Americký úřad varuje: dvouúrovňové ověřování pomocí SMS není bezpečné

  • Americký úřad prohlásil ověření pomocí SMS za zastaralé
  • Útočníci se mohou dostat i k ověřovacímu kódu
  • Bezpečnost zvýší například ověřovací aplikace

Na dvouúrovňové ověřování jsme si zvykli především při přihlašování do webových aplikací internetového bankovnictví. Po zadání jména a hesla čekáme na ověřovací kód, který nám dorazí formou SMS zprávy abychom jej mohli opsat do formulářového pole a tím potvrdit naši identitu. Jenže ačkoliv se může zdát tato metoda ověření prakticky neprolomit;elná, úřad NIST si to nemyslí. Proto jej ve své zprávě z letošního léta označil za nedostatečný.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Běžný stav u většiny z nás - pokud se ke službám Googlu přihlašujeme na cizím počítači a máme nastaveno dvouúrovňové ověřování, je třeba opsat ověřovací kód. Jenže ten taky může skončit v rukou šikovného útočníka

National Institute of Standards and Technology (NIST) se ve Spojených státech stará především o výzkum měřících standardů, nicméně do jeho gesce spadá také například vydávání standardů pro elektronickou bezpečnost, šifrování či digitální podpisy. Mezi pravidelné publikace patří tzv. Digital Authentication Guideline, tedy směrnice, která popisuje, jak implementovat jednotlivé technologie zabezpečení a v jakých případech je používat v případě bezpečnostních agentur a institucí v USA.

V posledním vydání (800-63B), jehož návrh byl publikován v červenci, se zmiňuje také o zmíněném ověřování pomocí jednorázových kódů, které jsou zasílány formou textové zprávy. Kromě internetového bankovnictví jej postupně začaly využívat i další webové služby jako je účet Googlu, Apple ID, ale třeba i herní platforma Battle.net.

SMS nejsou bezpečné

V dokumentu sepíše, že ověřování pomocí textových zpráv je zastaralé a nevyhovující především z důvodu, že jej lze obejít minimálně dvěma nikterak složitými způsoby.

První spočívá v podvržení telefonního čísla pomocí některé ze služeb pro VoIP, kdy je do sítě registrováno stejné číslo. Pomocí techniky VoIP hijacking je docíleno toho, že ověřovací zpráva nedorazí na telefon vlastníka účtu, ale na přístroj, který patří útočníkovi. Ten se díky tomu může dostat nejen k přihlášení (kde je stále vyžadováno běžné heslo), ale například k procesu pro obnovení účtu při zapomenutí hesla.

Druhá metoda, která je při útocích na účty zabezpečené pomocí SMS ověřování útočníky využívána, stojí na sociálním inženýrství, či chcete-li znalostním hackingu. V tomto případě se útočník snaží přesvědčit mobilního operátora k vydání a aktivaci nové SIM karty, která bude zaregistrována na stejné telefonní číslo jako je v případě oběti.

Hacknutý youtuber

Že se v předchozím případě nejedná o scénář na teoretické úrovni, se nedávno přesvědčil youtuber Ethan Klein, který má na svém kanálu téměř 2,5 milionů odběratelů. Útočníkům se podařilo přesvědčit operátora na zákaznické lince T-Mobilu, že jde o Ethana a následně jim byla doručena nová SIM karta. Díky ní získali kompletní přístup ke Google účtu (tedy včetně Youtube) i přesto, že bylo aktivní dvoufázové ověřování.

Klepněte pro větší obrázek
Ethan Klein je na Youtube populární a nasbíral téměř 2,5 milionů odběratelů. Útočníkovi k nabourání účtu stačilo přesvědčit operátora, že je Ethan a nechat si poslat novou SIM kartu

Řešení? Ověření operátora nebo aplikace

Ačkoliv NIST vydává svoje směrnice a doporučení pro bezpečnostní agentury a instituce, mohou si z nich samozřejmě vzít ponaučení i komerční subjekty. Ověřování pomocí SMS v aktuálním stavu považuje americký úřad za zastaralé, nicméně není třeba nad ním rovnou lámat hůl. Mezi doporučení úřadu tak patří například zahrnutí kontroly operátora do autorizačního procesu. Webová služba by při něm měla zjišťovat, zda bude zpráva s kódem doručena na telefonní číslo využívající běžného operátora, nikoliv některou z VoIP služeb nebo dokonce virtuální bránu.

V případě druhé metody, kdy získají útočníci aktivovanou SIM kartu se však řešení hledá velmi složitě - ostatně stejně jako v každém případě, který závisí na lidském faktoru.

Klepněte pro větší obrázek
Apple je na půli cesty - nabízí ověření pomocí druhého zařízení, kde je pro zhlédnutí kódu třeba zadat PIN nebo použít snímač otisků prstů Touch ID. Zároveň však lze odeslat běžnou ověřovací SMS

Zabezpečení účtu tak mohou zvýšit specializované aplikace, které slouží pro generování přístupového kódu. Aktuálně jej využívá jak Google nebo Blizzard v případě zmíněné herní platformy Battle.net. Aplikace každých několik desítek vteřin vygeneruje bezpečnostní kód, který je třeba zadat při přihlášení nebo při citlivých operacích na účtu.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Mnohem lepší varianta než SMS zprávy - autorizační aplikace. Zleva Battle.net, Google Authentiacator a Steam Guard

Tím je prakticky odstraněno riziko možného odposlechnutí nebo podvržení, kdy by kód byl doručen útočníkovi. Slabinou tak opět zůstane především lidský faktor na straně poskytovatele služby. Pokud totiž útočníci nashromáždí dostatek osobních údajů, kterými přesvědčí zákaznickou linku, může dojít například k odebrání této bezpečnostní metody. A pokud se tak stane například v nočních hodinách, kdy nemůže majitel účtu reagovat ani na e-mail s informací o cizím přihlášení, útočníci získají dostatek času na další kroky. V případě hacknutého e-mailu jimi může být například získání přístupu k digitálním peněženkám jako je PayPal.

Témata článku: Bezpečnost, Hacking, Heslo, Dvoufázové ověření, Photo, Battle.net, Battle, Klein, Hole, Guard

17 komentářů

Nejnovější komentáře

  • Net.Xtreme 18. 10. 2016 15:29:42
    Podle mě je to o něco málo lepší než ověřování přes email. Bohužel...
  • dolph1888 18. 10. 2016 11:32:35
    Řeknu k tomu asi toto, stejně jako mě může někdo čórnout šrajtofli, musím...
  • Doakes 18. 10. 2016 10:58:49
    Proč uživatelům s blokátorem reklam neumožňujete zasílat příspěvky? Zase...
Určitě si přečtěte

Nové úlovky kamer Googlu: Šmírovačka na Street View nepřestává bavit

Nové úlovky kamer Googlu: Šmírovačka na Street View nepřestává bavit

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

19.  5.  2017 | redakce | 38

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

** Stáhnete si film a titulky třeba z OpenSubtitles.org ** A osud vás za ten warez záhy potrestá ** Specialisté totiž ukázali, že i v titulcích může být schovaný virus

24.  5.  2017 | Jakub Čížek | 55

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

** WannaCry se masivně rozšířil kvůli zranitelnosti ve Windows ** Ta mu umožnila, aby se pokusil sám napadnout další počítače ** Jenže ta chyba už je dva měsíce opravená!

22.  5.  2017 | Jakub Čížek | 95

Nastal čas znovu vynalézt klávesnici. Anebo vám ta současná opravdu vyhovuje?

Nastal čas znovu vynalézt klávesnici. Anebo vám ta současná opravdu vyhovuje?

**Měli bychom provést revoluci klávesnice? ** Anebo je její dnes už hodně zastaralý koncept prostě nejlepší? ** Budeme na klávesnici odkázaní už navždy?

20.  5.  2017 | Jakub Čížek | 59


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky