3

Dwuskładnikowe uwierzytelnianie może nie wystarczyć

Dwuskładnikowe uwierzytelnianie (2FA) według wielu ekspertów funkcjonuje jako bardzo mocna, dodatkowa warstwa bezpieczeństwa w trakcie logowania do usług. Jednak badacze pokazali właśnie metodę na złamanie tego mechanizmu - zresztą nie jest to pierwsza próba mierzenia się z drugim składnikiem uwierzytelniania.

Hakerzy, badacze doskonale wiedzą o tym, że najsłabszym ogniwem dla 2FA są zwyczajnie ludzie – w trakcie konferencji Hack in the Box w Amsterdamie pokazano metodę na złamanie dodatkowej warstwy bezpieczeństwa. Dwa zautomatyzowane narzędzia wykorzystane w odpowiedni sposób są w stanie, właściwie bez żadnych szans dla ofiary ominąć to zabezpieczenie. Chodzi o Muarena oraz NecroBrowser. Pierwsze narzędzie przechwytuje ruch między użytkownikiem oraz witryną, w której wywołano dwuskładnikowe uwierzytelnianie działając jako proxy. NecroBrowser ma za zadanie przede wszystkim zarządzać szeroko rozprzestrzenionym atakiem:

Szczegóły dotyczące ataku wraz z narzędziami opublikowano również w serwisie GitHub, gdzie deweloperzy mogą sami przetestować tę metodę oraz sprawdzić jak działa. W takich warunkach, przeprowadzenie ataku na jakąkolwiek usługę wykorzystującą 2FA jest dużo prostsze, również dla mniej doświadczonych atakujących.

W dalszym ciągu jednak twórcy tej metody uważają, że 2FA jest metodą dobrą, wartą korzystania z niej, choć warto szukać w niej „dziur”. Chociażby po to, by można było chronić się przed nimi w przyszłości. Znając ewentualne podatności dodatkowego uwierzytelniania można tworzyć m. in. dodatkowe warstwy bezpieczeństwa lub modyfikować obecne tak, aby uniknąć wycieku danych użytkownika. Jednocześnie wskazują na U2F (Universal Second Factor), który według nich jest bardzo mocnym zabezpieczeniem – korzysta on z fizycznego urządzenia, które podpinamy do maszyny, w której logujemy się do usługi. Całość nie polega na żadnych danych wymienianych między serwisem a użytkownikiem.

Czy trzeba się bać takiego ataku już teraz?

Eksperci twierdzą, że bać trzeba się zawsze – jednak aby skonstruować udany atak za pomocą dwóch wskazanych narzędzi trzeba m. in. zainfekować komputer złośliwym oprogramowaniem – a nie zawsze się to przecież udaje. Użytkownik powinien mieć przynajmniej podstawową wiedzę na temat tego w co nie klikać, gdzie nie szukać informacji, by nie złapać się w pułapkę cyberprzestępców. Wystarczy nie reagować na podejrzane wiadomości w skrzynce poczty e-mail, nie korzystać z szemranych usług i co bardzo istotne – nie pobierać niczego, do czego nie mamy zaufania.

Niestety, użytkownicy bardzo często zapominają o takich rzeczach, co stwarza realne zagrożenie dla takich mechanizmów jak 2FA. W dogodnych dla przestępcy warunkach nawet dodatkowa warstwa zabezpieczeń może być do złamania. Z przyzwyczajeniami użytkowników walczyć jest trudno, możliwe więc, że w przyszłości będziemy korzystać ze zmodyfikowanych, aczkolwiek niepodatnych na ataki 2FA mechanizmów dodatkowego potwierdzania tożsamości użytkownika.