Americký úřad varuje: dvouúrovňové ověřování pomocí SMS není bezpečné

  • Americký úřad prohlásil ověření pomocí SMS za zastaralé
  • Útočníci se mohou dostat i k ověřovacímu kódu
  • Bezpečnost zvýší například ověřovací aplikace

Na dvouúrovňové ověřování jsme si zvykli především při přihlašování do webových aplikací internetového bankovnictví. Po zadání jména a hesla čekáme na ověřovací kód, který nám dorazí formou SMS zprávy abychom jej mohli opsat do formulářového pole a tím potvrdit naši identitu. Jenže ačkoliv se může zdát tato metoda ověření prakticky neprolomit;elná, úřad NIST si to nemyslí. Proto jej ve své zprávě z letošního léta označil za nedostatečný.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Běžný stav u většiny z nás - pokud se ke službám Googlu přihlašujeme na cizím počítači a máme nastaveno dvouúrovňové ověřování, je třeba opsat ověřovací kód. Jenže ten taky může skončit v rukou šikovného útočníka

National Institute of Standards and Technology (NIST) se ve Spojených státech stará především o výzkum měřících standardů, nicméně do jeho gesce spadá také například vydávání standardů pro elektronickou bezpečnost, šifrování či digitální podpisy. Mezi pravidelné publikace patří tzv. Digital Authentication Guideline, tedy směrnice, která popisuje, jak implementovat jednotlivé technologie zabezpečení a v jakých případech je používat v případě bezpečnostních agentur a institucí v USA.

V posledním vydání (800-63B), jehož návrh byl publikován v červenci, se zmiňuje také o zmíněném ověřování pomocí jednorázových kódů, které jsou zasílány formou textové zprávy. Kromě internetového bankovnictví jej postupně začaly využívat i další webové služby jako je účet Googlu, Apple ID, ale třeba i herní platforma Battle.net.

SMS nejsou bezpečné

V dokumentu sepíše, že ověřování pomocí textových zpráv je zastaralé a nevyhovující především z důvodu, že jej lze obejít minimálně dvěma nikterak složitými způsoby.

První spočívá v podvržení telefonního čísla pomocí některé ze služeb pro VoIP, kdy je do sítě registrováno stejné číslo. Pomocí techniky VoIP hijacking je docíleno toho, že ověřovací zpráva nedorazí na telefon vlastníka účtu, ale na přístroj, který patří útočníkovi. Ten se díky tomu může dostat nejen k přihlášení (kde je stále vyžadováno běžné heslo), ale například k procesu pro obnovení účtu při zapomenutí hesla.

Druhá metoda, která je při útocích na účty zabezpečené pomocí SMS ověřování útočníky využívána, stojí na sociálním inženýrství, či chcete-li znalostním hackingu. V tomto případě se útočník snaží přesvědčit mobilního operátora k vydání a aktivaci nové SIM karty, která bude zaregistrována na stejné telefonní číslo jako je v případě oběti.

Hacknutý youtuber

Že se v předchozím případě nejedná o scénář na teoretické úrovni, se nedávno přesvědčil youtuber Ethan Klein, který má na svém kanálu téměř 2,5 milionů odběratelů. Útočníkům se podařilo přesvědčit operátora na zákaznické lince T-Mobilu, že jde o Ethana a následně jim byla doručena nová SIM karta. Díky ní získali kompletní přístup ke Google účtu (tedy včetně Youtube) i přesto, že bylo aktivní dvoufázové ověřování.

Klepněte pro větší obrázek
Ethan Klein je na Youtube populární a nasbíral téměř 2,5 milionů odběratelů. Útočníkovi k nabourání účtu stačilo přesvědčit operátora, že je Ethan a nechat si poslat novou SIM kartu

Řešení? Ověření operátora nebo aplikace

Ačkoliv NIST vydává svoje směrnice a doporučení pro bezpečnostní agentury a instituce, mohou si z nich samozřejmě vzít ponaučení i komerční subjekty. Ověřování pomocí SMS v aktuálním stavu považuje americký úřad za zastaralé, nicméně není třeba nad ním rovnou lámat hůl. Mezi doporučení úřadu tak patří například zahrnutí kontroly operátora do autorizačního procesu. Webová služba by při něm měla zjišťovat, zda bude zpráva s kódem doručena na telefonní číslo využívající běžného operátora, nikoliv některou z VoIP služeb nebo dokonce virtuální bránu.

V případě druhé metody, kdy získají útočníci aktivovanou SIM kartu se však řešení hledá velmi složitě - ostatně stejně jako v každém případě, který závisí na lidském faktoru.

Klepněte pro větší obrázek
Apple je na půli cesty - nabízí ověření pomocí druhého zařízení, kde je pro zhlédnutí kódu třeba zadat PIN nebo použít snímač otisků prstů Touch ID. Zároveň však lze odeslat běžnou ověřovací SMS

Zabezpečení účtu tak mohou zvýšit specializované aplikace, které slouží pro generování přístupového kódu. Aktuálně jej využívá jak Google nebo Blizzard v případě zmíněné herní platformy Battle.net. Aplikace každých několik desítek vteřin vygeneruje bezpečnostní kód, který je třeba zadat při přihlášení nebo při citlivých operacích na účtu.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Mnohem lepší varianta než SMS zprávy - autorizační aplikace. Zleva Battle.net, Google Authentiacator a Steam Guard

Tím je prakticky odstraněno riziko možného odposlechnutí nebo podvržení, kdy by kód byl doručen útočníkovi. Slabinou tak opět zůstane především lidský faktor na straně poskytovatele služby. Pokud totiž útočníci nashromáždí dostatek osobních údajů, kterými přesvědčí zákaznickou linku, může dojít například k odebrání této bezpečnostní metody. A pokud se tak stane například v nočních hodinách, kdy nemůže majitel účtu reagovat ani na e-mail s informací o cizím přihlášení, útočníci získají dostatek času na další kroky. V případě hacknutého e-mailu jimi může být například získání přístupu k digitálním peněženkám jako je PayPal.

Témata článku: Bezpečnost, Hacking, Heslo, Dvoufázové ověření, Photo, Battle.net, Battle, Klein, Hole, Guard

17 komentářů

Nejnovější komentáře

  • Net.Xtreme 18. 10. 2016 15:29:42
    Podle mě je to o něco málo lepší než ověřování přes email. Bohužel...
  • dolph1888 18. 10. 2016 11:32:35
    Řeknu k tomu asi toto, stejně jako mě může někdo čórnout šrajtofli, musím...
  • Doakes 18. 10. 2016 10:58:49
    Proč uživatelům s blokátorem reklam neumožňujete zasílat příspěvky? Zase...
Určitě si přečtěte

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

** Do Vancouveru se sjeli hackeři ** Soutěžili v útocích na prohlížeče ** Chrome odolal, ale Edge to projel na celé čáře

22.  3.  2017 | Jakub Čížek | 79

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

** Příští roky budou ve znamení internetu věcí ** Podívali jsme se podrobně na síť Sigfox ** Takhle s ní komunikují krabičky z celé Evropy

19.  3.  2017 | Jakub Čížek | 18

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

** Srovnali jsme známá cloudová úložiště podle toho, kolik měsíčně zaplatíte za 1TB ** Ceny se pohybují od dvou stovek až po tisíc korun ** Google umožní uložit až 30 TB dat

18.  3.  2017 | Stanislav Janů | 115

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

** Jihokorejská společnost Hankook Mirae Technology vyrábí obří Mechroboty ** Jsou určené pro ovládání člověkem uvnitř ** V prodeji se objeví koncem tohoto roku za 200 milionů korun

20.  3.  2017 | Karel Javůrek | 18


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných sluchátek

Příslušenství do USB-C