy abychom jej mohli opsat do formulářového pole a tím potvrdit naši identitu. Jenže ačkoliv se může zdát tato metoda ověření prakticky neprolomit;elná, úřad NIST si to nemyslí. Proto jej ve své zprávě z letošního léta označil za nedostatečný.

google.jpgPhoto 17.10.16 17 11 13.png
Běžný stav u většiny z nás - pokud se ke službám Googlu přihlašujeme na cizím počítači a máme nastaveno dvouúrovňové ověřování, je třeba opsat ověřovací kód. Jenže ten taky může skončit v rukou šikovného útočníka

National Institute of Standards and Technology (NIST) se ve Spojených státech stará především o výzkum měřících standardů, nicméně do jeho gesce spadá také například vydávání standardů pro elektronickou bezpečnost, šifrování či digitální podpisy. Mezi pravidelné publikace patří tzv. Digital Authentication Guideline, tedy směrnice, která popisuje, jak implementovat jednotlivé technologie zabezpečení a v jakých případech je používat v případě bezpečnostních agentur a institucí v USA.

V posledním vydání (800-63B), jehož návrh byl publikován v červenci, se zmiňuje také o zmíněném ověřování pomocí jednorázových kódů, které jsou zasílány formou textové zprávy. Kromě internetového bankovnictví jej postupně začaly využívat i další webové služby jako je účet Googlu, Apple ID, ale třeba i herní platforma Battle.net.

SMS nejsou bezpečné

V dokumentu sepíše, že ověřování pomocí textových zpráv je zastaralé a nevyhovující především z důvodu, že jej lze obejít minimálně dvěma nikterak složitými způsoby.

První spočívá v podvržení telefonního čísla pomocí některé ze služeb pro VoIP, kdy je do sítě registrováno stejné číslo. Pomocí techniky VoIP hijacking je docíleno toho, že ověřovací zpráva nedorazí na telefon vlastníka účtu, ale na přístroj, který patří útočníkovi. Ten se díky tomu může dostat nejen k přihlášení (kde je stále vyžadováno běžné heslo), ale například k procesu pro obnovení účtu při zapomenutí hesla.

Druhá metoda, která je při útocích na účty zabezpečené pomocí SMS ověřování útočníky využívána, stojí na sociálním inženýrství, či chcete-li znalostním hackingu. V tomto případě se útočník snaží přesvědčit mobilního operátora k vydání a aktivaci nové SIM karty, která bude zaregistrována na stejné telefonní číslo jako je v případě oběti.

Hacknutý youtuber

Že se v předchozím případě nejedná o scénář na teoretické úrovni, se nedávno přesvědčil youtuber Ethan Klein, který má na svém kanálu téměř 2,5 milionů odběratelů. Útočníkům se podařilo přesvědčit operátora na zákaznické lince T-Mobilu, že jde o Ethana a následně jim byla doručena nová SIM karta. Díky ní získali kompletní přístup ke Google účtu (tedy včetně Youtube) i přesto, že bylo aktivní dvoufázové ověřování.

yt.jpg
Ethan Klein je na Youtube populární a nasbíral téměř 2,5 milionů odběratelů. Útočníkovi k nabourání účtu stačilo přesvědčit operátora, že je Ethan a nechat si poslat novou SIM kartu

Řešení? Ověření operátora nebo aplikace

Ačkoliv NIST vydává svoje směrnice a doporučení pro bezpečnostní agentury a instituce, mohou si z nich samozřejmě vzít ponaučení i komerční subjekty. Ověřování pomocí SMS v aktuálním stavu považuje americký úřad za zastaralé, nicméně není třeba nad ním rovnou lámat hůl. Mezi doporučení úřadu tak patří například zahrnutí kontroly operátora do autorizačního procesu. Webová služba by při něm měla zjišťovat, zda bude zpráva s kódem doručena na telefonní číslo využívající běžného operátora, nikoliv některou z VoIP služeb nebo dokonce virtuální bránu.

V případě druhé metody, kdy získají útočníci aktivovanou SIM kartu se však řešení hledá velmi složitě - ostatně stejně jako v každém případě, který závisí na lidském faktoru.

icloud.jpg
Apple je na půli cesty - nabízí ověření pomocí druhého zařízení, kde je pro zhlédnutí kódu třeba zadat PIN nebo použít snímač otisků prstů Touch ID. Zároveň však lze odeslat běžnou ověřovací SMS

Zabezpečení účtu tak mohou zvýšit specializované aplikace, které slouží pro generování přístupového kódu. Aktuálně jej využívá jak Google nebo Blizzard v případě zmíněné herní platformy Battle.net. Aplikace každých několik desítek vteřin vygeneruje bezpečnostní kód, který je třeba zadat při přihlášení nebo při citlivých operacích na účtu.

Photo 17.10.16 17 07 50.pngPhoto 17.10.16 17 12 09.pngPhoto 17.10.16 17 12 33.png
Mnohem lepší varianta než SMS zprávy - autorizační aplikace. Zleva Battle.net, Google Authentiacator a Steam Guard

Tím je prakticky odstraněno riziko možného odposlechnutí nebo podvržení, kdy by kód byl doručen útočníkovi. Slabinou tak opět zůstane především lidský faktor na straně poskytovatele služby. Pokud totiž útočníci nashromáždí dostatek osobních údajů, kterými přesvědčí zákaznickou linku, může dojít například k odebrání této bezpečnostní metody. A pokud se tak stane například v nočních hodinách, kdy nemůže majitel účtu reagovat ani na e-mail s informací o cizím přihlášení, útočníci získají dostatek času na další kroky. V případě hacknutého e-mailu jimi může být například získání přístupu k digitálním peněženkám jako je PayPal.

Diskuze (17) Další článek: České startupy se mohou snadněji dostat na veletrh CES, dostanou příspěvek od státu

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,