Tai yra redakcinė nuomonė Heidi Porter, verslininkė su 35 metai technologijų srityje.
Vartotojo sauga
Ankstesniuose straipsniuose apie saugumo ir duomenų pažeidimaiaptarėme kelių faktorių autentifikavimo (MFA) poreikį jūsų Bitcoin paskyrose ir visose kitose paskyrose, kurias norite apsaugoti.
Nusilaužimai ir toliau bus vykdomi, kai jūsų paskyra bus pažeista arba žmonės bus išsiųsti į nešvankią svetainę ir netyčia atsisiųs kenkėjišką programą, o ne patikrintą programinę įrangą.
Tai bus pirmasis iš straipsnių serijos apie atsparesnę paskyrų, mazgų ir programų naudotojų apsaugą. Taip pat aptarsime geresnes el. pašto parinktis, geresnius slaptažodžius ir geresnį virtualaus privataus tinklo (VPN) naudojimą.
Realybė tokia, kad niekada nebūsite visiškai saugūs atlikdami internetines finansines operacijas jokioje sistemoje. Tačiau galite įdiegti atsparesnį įrankių rinkinį ir geriausios praktikos pavyzdžius, kad padidintumėte saugumą.
Kas yra kelių veiksnių autentifikavimas ir kodėl man tai rūpi?

(Šaltinis)
Kibernetinio saugumo ir infrastruktūros saugumo agentūros teigimu, „Daugiafaktoris autentifikavimas yra daugiasluoksnis duomenų ir programų apsaugos metodas, kai sistema reikalauja, kad vartotojas pateiktų dviejų ar daugiau kredencialų derinį, kad patvirtintų vartotojo tapatybę prisijungiant.
Kai prisijungiame prie internetinės paskyros, dažnai siekiame sutrukdyti užpuolikui ar įsilaužėliui naudodami papildomus patvirtinimo sluoksnius arba užraktus.
Palyginti su nuosavu namu, kelios spynos suteikia daugiau saugumo. Jei viena autentifikavimo forma yra gera, pvz., slaptažodis, tada dvi formos (dar žinomos kaip MFA) gali būti geresnės.
Atminkite, kad jei naudojate TIK biometrinį autentifikavimą, tai yra vieno veiksnio autentifikavimas. Tai tik bet kokio jūsų naudojamo modalumo biometriniai duomenys: nykščio, rainelės, veido atpažinimo ir kt. Jei naudojate 1 aparatūros raktą be slaptafrazės, tai taip pat yra vieno veiksnio autentifikavimas.
Tačiau jei biometrinė informacija arba raktas naudojamas kaip antrasis veiksnys, jis gali atitikti daugiafaktorinio autentifikavimo tikslą ir būti saugesnis nei daugelis programomis pagrįstų MFA.
Naudodami MFA turite naudoti bent 2 iš šių 3 autentifikavimo mechanizmų:
- Kažkas, ką žinote (slaptažodis, PIN kodas ir kt.)
- Kažkas, ką turite (kodas, įrenginys)
- Tai, kas jūs esate (pirštų atspaudai ar kiti biometriniai duomenys)
Kur turėčiau naudoti MFA ir kokios rūšies MFA?
Naudodami MFA turite turėti bent du autentifikavimo mechanizmus.
Jei jie galų gale palaiko MFA, turėtumėte bent jau nustatyti URM savo:
- Bitcoin mainai (bet nusipirkę kuo greičiau gaukite iš jų lėšas).
- Bitcoin mazgai ir kalnakasiai.
- Bitcoin ir Lightning piniginės.
- „Lightning“ programos, pvz., RTL arba „Thunderhub“.
- Debesų paslaugų teikėjai, pvz., Voltage paskyros.
Pastaba: kiekviena paskyra arba programa turi palaikyti jūsų naudojamą MFA tipą ir turite užregistruoti MFA paskyroje arba programoje.
MFP teikėjai dažnai siūlo mažiau saugias parinktis, tokias kaip:
- SMS, telefono arba el. pašto vienkartiniai slaptažodžiai (OTP) arba laiko pagrįsti vienkartiniai slaptažodžiai (TOTP)
- Mobilusis tiesioginis autentifikavimas (saugesnis, jei tinkamai valdomas).
MFP teikėjai kartais taip pat siūlo saugesnes parinktis, pvz.:
- Autentifikavimo priemonės.
- Biometrinis patikrinimas.
- Aparatūros raktai.
- Išmaniosios kortelės.
Spėkite, kokio tipo MFP naudoja dauguma senų finansų įstaigų? Paprastai tai yra viena iš mažiau saugių MFA parinkčių. Beje, autentifikavimo programos ir MFA aparatinės įrangos raktai nėra sukurti vienodai.
MFA ir rinkodaros dezinformacija
Pirmiausia pakalbėkime apie URM rinkodarą. Jei jūsų MFA teikėjas skelbiasi, kad jis neįveikiamas arba 99 % neįveikiamas, jis skelbia kelių veiksnių BS ir jūs turėtumėte susirasti kitą teikėją. Visą MFA galima nulaužti. Tikslas – mažiau įsilaužti, labiau atspari sukčiavimui ir atsparesnė MFA.
Užregistravus telefono numerį URM tampa pažeidžiama SIM keitimas. Jei jūsų MFA neturi gero atsarginio mechanizmo, ši MFA parinktis gali būti pažeidžiama.
Kai kurios MFA yra labiau nulaužtos.
Kai kurios MFA yra labiau stebimos.
Kai kurios MFP daugiau ar mažiau galima sukurti atsargines kopijas.
Kai kurios MFA yra daugiau ar mažiau prieinamos kai kuriose aplinkose.
Mažiau nulaužiama ir stebima MFA
Kelių veiksnių autentifikavimas yra saugesnis naudojant autentifikavimo programą, intelektualiąją kortelę arba aparatinės įrangos raktą, pvz., Yubikey.
Taigi, jei turite programėlių ar aparatinės įrangos MFA, jums viskas gerai, tiesa? Gerai ne. Net jei naudojate programomis pagrįstą arba aparatinę MFA, ne visos autentifikavimo programos ir aparatinės įrangos įrenginiai yra vienodi. Pažvelkime į kai kurias populiariausias autentifikavimo programas ir kai kuriuos jų pažeidžiamumus, susijusius su sekimu, įsilaužimu ir atsarginių kopijų kūrimu.
- „Twilio Authy“ reikalauja jūsų telefono numerio, kuris gali padėti jums pasiekti kompromisą keičiant SIM kortelę. Pradinė sąranka yra SMS. Pastabos: Kaip jums patogu su Authy, atsižvelgiant į neseniai „Twilio“ įvykęs vidinis duomenų pažeidimas?
- „Microsoft Authenticator“ nereikalauja telefono numerio, tačiau jo negalima perkelti į „Android“, nes jo atsarginė kopija sukurta „iCloud“.
- Google Authenticator taip pat nereikalauja telefono numerio, tačiau neturi internetinės atsarginės kopijos ir gali tik perkelti iš vieno telefono į kitą.
Be to, kai kurie mano, kad visos šios programos yra mažiau atsparios ir atviros sukčiavimui arba žmogus viduryje (MITM) atakų.
Kaip gali būti pažeistos jūsų sąskaitos ir finansai
„Žmonės turėtų naudoti sukčiavimui atsparią MFA, kai tik gali, kad apsaugotų vertingus duomenis ir sistemas“ – Rogeris A. Grimesaskibernetinio saugumo ekspertas ir knygos „Įsilaužimo daugiafaktorinis autentifikavimas“ autorius
Kaip ir daugelis finansinių ir duomenų kompanijų, „Bitcoin“ įmonės buvo daugelio duomenų pažeidimų taikinys, kai užpuolikai gavo klientų el. pašto adresus ir telefono numerius.
Net ir be šių pažeidimų nėra ypač sunku rasti kieno nors el. pašto adresus ir telefono numerius (kaip minėta ankstesniuose straipsniuose, geriausia praktika yra naudoti atskirą el. pašto adresą ir telefono numerį savo Bitcoin paskyroms).
Naudodamiesi šiais el. laiškais, užpuolikai gali vykdyti sukčiavimo atakas ir perimti prisijungimo duomenis: ir slaptažodį, ir kelių veiksnių autentifikavimą, kurį naudojote kaip antrą bet kurios paskyros autentifikavimo veiksnį.
Pažvelkime į tipišką MITM sukčiavimo atakos procesą:
- Spustelėsite nuorodą (arba nuskaitysite QR kodą) ir būsite nukreipti į svetainę, kuri atrodo labai panaši į teisėtą svetainę, kurią norite pasiekti.
- Įvedate savo prisijungimo kredencialus ir būsite paraginti įvesti MFA kodą, kurį įvedate.
- Tada užpuolikas užfiksuoja prieigos seanso prieigos raktą, kad galėtų sėkmingai autentifikuoti teisėtą svetainę. Jūs netgi galite būti nukreipti į galiojančią svetainę ir niekada nežinote, kad į jus buvo įsilaužta (atminkite, kad seanso prieigos raktas paprastai tinka tik tai vienai seansui).
- Tada užpuolikas turi prieigą prie jūsų paskyros.
Be to, įsitikinkite, kad turite MFA, pridedamą prie išėmimų iš piniginės ar mainų. Patogumas yra saugumo priešas.
Sukčiavimui atspari MFA
Kad būtumėte atsparūs sukčiavimui, jūsų MFA turėtų būti Autentifikatoriaus užtikrinimo lygis 3 (AAL3) sprendimas. AAL3, be AAL2, pateikia keletą naujų reikalavimų, iš kurių svarbiausias yra aparatinės įrangos autentifikavimo priemonės naudojimas. Reikalingos kelios papildomos autentifikavimo charakteristikos:
- Atsparumo apsimetinėjimui tikrintojas.
- Atsparumas patikrinimui.
- Autentifikavimo tikslas.
Greita tapatybė internete 2 (FIDO2) yra AAL3 sprendimas. Išsami informacija apie skirtingus FIDO standartus nepatenka į šio straipsnio taikymo sritį, tačiau apie tai galite šiek tiek paskaityti adresuVisas FIDO, FIDO2 ir WebAuthn vadovas. Rogeris Grimesas 2022 m. kovo mėn. savo LinkedIn straipsnyje rekomendavo šiuos AAL3 lygio MFA teikėjus.Mano gerų stiprių MFA sąrašas.
Svarbi pastaba: Nors aš nenagrinėjau visų jų asmeniniam naudojimui, manau, kad bet kuris „Bitcoin“ kūrėjas ar „Bitcoin“ bendrovė TURI paprašyti savo trečiųjų šalių teikėjų arba integravimo paslaugų teikėjų pateikti išsamią informaciją apie tai, kokį MFP teikėją jie naudoja, ir užtikrinti, kad tai sukčiavimas. atsparus.
MFA aparatūros raktai ir intelektualiosios kortelės
Aparatūros raktai, pvz Yubikey, yra mažiau nulaužtos MFA formos. Be to, jūsų telefono numeris nėra susietas su raktu, todėl jį galima mažiau sekti. (Aš naudojau Yubikey). Vietoj sugeneruoto kodo, kurį įvedėte, paspauskite mygtuką ant aparatūros rakto, kad patvirtintumėte. Aparatūros raktas turi unikalų kodą, kuris naudojamas kodams generuoti, siekiant patvirtinti jūsų tapatybę, kaip antrąjį autentifikavimo veiksnį.
Yra du techninės įrangos raktų įspėjimai:
- Jūsų programa turi palaikyti aparatinės įrangos raktus.
- Galite pamesti arba sugadinti aparatūros raktą. Daugelis paslaugų leis sukonfigūruoti daugiau nei vieną aparatinės įrangos raktą. Jei prarasite naudoti vieną, galite naudoti atsarginę.
Intelektualiosios kortelės yra kita MFA forma, kuriai būdingas panašus atsparumas sukčiavimui. Čia nesigilinsime į detales, nes atrodo, kad jos bus mažiau naudojamos su Bitcoin ar žaibu susijusiai MFA.
Mobilusis: ribotoms erdvėms reikia aparatinės įrangos
Kitas aspektas, susijęs su kelių veiksnių autentifikavimu, yra tai, ar kada nors atsidursite situacijoje, kai jums reikia MFA ir negalėsite naudotis mobiliuoju telefonu ar išmaniuoju telefonu.
Yra dvi pagrindinės priežastys, dėl kurių taip gali nutikti bitkoinų vartotojams:
- Maža ląstelių aprėptis arba jos nėra
- Neturite arba negalite naudotis išmaniuoju telefonu
Gali būti ir kitų mobiliųjų telefonų naudojimo apribojimų dėl kliento darbo aplinkos arba asmeninių pageidavimų. Skambučių centrai, K-12 mokyklos ar didelio saugumo aplinkos, pvz., tyrimų ir plėtros laboratorijos, yra sritys, kuriose telefonai yra ribojami, todėl negalėsite naudoti telefono autentifikavimo programos.
Tokiais ypatingais atvejais, kai naudojate kompiuterį ir neturite išmaniojo telefono, jums reikės lustinės kortelės arba MFA aparatinės įrangos rakto. Jums taip pat reikės programos, kad palaikytumėte šias aparatinės įrangos parinktis.
Be to, jei darbe negalite naudotis mobiliuoju telefonu, kaip per pertrauką tualete susikrauti satus?
Atsparesnės MFA link
MFA gali būti įsilaužta ir jūsų paskyros gali būti pažeistos. Tačiau galite geriau apsisaugoti naudodami atsparesnę ir atsparesnę sukčiavimui MFA. Taip pat galite pasirinkti MFA, kuri nėra susieta su jūsų telefono numeriu ir turi tinkamą atsarginį mechanizmą arba galimybę turėti atsarginį raktą.
Nuolatinė gynyba nuo kibernetinių atakų yra besitęsiantis katės ir pelės arba mušimo kurmio žaidimas. Jūsų tikslas turėtų būti tapti mažiau įsilaužiamu ir mažiau stebimu.
Papildomi resursai:
Tai Heidi Porter svečio įrašas. Išsakytos nuomonės yra visiškai jų pačių ir nebūtinai atspindi BTC Inc. arba Bitcoin Magazine.