Procesul de securizare a datelor a căpătat o importanţă tot mai mare pentru organizațiile militare şi nu numai. Utilizarea cu preponderenţă a metodei de autentificare folosind doar conturile şi parolele asociate acestora constituie o breşă de securitate. Creșterea rapidă a numărului de servicii online a dus la creșterea numărului de identităţi digitale diferite pe care fiecare utilizator trebuie să le gestioneze. Iar cum utilizatorii tind să utilizeze parole ușor de ghicit sau să o folosească pe aceeași pentru mai multe conturi, hackerii au la dispoziție o gamă variată de tehnici pentru a fura parolele, de la shoulder-surfing sau snooping până la sniffing şi chiar guessing.
Securizarea cu dispozitive fizice sau virtuale
Autentificarea cu doi factori (Two Factor Authentication/2FA) a fost dezvoltată pentru a acoperi aceste breșe de securitate. O soluție de 2FA este folosirea dispozitivelor fizice (hardware token) pentru generarea de parole unice. Metoda este stabilă, dar presupune costuri ridicate prin prisma achiziționării, emiterii şi gestionării dispozitivelor. Un alt dezavantaj îl reprezintă riscul de pierdere sau de furt al acestor obiecte.
O altă metodă o reprezintă „One time password” (OTP), o soluție sub forma unei aplicaţii (software token), folosită pe dispozitivele mobile, care elimină dezavantajele utilizării token-urilor hardware şi folosește, la fel ca acestea, două dintre principiile ce stau la baza mecanismului de autentificare: parola („ceea ce știi”) şi token-ul software de pe dispozitiv („ceea ce ai”). Dezavantajele rezidă în necesitatea instalării pe dispozitivele mobile a software-ului OTP, precum şi în sincronizarea permanentă a amprentei de timp dintre dispozitivul mobil şi server. În momentul de faţă majoritatea serviciilor web importante oferă utilizatorilor o gamă largă de metode de autentificare cu doi factori, însă la capitolul eficienţei protejării datelor personale, diferențele dintre acestea sunt nesemnificative, ceea ce face ca 2FA să fie insuficientă pentru securizarea procesului de autentificare.
Apărut în anul 2013, site-ul twofactorauth.org evidențiază şi sugerează îmbunătăţiri site-urilor care nu oferă autentificare cu doi factori. De exemplu, Netflix, Spotify, Viber, dar şi Airbnb sau Wikipedia nu oferă utilizatorilor 2FA. În schimb, toate aplicațiile de cryptocurrency şi toate serviciile importante de e-mail oferă metode de autentificare cu doi factori.
Ocolirea autentificării cu doi factori
Începând cu anul 2014, atacurile vizând ocolirea autentificării cu doi factori au luat amploare. Metodele folosite de atacatori variază de la interceptarea token-urilor software, până la spargerea conturilor operatorilor de telefonie mobilă şi redirecționarea mesajelor trimise prin serviciul OTP către atacatori. În noiembrie 2017, serviciul Uber a fost în mijlocul unui scandal, după ce cercetătorul Karan Saini a descoperit o disfuncţie care permitea unui atacator să ocolească autentificarea cu doi factori a aplicației. Cercetătorul se referea la modul prin care un utilizator se conectează la aplicație şi susținea că un atacator are nevoie doar de numele de utilizator şi parola victimei pentru a-i putea accesa contul, al doilea nivel de securitate fiind inexistent. O altă vulnerabilitate descoperită recent a arătat cum atacatorii pot accesa contul victimei folosind un atac de tip phishing.
Atacul are la bază tehnica typosquatting, prin care atacatorul creează URL-uri (adrese de internet) malițioase, concepute pentru a părea similare cu cele pe care victima le cunoaște.
Cei care accesează link-ul respectiv sunt redirecționați către o pagină de conectare clonată unde îşi introduc credenţialele de conectare şi codul de autentificare trimis pe dispozitivul mobil. În acest timp, atacatorul obţine cookie-ul sesiunii (fişier ce conţine date de autentificare creat de un site şi stocat în computerul personal), nemaiavând nevoie de numele de utilizator, parola şi al doilea factor pentru a accesa contul victimei. Tot ce trebuie să facă atacatorul este să acceseze pagina de autentificare a site-ului real şi să introducă, în consola de dezvoltator a browser-ului web, cookie-ul de sesiune. O soluție pentru educarea şi instruirea utilizatorilor în domeniul securizării datelor cu caracter personal ar putea fi chiar simularea unor atacuri de acest tip, iar în urma accesării URL-ului malițios utilizatorii să fie direcționați către o platformă de training online prin care sa fie instruiți cu privire la riscurile la care se expun accesând astfel de link-uri şi consecințele grave ce pot apărea.
Autentificarea cu doi factori este, evident, un proces mai anevoios decât simpla utilizare a unei parole mai ales când vorbim de multe identităţi digitale şi multe aplicații în care ne logăm zilnic. Totuşi, aceste dezavantaje nu trebuie folosite ca scuze pentru a evita această măsură suplimentară de siguranţă. Trebuie să fim conștienți că protejarea superficială a identităţii în mediul virtual s-ar putea întoarce la un moment dat împotriva noastră.
Abstract
As text-based passwords continue to be the dominant form for user identification today, services try to protect their customers by offering enhanced and more secure, technologies for authentication. One of the most promising is two-factor authentication (2FA). 2FA makes it more difficult for the attacker, however, it is still questionable if the technology can be realistically adopted by the majority of Internet users. Unfortunately the two-factor authentication is not perfect and you must be careful or you can be hacked by cybercriminals.
Autor: Claudiu Pardos
