Na příchod světa bez hesel si zřejmě budeme muset ještě notnou chvíli počkat a tak se u důležitých služeb vedle standardního přihlášení pomocí jména a hesla přidává další faktor vyžadovaný ke vstupu. Dvoufaktorová autentizace (2FA) se zdá být výborným zabezpečením, ale jak připomíná portál Makeuseof.com , ani ta není neprůstřelná.
Jak funguje 2FA ověření
Aby bylo možné pochopit jaká bezpečnostní rizika s sebou 2FA nese, musíme se prvně podívat na to, jak funguje. Pracuje na principu, kdy pro ověření autority není vyžadováno pouze zadání uživatelského jména a hesla, ale i druhá úroveň prokázání, že k ní přistupuje oprávněná osoba. K prvním, kdo tento způsob začal používat, patřily banky.
Zadáte jméno (nebo nějaký soubor znaků), vložíte heslo a na telefon či do e-mailu přišel vygenerovaný PIN, který bylo nutné přepsat do rozhraní online bankovnictví.
Internetové rozhraní banky vyžadující dvoufaktorové přihlášení
Aktuálně je SMS nahrazováno aplikacemi ve smartphonu (push notifikacemi), ve kterých vstup potvrdíte jedním stisknutím. Mezi dalšími metodami, které lze využít je biometrie. Konkrétně možnost prokázat se otiskem prstu, nebo obličeje.
Při použití 2FA tedy stačí zadat heslo a pomocí zařízení, které máte u sebe se autentifikovat. Problém nastane, pokud někdo zařízení nějakým způsobem zneužije, třeba tím, že ho uživateli ukradne potvrdí autorizaci za něj. I proto je zapotřebí „ověřovací“ zařízení chránit a nenechávat ho bez dozoru, respektive v odemknutém stavu.
1. Výměna SIM karty
Bohužel není technicky nemožné získat přístup k vašemu telefonnímu číslu, respektive k vaší SIM kartě, byť je to velice složité a stává se to jen ve velice specifických případech. Útočník si například zažádá o vystavení nové SIM karty, kterou si potom vyzvedne či nechá někam zaslat. Musí však operátora přesvědčit, že opravdu hovoří s člověkem, které telefonní číslo patří. Nová SIM karta potom nese původní číslo a po zaslání autentifikační SMS může PIN útočník snadno přepsat do služby, která ho vyžaduje.
Ilustrační foto - SIM karta
Jsou známé příklady, kdy se to stalo. Své by o tom mohl vyprávět např. bývalý šéf Twitteru Jack Dorsey. Hackeři totiž získali přístup k jeho profilu na Twitteru právě tak, že se jim podařilo oklamat mobilního operátora a získali náhradní SIM kartu s jeho číslem.
2. Odcizení zařízení
Častější způsob spočívá v tom, že útočník se bude snažit odcizit zařízení, kterým se ověření provádí. Typicky smartphone nebo notebook. Pokud nevyžadují k používání odemknutí, je pro ně potom snadnou záležitostí toho využít. A i kdyby vyžadovala, potom záleží, jak rychle se jim podaří ochranu rozlousknout. Obecně je ve většině případů jednoduší je „otevřít“, než se pokoušet obelstít dvoufaktorovou ochranu účtu.
Takže, na své zařízení byste si měli dávat opravdu pozor, a kdybyste o něj přece jen přišli, nebo jste ho ztratili, potom musíte učinit adekvátní kroky. Tedy odstranit ho ze seznamu autentifikačních zařízení svých služeb a případně požádat o vydání nové SIM karty. Ideální je, pokud máte nastavenou možnost smazat zařízení na dálku, tedy odstranit z něj vše, co je na něm uložené, protože i přístup k různým osobním datům může útočník využít k převzetí kontroly.
3. Man-in-the-Middle (MITM) útoky
Další variantou je možnost zneužít soukromá data, ke kterým se útočník může dostat různými způsoby. Je potřeba si totiž uvědomit, že kdykoliv sdílíte nějaké soukromé informace, nikdy to neznamená, že je někdo nedokáže „vhodně“ využít. Mnoho hackerů navíc používá tzv. MITM (Man-in-the-Middle) útoky k odcizení vašich informací poté, co jste je sdíleli. Zkratka, která by se dala přeložit jako „člověk uprostřed“ nebo „člověk mezi“ je v informatice název útoku, kdy se zločinec dostane do cesty přenosu vašich dat a poslouchá.
Tomu lze zabránit používáním šifrovaného spojení, nepřipojovat se na veřejné wi-fi sítě bez nutnosti zadávat hesla, či použitím VPN sítě. Ale ruku na srdce, kdo z nás toto vše dodržuje, nebo používá?
4. Využití phishingu
Phishing je jednou z nejstarších internetových hrozeb. Hackeři tuto metodu používají stále, protože je účinná. I přes pokračující edukaci, se mezi uživateli najdou noví a noví, kteří se nechají oklamat. Phishingové metody se přitom dále zdokonalují a podvodné weby vypadají autenticky. Pokud je uživatel použije a prostřednictvím nich odešle osobní údaje, jako jsou bankovní údaje, zločinci je zneužijí.
Mezi jasné znaky phishingových webů patří
- URL adresa se mírně liší (např. doména prvního řádu české banky není .cz, ale .org apod., případně ne .com ale .co, nebo má nějaký překlep .bonka, místo .banka atd.)
- Design webové stránky nevypadá správně
- Web obsahuje pravopisné chyby
Závěrem
Jak je vidno, ani dvoufaktorové ověření nemusí představovat oázu klidu, respektive možnost, jak být v bezpečí proti případnému zneužití uživatelského online účtu. Jednoznačně jde o možnost, jak zvýšit jeho zabezpečení, ale každá ochrana je tak dobrá, jak dobrý je uživatel. Anebo jak chytrý je útočník. Proto je rozhodně doporučováno ji využívat, ale nesmí se jí bezmezně věřit. Přistupovat by se k ní mělo tak, aby se nestalo, že by někdo tuto ochranu dokázal využít.
