W odcinku 12345 to nie has艂o. Zadbaj o swoje dane! rozmawiali艣my z Krzy艣kiem o tym, w jaki spos贸b podwy偶szy膰 bezpiecze艅stwo swoich danych w Internecie. Metod膮, kt贸ra znacznie podwy偶sza bezpiecze艅stwo naszych hase艂 nosi nazw臋 2FA, czyli dwusk艂adnikowe uwie偶ytelnianie. W skr贸cie m贸wi膮c, opr贸cz podania loginu i has艂a, nale偶y zrobi膰 co艣 jeszcze. Przeanalizujmy poni偶szy scenariusz.
Przest臋pcy nie pr贸偶nuj膮.
W dziejszych czasach, w zwi膮zku z tym, 偶e praktycznie ca艂e swoje 偶ycie przenie艣li艣my do Internetu, przest臋pcy musz膮 dopasowa膰 si臋 do nowych reg贸艂 gry. Jednym z najcz臋strzych ataka贸w, wycelowanych w internaut贸w jest atak o nazwie phishing, kt贸ry ma na celu wy艂udzi膰 w ten, lub inny spos贸b poufne informacje. Atak ten ma na celu tak zmanipulowa膰 ofiar臋, aby ta zrobi艂a to, o co wr臋cz prosi przest臋pca.
Wektor ataku.
Najbardziej powrzechnym rodzajem tego ataku jest zwabienie ofiary na fa艂szywy formularz logowania. Ofiara dostaje przyk艂adowo spreparowan膮 przez przest臋pc臋 wiadomo艣膰 e-mail, w kt贸rym czyta, 偶e jej konto w serwisie XYZ zosta艂o zablokowane. Instrukcje m贸wi膮, 偶e po klikni臋ciu w link i przej艣ciu procedur, konto mo偶na odzyska膰. Ofiara klika w fa艂szywy link.
Po wej艣ciu na podrobion膮 stron臋, kt贸ra r贸wnie偶 mo偶e mie膰 tzw. zielon膮 k艂贸dk臋 w pasku adresu ukazuje si臋 formularz do logowania, praktycznie identyczny jak ten na oryginalnej stronie. Co robi ofiara? Pr贸buje si臋 logowa膰. Podaje sw贸j login, podaje swoje bardzo-trudne-do-zapami臋tania-has艂o, zapisane w menad偶erze has艂e艂 i po wci艣ni臋ciu w przycisk ZALOGUJ, dane w臋druj膮 do przest臋pcy. Ten z kolei na swoim komputerze loguje si臋 danymi ofiary (bo przecie偶 przed chwil膮 nie艣wiadomie mu je wys艂a艂a) do oryginalnego serwisu. Je艣li mamy w艂膮czone dwusk艂adnikowe uwie偶ytelnianie, przest臋pca zobaczy pro艣b臋 o podanie dodaktowego kodu. Co w贸wczas zrobi nasz haker? Poprosi Ciebie dok艂adnie o to samo. Ty (dalej nie艣wiadomy) dostaniesz na maila lub SMS kod (bo przest臋pca przecie偶 loguje si臋 Twoimi danymi na prawdziwej stronie), a nast臋pnie przepiszesz go na fikcyjnym formularzu i wy艣lesz do przest臋pcy.
Czy jest jaki艣 lepszy spos贸b?
Jest. Metod膮, kt贸ra w 100% zabezpieczy Ci臋 przed tego typem ataku jest klucz U2F czyli zaawansowane dwusk艂adnikowe uwie偶ytelnienie. Jest to urz膮dzenie elektroniczne, kt贸re w trakcie logowania podpinasz do swojego komputera, autoryzuj膮c tym samym logowanie. Czym si臋 w takim razie r贸偶ni klucz U2F od popularnych kod贸w SMS?
O tym mo偶na by艂oby napisa膰 dobr膮 ksi膮偶k臋, w kt贸rej by艂oby bardzo du偶o technicznego be艂kotu. Ogranicz臋 si臋 jednak do napisania w skr贸cie najwa偶niejszych rzeczy. Klucz U2F nale偶y skonfigurowa膰 z serwisem, w kt贸rym chcemy go u偶ywa膰. Podczas konfiguracji klucz i serwis wymieniaj膮 si臋 bardzo sekretnymi i powa偶nie szyfrowanymi informacjami, dzi臋ki czemu to wszystko ma sens. Jedn膮 z tych informacji jest domena, czyli adres internetowy, z kt贸rym klucz jest w艂a艣nie konfigurowany. Przypomnijmy powy偶szy wektor ataku. Dla przyk艂adu, podrobniona stronia niech nosi nazw臋 alegro.pl (przez jedno l w 艣rodku). Oryginalna i prawdziwa strona to allegro.pl i z tak膮 domen膮 zosta艂 skonfigurowany klucz. Loguj膮c si臋 na fikcyjnym formularzu, nawet je艣li wyskoczy informacja z pro艣b膮 o w艂o偶enie klucza, nic si臋 nie wyda偶y! Dlaczego? Bo klucz zosta艂 skonfigurwoany z inn膮 domen膮. Dlatego w艂a艣nie klucz U2F daje 100% zabezpieczenie przed tego typu atakiem.
Czy s膮 jakie艣 wady tego rozwi膮zania?
Ja na w艂asnej sk贸rze przekona艂em si臋, 偶e tak. Kt贸rego艣 razu popsu艂em sw贸j klucz. Normalny u偶ytkownik raczej nie by艂by wstanie tego zrobi膰, ale ja si臋 upar艂em i go zresetowa艂em (oczywi艣cie niechc膮cy). Efekt tego zabiegu by艂 taki, 偶e nie mog艂em si臋 zalogowa膰 do 偶adnego serwisu, z kt贸rym mia艂em skonfigurowany klucz. Katastrofa. Na szcz臋艣cie jako艣 wybrn膮艂em z tej sytuacji, ale ta przygoda pokazuje wprost, 偶e nale偶y kupi膰 najlepiej dwa klucze. Jeden u偶ywa膰 wtedy, gdy jest potrzebny, a drugi trzyma膰 w sejfie, skarpecie lub innym, bezpiecznym miejscu. Alternatyw膮 do drugiego klucza s膮 tzw. kody bezpiecze艅stwa, kt贸re generuj膮 si臋 podczas konfiguracji klucza. Nale偶y te kody wydrukowa膰 i r贸wnie偶 gdzie艣 bezpiecznie schowa膰.
Czy jest to mi potrzebne?
Na to pytanie musisz odpowiedzie膰 sobie sam. Przypomnijmy pewne fakty. Je艣li z sewisu X wyciek艂y loginy i has艂a u偶ytkownik贸w (co dzieje si臋 dosy膰 cz臋sto), to je艣li mamy w艂膮czon膮 jak膮kolwiek metod臋 2FA – jeste艣my bezpieczni. Pomimo dost臋pu do naszego loginu i has艂a, nikt do naszego konta si臋 nie w艂amie. Je艣li jednak wejdziesz na spreparowan膮 przez przest臋pc臋, fikcyjn膮 stron臋 logowania, zwyk艂e 2FA Ci nie pomo偶e, gdy偶 w podrobionym formularzu podasz dodatkowy kod 2FA. Je艣li to Ci臋 przera偶a, lub jeste艣 tzw. 艂akomym k膮skiem dla przest臋pcy, kup klucz U2F, kt贸ry zabezpieczy ci臋 w 100% przed phishingiem.