SMS、コード、物理キー: 二重認証は本当に確実ですか?

4月10日、グーグルが発表Android 7 以降を実行するスマートフォンは、そのサービスの一部として 2 番目の物理的認証要素として使用できる可能性があります。コンピューターでアカウントに接続する場合、スマートフォンが近くにあるだけで、認証が自動的に行われます。

この新機能はサイバーセキュリティの専門家から賞賛されています。二要素認証の重要性を強調する場合 (二要素認証、または 2FA) を使用してアカウントを適切に保護するために、これまで提案されたソリューションの多くには一定の数の欠陥がありました。 Google が提供するサービスは、現在、Google アカウントでのみ機能します。残りのデジタル ライフへの一般化を待つ間、二重認証をどうするか?

二重認証はどのように機能しますか?

私たちは皆、主要なデジタル プラットフォームに数十のアカウントを持っています。 Google、Facebook、Twitter、Amazon、Spotify…数え切れないほどたくさんあります。これらのアカウントとそこに含まれるさまざまなデータは、明らかに大規模なハッキングの波を引き起こしました。そして、これらのセキュリティ上の欠陥の影響を軽減するために、多くのサービスが二重認証の使用を推奨したり、強制したりし始めています。

セキュリティ侵害の影響を軽減するために、多くのサービスが二重認証の使用を推奨したり、それを強制したりし始めています。

ハッカーが誰かのパスワードを盗むことに成功したとします。 2FA がなければ、被害者のアカウントはすぐに侵害されてしまいます。ただし、このアカウントが SMS、USB キー (ドングル)、または携帯電話にインストールされているアプリケーションによって送信されたコード (つまり 2 番目の認証システム) を必要とする場合、ハッカーはブロックされ、ユーザーはパスワードを変更する時間が与えられます。

ただし、2FA は Web とともに生まれたものではありません。Jourdain 氏がそれを知らずに散文を書いたように、皆さんも日常生活の中で意識せずに使用していることが多いでしょう。これは通常、クレジット カードの場合に当てはまります。非接触モードで使用しない限り、支払いのためにカードを物理的に所有するだけでは十分ではありません。泥棒にとっては簡単すぎるでしょう。カードをリーダーに挿入したら、自分だけが知っている秘密コードも入力する必要があります。

このコードは、と呼ばれるものの例です2 番目の認証要素。 3 つの異なるタイプがあります。

• ユーザーが知っていること。これは、PIN コードまたは SMS で送信された番号の場合に当てはまります。これは、安価で使いやすいため、2FA の最も一般的なモードです。
• 彼が持っているもの。 Google の認証キーやスマートフォンがこれに該当します。これはより安全ですが、多くの場合、より煩雑でもあります。
• 彼は何者ですか。これらには、指紋やその他の生体認証データが含まれます。これは、生体認証パスポートをお持ちの場合に一部の空港で使用される手順です。書類を提示するだけでなく、リーダーに指先を置く必要があります。

しかし、二重認証には原理的に欠陥がないわけではありません。もう一度クレジットカードの例を見てみましょう。ある晩 ATM からお金を引き出す場合は、機密コードを機械に入力する必要があります。そして、覗き見から安全ではありません。本当に運が悪ければ、悪意のある人物があなたの銀行カードを盗む前にあなたのコードを盗み見ることができます。二重認証はもう役に立ちません。

インターネットの新たな危険に適応できていませんか?

すでに 2005 年にサイバーセキュリティの第一人者であるブルース・シュナイアー氏が自身のブログで非難した「二要素認証の失敗」。研究者は、このセキュリティは 1990 年代には効果があったと考えています。当時のパスワード盗難手法は基本的に「受動的」でした。これには、中間者攻撃 (中間者攻撃、または「MITM」）、ハッカーは、たとえば Wi-Fi ホットスポットを侵害することによって、その場でパスワードを傍受します。または、パスワードの品質が低い場合は、パスワードを推測するというあまり洗練されていない方法もあります。

2 要素認証は、こうした昔の脆弱性にはうまく対応しますが、2000 年代に出現したいわゆる「アクティブ」攻撃を管理するのはさらに困難になります。MITM のより精巧なバージョンこれはフィッシングを彷彿とさせます (フィッシング）、ハッカーは、銀行などの正規のサイトに期待される外観と動作を備えた詐欺的な Web サイトを作成します。次に、ユーザーをだまして資格情報を入力させます。

これらはすぐに実際の銀行の Web サイトに統合され、コードを含む SMS が実際のユーザーに送信されます。後者は偽のサイトにコードを入力するため、ハッカーは本物の銀行口座を手に入れることができます。この手法は確かにより多くのリソースを必要としますが、実装は特に複雑ではありません。

トロイの木馬はさらに直接的に機能します。このウイルスは、被害者のコンピュータに侵入し、被害者が銀行に合法的にログインしてセッションを制御するまで待つだけで済みます。という名前のバリアントでは、ブラウザ上のマン(MITB) と 2005 年に発表されたトロイの木馬は、Web ブラウザに侵入します。ユーザーがブラウザ経由で銀行の Web サイトに特定の指示を与えると、トロイの木馬はまったく異なる情報 (金額、送金の受取人など) を提供し始めます。

その他の弱点は、パスワードを忘れた場合に識別子を見つけることができるパスワード回復手順に関するものです。多くの場合、サイトは質問をせず、特に二重認証手順を使用せずに、ユーザーに電子メールを送信するだけです。したがって、Bruce Schneier 氏は、2FA はローカル用途や特定のビジネスには適しているが、必ずしもオンライン アカウントのすべての用途に適しているわけではないと結論付けています。実際、セキュリティ インシデントは、特に SMS に関して急速に発生します。

この電話番号はとても安心です

おそらく皆さんも SMS 経由で 2FA に遭遇したことがあるのではないでしょうか。サイトに識別子を入力すると、サイトから SMS で 1 回限りの使用コードが送信され、指定された時間内に入力する必要があります。このシステムの最初の落とし穴は非常に明白ですが、それでも言及する価値があります。電話番号を変更する場合は、古い番号を無効にする前に、各アカウントに忘れずに新しい番号を入力する必要があります。そうしないと、永久にアクセスできなくなる危険があります。これらの管理責任の詳細以外にも、SMS による 2FA は残念ながらハッキングに対して脆弱です。

スマートフォンの出現により、電話番号は私たちのデジタル アイデンティティの基礎となり、また本当の弱点となりました。

スマートフォンの出現により、電話番号は私たちのデジタル アイデンティティの基礎となり、実際の弱点となっています。これは、多くのアカウントを作成するための電子メール アドレスに取って代わり、多くの場合、他の多くのアカウントに関連付けられています。ただし、私たちは電話番号のセキュリティについては、最も強力なパスワードで保護されている電子メール アドレスよりもはるかに注意を払っています。おそらくそれは、スマートフォンが自分にとって身近な物体であり、非物質化された電子メールボックスよりも「親密な」ものであるため、または電話番号がまだインターネット以前のものであるように思われるため、その危険性に対して鈍感であるためかもしれません。 SMS と SIM カードの脆弱性により、多くの Instagram アカウントがハッキングされて闇市場で転売され、他のユーザーは金銭を脅し取られました。

電話番号がハッカーの新たな標的に

SMS は、他のモバイル サービスと同様に、と呼ばれる一連の電話信号プロトコルに基づいています。信号システム 7(SS7) であり、1975 年にアメリカの通信大手 AT&T によって開発されました。多くのセキュリティ脆弱性2000 年代から 2010 年代にかけて SS7 で発見され、たとえばモバイル デバイスのユーザーの正確な位置情報を可能にするものもありました。 2017 年 5 月、ドイツの通信事業者O2 テレフォニカは重大な脆弱性の被害に遭い、携帯電話ネットワークによる暗号化にもかかわらず、ハッカーがテキスト メッセージを読んだり、通話を聞いたりすることができました。

もっと簡単に言えば、ハッカーは人間の脆弱性を悪用してソーシャル エンジニアリングを実践することもできます。彼らの目標は、被害者の SIM カードのコピーを入手して、被害者宛てのすべての SMS メッセージを受信できるようにすることです。通信事業者は所有者の本人確認書類を確認せずに重複したSIMカードを発行することを原則として禁止されている。

実際には、多くの店は怠慢です売り手を説得できれば。米国では、窃盗犯がオペレーターのコールセンターに電話をかけ、社会保障番号や運転免許証などのデータを使用して被害者の身元を盗みます。2017 年に特に漏洩した 2 つの機密情報信用調査機関 Equifax の 1 億 4,300 万人の顧客向け。その後、SIM カードを紛失したことを申告するだけで済みます。

最後の問題はプライバシーに関連しています。オンライン プラットフォームに電話番号を提供すると、認証以外の目的でこのデータが使用されたり、さらには転売されたりするリスクがあります。Facebookは昨年3月に現行犯逮捕された: SMS 2 要素認証を有効にすると、サイトの検索バーに電話番号を入力することで、誰でもあなたの Facebook プロフィールを見つけることができます。そして、設定にはこれをオプトアウトするオプションがありません。

認証アプリケーションによるソリューション

SMS が実行可能なオプションではない場合、二重認証を放棄する必要がありますか?ほとんどのサイバーセキュリティ専門家は「いいえ」と言うでしょう。不完全ではありますが、二重認証は単純な認証よりもはるかに安全です。私たちの中で最もオタクな人は、物理的なセキュリティキー、置き忘れるリスクは言うまでもなく、高価で使い方が複雑なままであることがよくあります。

一般人にとって、スマートフォンの最強の二重認証モードは残る認証アプリケーション、最もよく知られているのは Google Authenticator です。これにより、アカウントに接続する必要があるたびに、非常に短期間のコード (たとえば 30 秒) が生成されます。コードは、たとえば以下を使用して安全なチャネルを通過します。TOTPアルゴリズム(時間ベースのワンタイムパスワード)。したがって、SIM カードとその弱点は手順から完全に除外されます。

これらの認証アプリケーションの 1 つをパスワード マネージャーと関連付けるのが理想的です。ダッシュレーンみたいに。なぜなら、最終的にハッカーにとって最も困難な部分は常にパスワードを見つけることだからです。 Dashlane は複雑なパスワードを生成できるだけでなく、何よりもアプリケーション内の 1 か所でパスワードを保護できます。 Dashlane は現在、すべてのデバイス (PC、Mac、Android、または iOS) で利用でき、自動的に同期されます。二重認証システム経由で接続するオプションも含まれています。実装もシンプルで直感的です。。

最後に、上記のリンクを使用すると、Dashlane の 1 年間のサブスクリプションが 10% 割引 (つまり、39.99 ユーロではなく 35.96 ユーロ) されるだけでなく、プレミアム バージョンを 1 か月間無料で試すことができることに注意してください。