Americký úřad varuje: dvouúrovňové ověřování pomocí SMS není bezpečné

  • Americký úřad prohlásil ověření pomocí SMS za zastaralé
  • Útočníci se mohou dostat i k ověřovacímu kódu
  • Bezpečnost zvýší například ověřovací aplikace

Na dvouúrovňové ověřování jsme si zvykli především při přihlašování do webových aplikací internetového bankovnictví. Po zadání jména a hesla čekáme na ověřovací kód, který nám dorazí formou SMS zprávy abychom jej mohli opsat do formulářového pole a tím potvrdit naši identitu. Jenže ačkoliv se může zdát tato metoda ověření prakticky neprolomit;elná, úřad NIST si to nemyslí. Proto jej ve své zprávě z letošního léta označil za nedostatečný.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Běžný stav u většiny z nás - pokud se ke službám Googlu přihlašujeme na cizím počítači a máme nastaveno dvouúrovňové ověřování, je třeba opsat ověřovací kód. Jenže ten taky může skončit v rukou šikovného útočníka

National Institute of Standards and Technology (NIST) se ve Spojených státech stará především o výzkum měřících standardů, nicméně do jeho gesce spadá také například vydávání standardů pro elektronickou bezpečnost, šifrování či digitální podpisy. Mezi pravidelné publikace patří tzv. Digital Authentication Guideline, tedy směrnice, která popisuje, jak implementovat jednotlivé technologie zabezpečení a v jakých případech je používat v případě bezpečnostních agentur a institucí v USA.

V posledním vydání (800-63B), jehož návrh byl publikován v červenci, se zmiňuje také o zmíněném ověřování pomocí jednorázových kódů, které jsou zasílány formou textové zprávy. Kromě internetového bankovnictví jej postupně začaly využívat i další webové služby jako je účet Googlu, Apple ID, ale třeba i herní platforma Battle.net.

SMS nejsou bezpečné

V dokumentu sepíše, že ověřování pomocí textových zpráv je zastaralé a nevyhovující především z důvodu, že jej lze obejít minimálně dvěma nikterak složitými způsoby.

První spočívá v podvržení telefonního čísla pomocí některé ze služeb pro VoIP, kdy je do sítě registrováno stejné číslo. Pomocí techniky VoIP hijacking je docíleno toho, že ověřovací zpráva nedorazí na telefon vlastníka účtu, ale na přístroj, který patří útočníkovi. Ten se díky tomu může dostat nejen k přihlášení (kde je stále vyžadováno běžné heslo), ale například k procesu pro obnovení účtu při zapomenutí hesla.

Druhá metoda, která je při útocích na účty zabezpečené pomocí SMS ověřování útočníky využívána, stojí na sociálním inženýrství, či chcete-li znalostním hackingu. V tomto případě se útočník snaží přesvědčit mobilního operátora k vydání a aktivaci nové SIM karty, která bude zaregistrována na stejné telefonní číslo jako je v případě oběti.

Hacknutý youtuber

Že se v předchozím případě nejedná o scénář na teoretické úrovni, se nedávno přesvědčil youtuber Ethan Klein, který má na svém kanálu téměř 2,5 milionů odběratelů. Útočníkům se podařilo přesvědčit operátora na zákaznické lince T-Mobilu, že jde o Ethana a následně jim byla doručena nová SIM karta. Díky ní získali kompletní přístup ke Google účtu (tedy včetně Youtube) i přesto, že bylo aktivní dvoufázové ověřování.

Klepněte pro větší obrázek
Ethan Klein je na Youtube populární a nasbíral téměř 2,5 milionů odběratelů. Útočníkovi k nabourání účtu stačilo přesvědčit operátora, že je Ethan a nechat si poslat novou SIM kartu

Řešení? Ověření operátora nebo aplikace

Ačkoliv NIST vydává svoje směrnice a doporučení pro bezpečnostní agentury a instituce, mohou si z nich samozřejmě vzít ponaučení i komerční subjekty. Ověřování pomocí SMS v aktuálním stavu považuje americký úřad za zastaralé, nicméně není třeba nad ním rovnou lámat hůl. Mezi doporučení úřadu tak patří například zahrnutí kontroly operátora do autorizačního procesu. Webová služba by při něm měla zjišťovat, zda bude zpráva s kódem doručena na telefonní číslo využívající běžného operátora, nikoliv některou z VoIP služeb nebo dokonce virtuální bránu.

V případě druhé metody, kdy získají útočníci aktivovanou SIM kartu se však řešení hledá velmi složitě - ostatně stejně jako v každém případě, který závisí na lidském faktoru.

Klepněte pro větší obrázek
Apple je na půli cesty - nabízí ověření pomocí druhého zařízení, kde je pro zhlédnutí kódu třeba zadat PIN nebo použít snímač otisků prstů Touch ID. Zároveň však lze odeslat běžnou ověřovací SMS

Zabezpečení účtu tak mohou zvýšit specializované aplikace, které slouží pro generování přístupového kódu. Aktuálně jej využívá jak Google nebo Blizzard v případě zmíněné herní platformy Battle.net. Aplikace každých několik desítek vteřin vygeneruje bezpečnostní kód, který je třeba zadat při přihlášení nebo při citlivých operacích na účtu.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Mnohem lepší varianta než SMS zprávy - autorizační aplikace. Zleva Battle.net, Google Authentiacator a Steam Guard

Tím je prakticky odstraněno riziko možného odposlechnutí nebo podvržení, kdy by kód byl doručen útočníkovi. Slabinou tak opět zůstane především lidský faktor na straně poskytovatele služby. Pokud totiž útočníci nashromáždí dostatek osobních údajů, kterými přesvědčí zákaznickou linku, může dojít například k odebrání této bezpečnostní metody. A pokud se tak stane například v nočních hodinách, kdy nemůže majitel účtu reagovat ani na e-mail s informací o cizím přihlášení, útočníci získají dostatek času na další kroky. V případě hacknutého e-mailu jimi může být například získání přístupu k digitálním peněženkám jako je PayPal.

Témata článku: Bezpečnost, Hacking, Heslo, Dvoufázové ověření, Battle, Battle.net, Guard, Hole, Klein, Photo, Útočník, Virtuální peněženka, Úřad, Měřicí přístroj, Přihlašování, Lidský faktor

17 komentářů

Nejnovější komentáře

  • Net.Xtreme 18. 10. 2016 15:29:42
    Podle mě je to o něco málo lepší než ověřování přes email. Bohužel...
  • dolph1888 18. 10. 2016 11:32:35
    Řeknu k tomu asi toto, stejně jako mě může někdo čórnout šrajtofli, musím...
  • Doakes 18. 10. 2016 10:58:49
    Proč uživatelům s blokátorem reklam neumožňujete zasílat příspěvky? Zase...
Určitě si přečtěte

Jak se dostat do Windows, když neznáte heslo nebo nejste administrátor

Jak se dostat do Windows, když neznáte heslo nebo nejste administrátor

** S instalačním diskem Windows a znalostí pár příkazů odemknete téměř každý počítač s Windows. ** Poradíme i jak se tomu bránit

24.  7.  2017 | Tomáš Holčík | 37

Nový solární článek dokáže zachytit téměř veškerou energii světelného spektra ze Slunce

Nový solární článek dokáže zachytit téměř veškerou energii světelného spektra ze Slunce

** Vědci vytvořili nový typ solárního článku, který se pyšní neuvěřitelnou efektivitou ** Speciální trojrozměrná struktura dokáže zachytit téměř všechny vlnové délky světla ze Slunce ** Systém solárního článku využívá koncentrátorových čoček pro světlo

22.  7.  2017 | Karel Javůrek | 20

Další důkaz o existenci Planety 9

Další důkaz o existenci Planety 9

21.  7.  2017 | Jiří Černý | 5

Prolomí tanec tří mrtvých hvězd teorii relativity?

Prolomí tanec tří mrtvých hvězd teorii relativity?

** Einsteinova obecná teorie relativity je jedním z hlavních pilířů dnešní fyziky ** To ale vědcům nebrání, aby se ji neustále nepokoušeli sesadit z trůnu ** Tentokrát k jejímu testování využili systém pulzaru PSR J0337+1715

Včera | Stanislav Mihulka

Konec kabelové změti na stole i za ním. Tyhle doplňky vám ji pomohou zkrotit

Konec kabelové změti na stole i za ním. Tyhle doplňky vám ji pomohou zkrotit

** Vybrali jsme doplňky pro organizaci kabelů či nabíječek ** Často používané kabely lze zavěsit na magnetický držák ** Pro opletení kabelů se bude hodit husí krk i textilní rukávy

25.  7.  2017 | Stanislav Janů | 23


Aktuální číslo časopisu Computer

Test 11 telefonů do 6 000 Kč

Postavte si a přetaktujte počítač

Srovnali jsme 7 sportovních kamer

Která zaměstnání nahradí roboti?