Bezpečnost | Dvoufázové ověření

Americký úřad varuje: dvouúrovňové ověřování pomocí SMS není bezpečné

  • Americký úřad prohlásil ověření pomocí SMS za zastaralé
  • Útočníci se mohou dostat i k ověřovacímu kódu
  • Bezpečnost zvýší například ověřovací aplikace

Na dvouúrovňové ověřování jsme si zvykli především při přihlašování do webových aplikací internetového bankovnictví. Po zadání jména a hesla čekáme na ověřovací kód, který nám dorazí formou SMS zprávy abychom jej mohli opsat do formulářového pole a tím potvrdit naši identitu. Jenže ačkoliv se může zdát tato metoda ověření prakticky neprolomit;elná, úřad NIST si to nemyslí. Proto jej ve své zprávě z letošního léta označil za nedostatečný.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Běžný stav u většiny z nás - pokud se ke službám Googlu přihlašujeme na cizím počítači a máme nastaveno dvouúrovňové ověřování, je třeba opsat ověřovací kód. Jenže ten taky může skončit v rukou šikovného útočníka

National Institute of Standards and Technology (NIST) se ve Spojených státech stará především o výzkum měřících standardů, nicméně do jeho gesce spadá také například vydávání standardů pro elektronickou bezpečnost, šifrování či digitální podpisy. Mezi pravidelné publikace patří tzv. Digital Authentication Guideline, tedy směrnice, která popisuje, jak implementovat jednotlivé technologie zabezpečení a v jakých případech je používat v případě bezpečnostních agentur a institucí v USA.

V posledním vydání (800-63B), jehož návrh byl publikován v červenci, se zmiňuje také o zmíněném ověřování pomocí jednorázových kódů, které jsou zasílány formou textové zprávy. Kromě internetového bankovnictví jej postupně začaly využívat i další webové služby jako je účet Googlu, Apple ID, ale třeba i herní platforma Battle.net.

SMS nejsou bezpečné

V dokumentu sepíše, že ověřování pomocí textových zpráv je zastaralé a nevyhovující především z důvodu, že jej lze obejít minimálně dvěma nikterak složitými způsoby.

První spočívá v podvržení telefonního čísla pomocí některé ze služeb pro VoIP, kdy je do sítě registrováno stejné číslo. Pomocí techniky VoIP hijacking je docíleno toho, že ověřovací zpráva nedorazí na telefon vlastníka účtu, ale na přístroj, který patří útočníkovi. Ten se díky tomu může dostat nejen k přihlášení (kde je stále vyžadováno běžné heslo), ale například k procesu pro obnovení účtu při zapomenutí hesla.

Druhá metoda, která je při útocích na účty zabezpečené pomocí SMS ověřování útočníky využívána, stojí na sociálním inženýrství, či chcete-li znalostním hackingu. V tomto případě se útočník snaží přesvědčit mobilního operátora k vydání a aktivaci nové SIM karty, která bude zaregistrována na stejné telefonní číslo jako je v případě oběti.

Hacknutý youtuber

Že se v předchozím případě nejedná o scénář na teoretické úrovni, se nedávno přesvědčil youtuber Ethan Klein, který má na svém kanálu téměř 2,5 milionů odběratelů. Útočníkům se podařilo přesvědčit operátora na zákaznické lince T-Mobilu, že jde o Ethana a následně jim byla doručena nová SIM karta. Díky ní získali kompletní přístup ke Google účtu (tedy včetně Youtube) i přesto, že bylo aktivní dvoufázové ověřování.

Klepněte pro větší obrázek
Ethan Klein je na Youtube populární a nasbíral téměř 2,5 milionů odběratelů. Útočníkovi k nabourání účtu stačilo přesvědčit operátora, že je Ethan a nechat si poslat novou SIM kartu

Řešení? Ověření operátora nebo aplikace

Ačkoliv NIST vydává svoje směrnice a doporučení pro bezpečnostní agentury a instituce, mohou si z nich samozřejmě vzít ponaučení i komerční subjekty. Ověřování pomocí SMS v aktuálním stavu považuje americký úřad za zastaralé, nicméně není třeba nad ním rovnou lámat hůl. Mezi doporučení úřadu tak patří například zahrnutí kontroly operátora do autorizačního procesu. Webová služba by při něm měla zjišťovat, zda bude zpráva s kódem doručena na telefonní číslo využívající běžného operátora, nikoliv některou z VoIP služeb nebo dokonce virtuální bránu.

V případě druhé metody, kdy získají útočníci aktivovanou SIM kartu se však řešení hledá velmi složitě - ostatně stejně jako v každém případě, který závisí na lidském faktoru.

Klepněte pro větší obrázek
Apple je na půli cesty - nabízí ověření pomocí druhého zařízení, kde je pro zhlédnutí kódu třeba zadat PIN nebo použít snímač otisků prstů Touch ID. Zároveň však lze odeslat běžnou ověřovací SMS

Zabezpečení účtu tak mohou zvýšit specializované aplikace, které slouží pro generování přístupového kódu. Aktuálně jej využívá jak Google nebo Blizzard v případě zmíněné herní platformy Battle.net. Aplikace každých několik desítek vteřin vygeneruje bezpečnostní kód, který je třeba zadat při přihlášení nebo při citlivých operacích na účtu.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Mnohem lepší varianta než SMS zprávy - autorizační aplikace. Zleva Battle.net, Google Authentiacator a Steam Guard

Tím je prakticky odstraněno riziko možného odposlechnutí nebo podvržení, kdy by kód byl doručen útočníkovi. Slabinou tak opět zůstane především lidský faktor na straně poskytovatele služby. Pokud totiž útočníci nashromáždí dostatek osobních údajů, kterými přesvědčí zákaznickou linku, může dojít například k odebrání této bezpečnostní metody. A pokud se tak stane například v nočních hodinách, kdy nemůže majitel účtu reagovat ani na e-mail s informací o cizím přihlášení, útočníci získají dostatek času na další kroky. V případě hacknutého e-mailu jimi může být například získání přístupu k digitálním peněženkám jako je PayPal.

Diskuze (17) Další článek: České startupy se mohou snadněji dostat na veletrh CES, dostanou příspěvek od státu

Témata článku: Bezpečnost, Hacking, Heslo, Dvoufázové ověření, Sociální inženýr, Běžný stav, Cizí počítač, Případ druhé, Digitální podpis, Směrnice, Útočník, Odebrání, Nen, Battle, Photo, Dvouúrovňové ověřování, Dvoufázové přihlašování, SIM karta, Bezpečnostní kód, Lidský faktor, Ověřovací SMS, Klein, Komerční subjekt, Noční hodina, Úřad, Herní počítače na Mall.cz


Určitě si přečtěte

Dost bylo moderních Windows 10. Pojďme je přebarvit zpět na Windows 95

Dost bylo moderních Windows 10. Pojďme je přebarvit zpět na Windows 95

** Stařičké Windows 2000 nedávno oslavily 20 let ** Někteří z vás si postěžovali, že to byly poslední hezké Windows ** Fajn, ukážeme vám, jak přebarvit Desítky o 25 let zpět

Jakub Čížek | 44

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 46

37 nejstrašnějších počítačů, které jste kdy viděli

37 nejstrašnějších počítačů, které jste kdy viděli

** Přehled nejhorších počítačů na světě ** Šílené konstrukce a materiály ** Jak to dopadne, když se o počítač nestaráte

Karel Javůrek | 24

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

** Loni ajťáky vystrašilo přetečení GPS čítače týdnů ** Nemělo se stát vůbec nic, ale svět opět nebyl připravený ** Za 18 let nás ale čeká ještě něco mnohem většího

Jakub Čížek | 69

Proč teď nedává smysl kupovat notebook a kdy přijde ten správný čas

Proč teď nedává smysl kupovat notebook a kdy přijde ten správný čas

** Během pár týdnů přijdou na trh výkonnější notebooky ** Čím dražší notebook vybíráte, tím víc se vám změní nabídka ** Také lehké notebooky budou téměř herní

Tomáš Holčík | 52



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor