Oprogramowanie

Apple w końcu wprowadziło 2FA oparte na kluczach. Ty też powinieneś

Yubikey marki Ars.
Powiększać / Yubikey marki Ars.

Steven Klein

Prawie trzy lata temu firma Google wprowadziła program ochrony zaawansowanej (APP), plan bezpieczeństwa dla użytkowników wysokiego ryzyka, który wymaga kluczy sprzętowych w celu uzyskania dostępu do konta i jest prawdopodobnie najskuteczniejszym sposobem w branży na powstrzymanie przejmowania kont na ich drodze. Ale do tej pory istniała poważna wada, która powstrzymywała APP: jej oferta na iPhone’a i iPada była zaporowo ograniczona dla większości użytkowników. Teraz, gdy to się zmieniło – więcej o zmianie za chwilę – czuję się komfortowo polecając APP znacznie szerzej.

Co to App?

Wymagając od użytkowników tworzenia fizycznego klucza bezpieczeństwa oprócz hasła za każdym razem, gdy logują się za pomocą nowego urządzenia, aplikacja APP ma na celu powstrzymanie tego rodzaju naruszeń kont, które rosyjscy agenci używali do zakłócania wyborów prezydenckich w 2016 r., Gdy publikowali poufne e-maile z wysocy rangą urzędnicy demokratyczni.

Ataki te stanowiły cel przekonywujących e-maili rzekomo od Google. Ostrzegli fałszywie, że hasło do konta celu zostało zdobyte przez osobę z zewnątrz i powinno zostać natychmiast zmienione. Kiedy przewodniczący kampanii prezydenckiej Hillary Clinton, John Podesta i inni Demokraci zastosowali się do tego, skutecznie oddali swoje hasła hakerom. Chociaż hakerzy mają wiele sposobów włamania się na konta, phishing pozostaje jednym z najpopularniejszych, zarówno dlatego, że jest łatwy, jak i dlatego, że wskaźnik sukcesu jest tak wysoki.

APP sprawia, że ​​takie ataki są prawie niemożliwe. Sekrety kryptograficzne przechowywane na fizycznych kluczach wymaganych przez APP nie mogą zostać wyłudzone i – teoretycznie – nie mogą zostać wydobyte, nawet jeśli ktoś uzyska fizyczny dostęp do klucza lub zhakuje urządzenie, z którym się łączy. O ile atakujący nie ukradną klucza – coś, co nie jest możliwe zdalnie – nie mogą się zalogować, nawet jeśli uzyskają hasło celu.

Pomyśl o APP jako o uwierzytelnianiu dwuskładnikowym (2FA) lub uwierzytelnianiu wieloskładnikowym (MFA) na sterydach.

Praktycy bezpieczeństwa niemal jednogłośnie uważają klucze fizyczne za bezpieczniejszą alternatywę MFA dla aplikacji uwierzytelniających, które zapewniają stale zmieniające się hasło, które użytkownicy wprowadzają jako drugi czynnik. Hasła tymczasowe stanowią jeszcze większy problem, gdy są wysyłane za pośrednictwem wiadomości tekstowych SMS, które są podatne na ataki polegające na zamianie kart SIM i włamania do sieci telefonii komórkowej. Hasła jednorazowe są również problematyczne, ponieważ mogą zostać wyłudzone, aw niektórych przypadkach mogą zostać skradzione. Badanie przeprowadzone w 2016 r. Na 50 000 pracowników Google w ciągu dwóch lat wykazało, że klucze bezpieczeństwa pokonują inne formy 2FA, zarówno pod względem bezpieczeństwa, jak i niezawodności. APP łączy bezpieczeństwo kluczy fizycznych z rygorystyczną metodą blokowania konta. Podczas pierwszej konfiguracji aplikacji użytkownicy muszą zarejestrować dwa klucze bezpieczeństwa, takie jak te stworzone przez Yubico lub Titan Security. Po zarejestrowaniu kluczy wszystkie urządzenia, które mogą być zalogowane do konta, są automatycznie wylogowywane i można je zalogować ponownie tylko przy użyciu jednego z kluczy jako drugiego czynnika.

Użytkownicy muszą również używać kluczy podczas pierwszego logowania z dowolnego nowego urządzenia. (Google nazywa ten proces ładowaniem początkowym). Po uwierzytelnieniu urządzenie domyślnie nie potrzebuje już drugiego czynnika uwierzytelniania podczas kolejnych logowań. Nawet wtedy Google może ponownie zażądać drugiego czynnika w przypadku, gdy pracownicy firmy zobaczą loginy z podejrzanych adresów IP lub inne oznaki, że konto zostało przejęte lub jest bliskie przejęcia. APP, działa ze wszystkimi aplikacjami Google, a także z serią usług inteligentnego domu Nest, ale ogranicza aplikacje innych firm do wszystkich oprócz kilku. Google twierdzi, że APP zapewnia dodatkowe zabezpieczenia, ale nigdy nie podała wielu szczegółów poza tym.

Aby proces ładowania początkowego był mniej bolesny, użytkownicy mogą zarejestrować swój system Android – a ostatnio także urządzenie iOS – jako dodatkowy klucz fizyczny aktywowany przez kliknięcie tak na ekranie, który pojawia się automatycznie podczas procesu ładowania. Atrakcyjność tej opcji polega na tym, że użytkownicy zwykle mają telefon w kieszeniach, co czyni go wygodniejszym niż bardziej tradycyjne klucze fizyczne.

Oto, jak to wygląda na iOS i Androidzie:

Wbudowany klucz bezpieczeństwa w iPhonie (po lewej) i Pixel (po prawej).
Powiększać / Wbudowany klucz bezpieczeństwa w iPhonie (po lewej) i Pixelu (po prawej).

Klawisze telefonu – które są zgodne z niedawno wprowadzonym standardem WebAuthn (więcej o tym później) – działają tylko wtedy, gdy Bluetooth jest włączony zarówno w telefonie, jak i urządzeniu, które jest ładowane. Ponadto klawisze działają tylko wtedy, gdy zarówno telefon, jak i urządzenie ładowane są blisko siebie. To wymaganie naprawia lukę w zabezpieczeniach we wcześniejszej 2FA opartej na wypychaniu, w której użytkownicy naciskali przycisk OK na swoich telefonach po pomyślnym wprowadzeniu hasła do konta.

Podobnie jak w przypadku tymczasowych haseł z wystawców uwierzytelniających i SMS-ów, zabezpieczenia uwierzytelniania typu push można ominąć, gdy dokładnie zaplanowane logowanie atakującego ściśle śledzi cel próbujący zalogować się do fałszywej witryny atakującego. Ponieważ cele myślą, że się logują, nie mają powodu, aby nie uderzać w plik tak przycisk. Wymóg Bluetooth stanowi dodatkową przeszkodę – atakujący musi nie tylko doskonale znać hasło do konta celu i czas, ale także musi również mieć fizyczną bliskość do urządzenia celu.

Świetne na Androida, ale co z iOS?

Jako specjalista od bezpieczeństwa i dziennikarz, który od czasu do czasu współpracuje z anonimowymi źródłami, zarejestrowałem się w APP, zarówno na koncie osobistym, jak i służbowym, które korzysta z G Suite. (Najpierw musiałem poprosić administratora o zezwolenie na APP, ale był w stanie łatwo ją włączyć). Proces dla każdego konta trwał mniej niż pięć minut, nie licząc czasu potrzebnego na zakup dwóch kluczy. Odtąd klucz fizyczny był jedynym środkiem zapewniającym drugi czynnik uwierzytelniania.

Chociaż APP nie jest magicznym środkiem ochrony przed włamaniami, robi więcej niż jakiekolwiek inne środki, o których mogę pomyśleć, aby zapobiec włamaniom na konta, które wynikają z phishingu i innych rodzajów ataków wykorzystujących przejęte hasła. Podobała mi się pewność, a także użyteczność. Korzystając z Pixel XL, który obsługiwał NFC, mogłem z łatwością używać fizycznych kluczy na wszystkich posiadanych urządzeniach, nawet we wczesnych dniach APP, kiedy kluczowe opcje były bardziej ograniczone. Sprawy stały się łatwiejsze, gdy mogłem używać telefonu jako klucza bezpieczeństwa.

Do tej pory jednak powstrzymywałem się od rekomendowania ogólnego używania APP lub nawet fizycznych kluczy do 2FA w innych witrynach. Mój powód: długoletnia praktyka Apple polegająca na ścisłym ograniczaniu dostępu do portu Lightning, a do niedawna iPhone’a i iPada NFC, dokonywana za pomocą kluczy sprzętowych na tych urządzeniach była w sposób zbyt ograniczony. Nie warto było polecać metody uwierzytelniania, która byłaby niesmaczna lub nieodpowiednia dla użytkowników jednej z najpopularniejszych i najbardziej wpływowych platform na świecie.

Przez większość istnienia APP jedynymi rodzajami kluczy fizycznych, które działały z iPhone’ami i iPadami, były klucze sprzętowe korzystające z BLE, skrót od Bluetooth Low Energy. Uważam, że te klucze sprzętowe są kruche, nieporęczne i podatne na awarie, które czasami wymagały trzech lub więcej prób, zanim logowanie się powiedzie. Te klucze były przeciwieństwem mantry Apple „To po prostu działa”.

Co gorsza, mam wątpliwości co do bezpieczeństwa Bluetooth. Wiele luk w zabezpieczeniach, zarówno w specyfikacji Bluetooth, jak iw niektórych jej implementacjach, budzi uzasadnione obawy, że nie są one poddawane rygorystycznym audytom bezpieczeństwa. Ujawnienie przez Google w zeszłym roku luki, która umożliwiła pobliskim hakerom przejęcie procesu parowania Titan Bluetooth, nie sprawiło, że poczułem się lepiej. (Wada została już naprawiona.)

Ten brak realnych kluczowych opcji był poza zasięgiem Google. Tradycja Apple polegająca na budowaniu od podszewki – i jej niechęć do technologii, które uważa za nieprzetestowane – spowodowała, że ​​firma powoli otwierała swoje produkty na klucze sprzętowe. W rezultacie firma Apple oparła się wezwaniom umożliwiającym iPhone’om i iPadom łączenie się z większością urządzeń przez NFC lub przez port Lightning.

Podczas gdy klucze USB mogą być używane na komputerach Mac (oraz urządzeniach z systemem Windows i Linux) z Chrome, a później Firefox i innymi przeglądarkami, Bluetooth pozostał jedynym sposobem łączenia kluczy z iPhone’ami i iPadami. Ostatecznie klawisze Bluetooth nigdy nie wydawały się przyjmować. Na przykład producent kluczy Yubico nadal nie oferuje produktów korzystających z technologii Bluetooth. Komentarze takie jak te na forum pomocy technicznej Google wychwytują frustrację niektórych użytkowników brakiem realnych opcji. Ponieważ iOS i iPadOS zostały w dużej mierze pominięte, Google i niektórzy partnerzy branżowi zrobili wszystko, co w ich mocy, aby połączyć alternatywy.

Na przykład w czerwcu 2019 r.Google zaczęło zezwalać posiadaczom kont APP na używanie ich telefonów z Androidem jako kluczy bezpieczeństwa do logowania się do iPhone’ów i iPadów, ale ta opcja nie przekonała mnie zbytnio, że aplikacja jest gotowa na iPhone’a i iPada szerokie rzesze. Kiedy już przeszedłem przez krzywą uczenia się, opcja działała wystarczająco dobrze. Ale nawet wtedy wymaganie drugiego urządzenia mobilnego – z nie mniejszym systemem operacyjnym konkurencyjnego – oznaczało, że prawdopodobnie nie będzie ono atrakcyjne dla dużego odsetka użytkowników iOS i iPadOS.

W sierpniu 2019 r.Yubico wypuściło Yubikey 5Ci, klucz, który wykorzystywał zastrzeżoną technologię do łączenia się z portem Lightning firmy Apple, podczas gdy świat czekał, aż Apple doda natywne wsparcie. Większość ludzi nie zwróciła na to uwagi, ponieważ 5Ci można było używać tylko z wersją początkowej przeglądarki Brave na iOS, a następnie do znikającej liczby usług. Więcej popularnych przeglądarek i witryn zostało całkowicie pominiętych. Dopiero w następnym miesiącu – wrześniu 2019 r. – Safari dla macOS dodało obsługę kluczy fizycznych, czyniąc z niej ostatnią dużą przeglądarkę, która to zrobiła.

Dopiero w grudniowym wydaniu iOS i iPadOS 13.3 firma Apple dodała natywną obsługę NFC i kluczy USB za pośrednictwem standardu uwierzytelniania znanego jako FIDO2. Te dodatki były znaczną poprawą, ale miały swoje własne ograniczenia. Siedem miesięcy później tylko Safari i Brave na iOS i iPadOS mogą używać kluczy uwierzytelniających. Wiele witryn oferujących sprzętową weryfikację dwuetapową nie działa dobrze lub wcale nie działa z Brave. Podczas gdy przeglądarka działa z klawiszami Yubico, klucze z Titan nie są w ogóle obsługiwane.

Ku frustracji producentów przeglądarek i operatorów usług online, Apple nie opublikował jeszcze interfejsów programistycznych, których przeglądarki innych firm potrzebują do odczytywania kluczy przy użyciu niedawno dodanej obsługi natywnej. (Brave może odczytywać klucze 5Ci dzięki zastrzeżonemu interfejsowi Yubico. Aby obsługiwać klucze Yubico NFC, Brave używa kombinacji interfejsów Yubico i zestawu interfejsów Apple API, które zapewniają aplikacjom iOS i iPadOS nieprzetworzony dostęp do urządzeń obsługujących NFC). Rzecznik Apple potwierdziła, że ​​firma nie udostępniła jeszcze wsparcia, ale powiedziała, że ​​nie należy tego interpretować, ponieważ nie nastąpi to w przyszłości.

Wszystkie te ograniczenia użyteczności sprawiły, że w ogóle nie polecałem kluczy fizycznych – znowu dlatego, że nie chciałem promować jednej metody MFA dla iOS i iPadOS, a drugiej dla wszystkich innych platform.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook