2fa là gì

      47

(Được lược dịch từ bài viết Two Factor Authentication (2FA): What is it? How does it work? Why you should care!)

Cùng mày mò lý do lý do 2FA lại quan tiền trọng, thực tế thì nó đảm bảo tài khoản của bạn như chũm nào, và phương pháp để đánh giá các phương thức 2FA gồm sẵn trên những dịch vụ mà ai đang sử dụng.

Bạn đang xem: 2fa là gì

Chào mừng chúng ta đến với nội dung bài viết đầu tiên vào series về bảo mật 2 lớp (2FA).

Trước hết, series này không phải nói đến những thương mại dịch vụ nào thì hỗ trợ 2FA. Chúng ta cũng có thể tìm phát âm nó qua website cực kì hữu dụng  twofactorauth.org. Series này cũng không nhằm trình bày phương pháp để cài đặt 2FA lên website, nếu như bạn cần setup hãy xem thêm TurnOn2FA.com.

Thay vào đó, series này sẽ triệu tập vào việc cách mà lại 2FA vận động từ đó mà chúng ta có thể đưa ra phần nhiều quyết định đúng đắn để bảo vệ bình yên khoản online của mình.

Rất nhiều thương mại & dịch vụ khuyến khích người tiêu dùng sử dụng 2FA cùng với thông điệp đại loại là “2FA sẽ bức tốc thêm một lớp bảo mật cho tài khoản của bạn kề bên mật khẩu”. Điều kia thực sự có nghĩa là gì? Thông điệp bên trên không lý giải tại sao 2FA lại bức tốc bảo mật cho tài khoản cũng giống như không đề cập mang đến những khủng hoảng của nó. Một vài dịch vụ thương mại thì đưa ra thông điệp rõ ràng hơn: “Điều đó nghĩa là nếu gồm ai đó đánh cắp được mật khẩu của công ty thì bọn họ cũng cấp thiết nào mà truy vấn được tài khoản còn nếu như không có điện thoại cảm ứng của bạn.” Thông điệp trên hẳn là sẽ tạo thêm động lực để một số trong những người dùng sử dụng 2FA nhưng bi ai thay phần lớn người sử dụng lại không làm thế. Thực tiễn là, phần nhiều mọi tín đồ đều lừng chừng 2FA là loại gì. Giáo dục là phần cốt yếu để phổ biến 2FA và tôi hy vọng series này có thế giúp ích được phần nào.

Có không hề ít tài liệu hay nhằm ta rất có thể tìm hiểu về 2FA. Hai website mà tôi nhắc đến ở trên giúp cho tất cả những người dùng, lúc họ đọc tầm đặc biệt của 2FA, hoàn toàn có thể bật 2FA lên. Tuy nhiên, nếu khách hàng giống tôi, bạn sẽ luôn đặt thắc mắc tại sao khi mà ai đó bảo bạn làm cái gi đó. Để giải quyết vấn đề đó, Electronic Frontier Foundation (EFF) đã có một tài liệu trả lời xuất sắc trao đổi về phần đa phương thức 2FA thịnh hành trên website (Common Types of Two-Factor Authentication on the Web). Series này sẽ trình bày dựa trên tài liệu trên, chia nhỏ tuổi và so với một cách rõ ràng rõ ràng hơn.

Bạn rất có thể tự hỏi rằng: nuốm 2FA đảm bảo mình khỏi vật gì nhỉ? cùng nó không thể đảm bảo an toàn được bản thân khỏi cái gì? Đâu là cách làm 2FA thịnh hành và chúng chuyển động như nạm nào? mẫu nào tốt hơn, mẫu nào không xuất sắc bằng? Để bảo mật hơn nữa thì ta phải đánh đổi cái gì?

Nếu chúng ta là người tiêu dùng cuối, thì series này để giúp đỡ bạn phát âm được một cách đúng mực cách 2FA bảo vệ tài khoản của chúng ta và phương pháp để đánh giá những phương thức 2FA bao gồm sẵn trên các dịch vụ mà nhiều người đang sử dụng. Nếu dịch vụ bạn đang cần sử dụng không cung ứng 2FA, thì với kỹ năng trong tay, bạn sẽ có đủ tự tin để yêu cầu nhà cung cấp hỗ trợ 2FA để bạn có thể bảo vệ tài khoản của chính bản thân mình khỏi bị tấn công.

Nếu bạn là nhà hỗ trợ dịch vụ, thì series chắc chắn rằng là giành riêng cho bạn! hiểu rõ kỹ thuật nằm sau 2FA và trải nghiệm của người dùng (UX) khi áp dụng 2FA để giúp đỡ cho phương thức 2FA mà lại bạn hỗ trợ đáp ứng được nhu cầu của khách hàng (nhà cung cấp) và tín đồ dùng.

Thế 2FA là gì?

Có 3 yếu đuối tố bảo mật thường được thực hiện để đảm bảo nhân dạng của khách hàng khi đăng nhập vào 1 hệ thống, kia là:

Knowledge: Một sản phẩm gì đó mà bạn biết, như thể mật khẩu, pin sạc code…Possession: Một lắp thêm gì đó mà bạn sở hữu, như là smartphone, security key, hoặc một thiết bị tin tưởng nào đó.Inherence: Một lắp thêm gì đó mà thuộc về con bạn bạn, như là gương mặt, vân tay, hoặc màu sắc mắt.

Mặc dù ngẫu nhiên bộ 2 nào của các yếu tố (factor) bên trên đều rất có thể xem là bảo mật thông tin 2 lớp (two factor authentication), thường thì thì 2FA đang là Knowledge + Possession. Sinh trắc học đã dần dần trở nên thịnh hành trong thời đại phát triển như vũ bão của điện thoại các năm ngay sát đây, tuy vậy mà nó hãn hữu khi được áp dụng khi đăng nhập vào website. Định nghĩa trên có thể biến hóa trong tương lai, nhưng hiện tại hãy cứ có mang 2FA vào series này bao gồm thứ gì đó mà bạn biết và thứ gì đó mà bạn có.

Lý vì mà 2 factor vừa lòng lại sẽ tăng bảo mật một cách đáng kể là vì mỗi factor gồm mô hình tác hại (threat model) không giống nhau. Một quy mô mối bắt nạt dọa dễ dàng là một danh sách có ưu tiên bao hàm tất cả các cách thức mà tin tặc rất có thể tấn công. Tin tặc đang thử mọi phương thức đối chọi giản, xác suất thành công to trước khi thực hiện các cách tiến hành tấn công tinh vi để tấn công người dùng cá nhân. Hầu như các phương án bảo mật gần như không thể thải trừ được trọn vẹn rủi ro, cơ mà chỉ rất có thể giảm thiểu khủng hoảng tối đa nhờ vào mô hình mối nạt dọa.

Nếu tin tặc rất có thể ăn cắp knowledge factor (ví dụ như mật khẩu) từ bỏ xa thì hắn vẫn không thể truy cập được vào tài khoản vì hắn thường không thể truy cập vật lý vào possession factor (ví dụ như trusted device).

Một số tín đồ đọc tinh ý hoàn toàn có thể thấy rằng tôi dùng cụm từ thiếu chắc hẳn rằng là “thường ko thể”. Những nhiều từ phong cách này sẽ xuất hiện thêm nhiều trong nội dung bài viết bởi vị mỗi thủ tục 2FA có ưu điểm yếu không giống nhau được cho phép chúng cản lại được gần như cuộc tấn công nhất định nhưng và lại yếu trước loại tấn công khác.

Phần sót lại của bài viết này đã liệt kê một vài giải pháp trong rất nhiều cách thức mà tin tặc có thể trộm được mật khẩu của bạn. Gọi được việc bạn cũng có thể mất yếu đuối tố chính xác Knowledge thuận tiện sẽ giúp đỡ bạn hiểu được nguyên nhân cần bắt buộc kích hoạt 2FA cho tất cả tài khoản của mình.

“Tôi sử dụng 1 password cho những website.” 2FA hoàn toàn có thể giúp bạn

Nếu bạn đã từng sử dụng 1 mật khẩu cho nhiều hơn thế 1 website, bạn không những có 1 mình đâu. Pew Research cho rằng 39% tín đồ tham gia nghiên cứu và phân tích thừa nhấn rằng họ sử dụng mật khẩu như là nhau hoặc tựa như nhau mang đến nhiều thông tin tài khoản online. Và LastPass chỉ ra rằng rằng số lượng đó có thể lên tới 61%! việc mọi người tiêu dùng lại password là dễ hiểu, bởi khó hoàn toàn có thể nhớ được nếu đặt mật khẩu khác biệt cho toàn bộ các tài khoản online. LastPass cũng cho là một người dùng trung bình có 191 mật khẩu rất cần được nhớ. Mặc dù việc bạn thuộc đa phần trong ngôi trường hợp này lại không bắt buộc là điều xuất sắc cho lắm. Việc thực hiện lại mật khẩu đăng nhập là cực kỳ nguy hiểm, để cho các tài khoản dùng thông thường có nguy cơ bị hack cao hơn. Vậy cùng tìm hiểu xem tại sao 2FA lại có thể đảm bảo an toàn tài khoản của người sử dụng trong trường hòa hợp này nhé.

Giả sử bao gồm hai dịch vụ online mang tưởng. Bọn họ gọi dịch vụ hoàn toàn giả tưởng thứ nhất là “Google”. Trả sử “Google” có một team kĩ sư cực kỳ giỏi, cực kỳ coi trọng việc bảo mật, với thực hiện toàn bộ những best practice nhằm lưu mật khẩu một cách bảo mật vào database (DB). Còn dịch vụ giả tưởng máy hai tên là “Một trang web về mèo”. Chính vì dịch vụ này có team kỹ sư lởm, yêu cầu họ không tuân theo best practice nào về kiểu cách lưu mật khẩu.

Giả sử rằng bạn tài năng khoản sống cả hai thương mại dịch vụ trên và bọn chúng dùng tầm thường mật khẩu. Không may “Một trang web về mèo” bị hack cùng tin tặc tải về được toàn bộ dữ liệu vào DB. Do “Một website về mèo” không tuân theo best practice nào về cách lưu mật khẩu đề nghị ta hoàn toàn có thể kết luận rằng tin tặc đã gồm cả username cùng mật khẩu thông tin tài khoản của bạn. Bạn yêu mèo, cơ mà mất tài khoản “Một website về mèo” vào tay tin tặc không hẳn là tận thế.

Tuy nhiên, vì đa số các website sử dụng thư điện tử làm username, tin tặc có thể thử dùng username, mật khẩu vừa mod được để thử truy cập vào tài khoản “Google” của bạn. Vì các bạn dùng tầm thường mật khẩu cho cả hai thông tin tài khoản nên account “Google” của doanh nghiệp cũng coi như đi tong luôn. Bài toán một trang web vớ vẩn với bảo mật không xuất sắc đã khiến cho những tài khoản khác dùng bình thường mật khẩu đối mặt với các rủi ro. Trả sử ví như ai đó chũm được quyền điều hành và kiểm soát tài khoản mạng làng hội, tài khoản ngân hàng hoặc lịch sử khám bệnh của người sử dụng xem, đó chưa phải là viễn tượng hay ho lắm đâu.

Thế buộc phải tip ở chỗ này là: mỗi tài khoản nên tất cả mật khẩu duy nhất.

Tuy nhiên, nếu bọn họ không đặt mật khẩu không giống nhau thì sao?

Nếu thông tin tài khoản “Google” gồm kích hoạt bảo mật thông tin 2 lớp, thì tài khoản của khách hàng vẫn an toàn! nhớ rằng nhân tố bảo mật đầu tiên là Knowledge (ví dụ như mật khẩu) cùng tin tặc có thể lấy được nó trường đoản cú xa. Yếu đuối tố bảo mật thông tin thứ nhị là Possession (ví dụ như năng lượng điện thoại) cùng tin tặc thường quan yếu lấy nó từ xa. Nếu như không tận tay mang thiết bị tin yêu của bạn, tin tặc sẽ không thể cung cấp bằng chứng cần thiết về yếu tố Possession trong quá trình đăng nhập và tài khoản của các bạn sẽ không bị tiến công cắp.

Người gọi tinh ý sẽ để ý rằng tôi sử dụng từ “thường cần yếu lấy nó từ xa”. Một điểm đáng tiếc là một vài thiết đặt 2FA thông dụng không thực sự tuân theo tư tưởng “cái gì đó mà bạn sở hữu” và vì thế có nguy hại bị tấn công từ xa. Hãy liên tục theo dõi series này nhé, shop chúng tôi sẽ phân tích điều ấy với những bài viết cụ thể về những phương thức 2FA.

“Okay, tôi sẽ không còn sử dụng lại mật khẩu đăng nhập nữa.” mặc dù bạn vẫn nên 2FA đấy.

Sau khi nhận biết việc tài khoản dùng thông thường mật khẩu dễ bị hack như thế nào, bạn ban đầu sử dụng mật khẩu riêng cho mỗi tài khoản. Với lấy ví dụ như trên, bây giờ lỗ hổng sinh sống “Một website về mèo” sẽ không còn đe dọa đến thông tin tài khoản “Google” nữa dù các bạn không kích hoạt 2FA.

Giả sử chúng ta không bận 2FA cùng “Google” bị hack. đừng quên “Google” có một đội nhóm kỹ sư khủng và họ lưu mật khẩu vào DB một bí quyết bảo mật. Rủi ro là điều này không có nghĩa rằng mật khẩu của chúng ta sẽ bình an khi nhưng tin tặc download được DB. Yêu cầu hẳn một bài riêng để trình bày chi tiết về phương pháp để lưu mật khẩu một cách bình yên vào DB, tuy vậy có một vài ba nội dung đặc trưng mà công ty chúng tôi sẽ trình diễn ở mức độ tổng quan tiền để bạn cũng có thể hiểu được bằng cách nào tin tặc có thể lấy được mật khẩu của người tiêu dùng thông qua việc hack DB.

Đơn giản thì, mật khẩu đăng nhập mà các bạn chọn khi nhưng mà tạo tài khoản không được lưu trực tiếp vào DB vì nếu núm tin tặc sau thời điểm hack được DB thì gồm ngay password của người dùng. Chũm vào đó, mật khẩu mà các bạn điền khi đk tài khoản sẽ đi sang một hàm băm mật mã và kết quả của hàm băm đó sẽ được lưu vào DB. Tôi vẫn không trình diễn tràng giang đại hải về hàm băm mật mã đâu, nhưng gồm một vài nằm trong tính quan trọng đặc biệt của nó tương quan đến bài viết này. Đầu tiên thì một input sẽ đã tạo ra 1 output duy nhất. Vật dụng hai, với 1 output mang đến trước thì việc đào bới tìm kiếm ra input đầu vào là quan trọng về phương diện tính toán, hàm băm mật mã là hàm một chiều. Những lần bạn đăng nhập vào tài khoản, hệ thống sẽ băm mật mã mà chúng ta gõ cùng so sánh công dụng với chuỗi được giữ trong DB, ví như giống nhau thì hệ thống sẽ biết được bạn đã nhập đúng mật khẩu và có thể chấp nhận được bạn truy tìm cập!

Thậm chí là lúc DB bị hack thành công thì tin tặc chỉ có công dụng của hàm băm chứ không hẳn là mật khẩu. Chính vì việc giám sát ngược từ đầu ra ra đầu vào là không thể cần tin tặc sẽ đề nghị dành nhiều thời gian và công sức để xác định được mật khẩu đăng nhập của bạn dùng. Với nó đổi mới một trò đoán mò. Tin tặc đang chạy một phần mềm tạo nên tất cả gần như tổ hợp có thể của chữ cái, chữ số, cam kết hiệu rồi băm nó ra và so sánh với giá trị trong DB. Nếu mà khớp nhau thì họ sẽ có được password của bạn! Vì việc đoán dò trên rất xì xằng về phương diện kỹ thuật buộc phải sẽ tốn khá nhiều thời gian, nhất là với phần nhiều mật khẩu dài.

Tin tặc là 1 nhóm bạn thông minh, chúng ta biết điều này nên sẽ không còn ngồi đoán mò tất cả những tổ hợp hoàn toàn có thể như là “a”, rồi “aa”, rồi “aaa”. Vậy vào kia họ sẽ áp dụng nhiều kế hoạch để xem gần như đáp số nào có công dụng hơn. Một trong những chiến lược đó là áp dụng từ điển mật khẩu, có nghĩa là một list dài những mật khẩu được tích lũy từ các lần thủ thuật trước bên trên mạng. Nếu mà ai đó dùng một mật khẩu phổ cập có trong danh sách thì bùm, thừa là dễ đoán rồi. Tin tặc cũng sử dụng tâm lý học để phân tích biện pháp mà người tiêu dùng thường để mật khẩu. Ví như ngày sinh, tên của người thân quen, số năng lượng điện thoại, một đội hợp thường bắt gặp trên bàn phím như qwerty… mọi điều trên tạo nên những mật khẩu cực kì yếu do tin tặc đang thử bọn chúng đầu tiên.

Thế đề xuất tip ở đây là: mật khẩu đăng nhập không chỉ việc duy nhất, hơn nữa phải dũng mạnh nữa. Một mật khẩu mạnh dạn thường dài và không theo một khuôn chủng loại nào cả.

Xem thêm: Nox Vs Bluestacks Vs Bluestacks, Bluestacks Vs

Quay trở lại trường hợp khi mà lại “Google” bị hack cùng tin tặc đã có được chuỗi băm mật khẩu của người dùng. Tuy nhiên bạn sử dụng mật khẩu riêng mang đến “Google” cùng “Một website về mèo”, tin tặc vẫn có công dụng đoán được mật khẩu của người sử dụng vì bình thường người ta cũng ít khi đặt được password mạnh. Một khi nhưng mà tin tặc đoán được mật khẩu, tài khoản của các bạn sẽ bị chiếm hữu và gần như là là mất mãi mãi. Trừ khi chúng ta kích hoạt 2FA!

Không gồm yếu tố bảo mật thông tin thứ nhị (ví dụ như là Possession), tin tặc thiết yếu nào đăng nhập vào tài khoản của bạn. Tài khoản của chúng ta khả năng cao vẫn an ninh vì chỉ có các bạn có quyền truy cập vật lý vào thiết bị tin cậy của mình.

Người hiểu tinh ý sẽ xem xét thấy tôi cần sử dụng từ “khả năng cao vẫn an toàn”. Một vài cách thức cài đặt 2FA dễ dẫn đến bẻ khoá hơn những phương pháp khác khi nhưng mà tin tặc đã truy vấn được vào toàn thể DB. Tiếp tục mày mò về những phương thức đó qua những bài tiếp theo của series này nhé.

Một chút lạc đề nhé: Phần mềm cai quản mật khẩu

Bạn có thể thấy rằng họ đã dành không ít thời gian so với về các mật khẩu yếu ớt như là lý do để sử dụng 2FA. Vậy tại sao họ không dạy dỗ mọi tín đồ cách đặt mật khẩu mạnh, duy nhất mà tin tặc bắt buộc phá được và mang lại 2FA vào dĩ vãng?

Đó thực thụ là một câu hỏi hay đó!

Sẽ là ưng ý nếu tất cả mọi người đều thực hiện mật khẩu dạn dĩ và duy nhất cho từng tài khoản online của họ. Tuy vậy như cửa hàng chúng tôi đã đề cập, hay thì mọi người khá tệ trong việc nghĩ ra mật khẩu xuất sắc và quan yếu nhớ không còn chúng. Như ý thay vẫn có giải pháp cho vụ việc này!

Một phần mềm thống trị mật khẩu có thể tạo ra mọi mật khẩu to gan và duy nhất cho từng tài khoản online của người sử dụng và bảo quản chúng, nhờ đó mà bạn không cần phải nhớ nữa. Thứ duy nhất rất cần được nhớ đây là một mật khẩu khỏe khoắn và duy nhất để mở khóa phần mềm cai quản mật khẩu.

Sử dụng phần mềm làm chủ mật khẩu là 1 trong những cách dễ dàng mà kết quả để cai quản mật khẩu. Mặc dù vậy thì vẫn không nhiều người sử dụng dù chúng đã mở ra nhiều năm quay lại đây. Trong một khảo sát điều tra năm 2017, Pew Research chú giải rằng:

Chỉ 12% người sử dụng Internet từng áp dụng phần mềm làm chủ mật khẩu cùng chỉ bao gồm 3% nói rằng họ phụ thuộc vào nó.

Cộng đồng technology nên liên tiếp phổ cập cho những người dùng về các thói quen tốt liên quan mang lại mật khẩu và tiện ích khi thực hiện phần mềm cai quản mật khẩu, dù vẫn mất thời gian dài để hoàn toàn có thể đạt được hiệu quả.

Trong thời gian đó thì điều mà các nhà hỗ trợ dịch vụ có thể làm đấy là bảo vệ rằng người dùng tuân theo những quy tắc tốt về mật khẩu. Ví dụ bên cung cấp hoàn toàn có thể dùng một bộ đo nào đó để khuyến khích người tiêu dùng chọn số đông mật khẩu mạnh, mà lại lại không thể làm những gì được việc người tiêu dùng dùng một password cho các tài khoản.

Tuy nhiên, nhà cung cấp dịch vụ biết rằng người tiêu dùng của họ gồm đang kích hoạt 2FA hay là không và cũng hiểu được 2FA là hoàn toàn duy nhất so với dịch vụ của họ cho nên vì vậy nó không bị tác động bởi lỗ hổng của thương mại dịch vụ khác. Vì nhà cung cấp dịch vụ cần yếu nào bắt bạn dùng chuyển đổi thói quen của bản thân với mật khẩu, nhất là việc áp dụng lại mật khẩu, vậy cho nên 2FA là một công cụ có lợi để nhà cung ứng khuyến khích (hoặc buộc) người dùng sử dụng để bảo đảm an toàn tài khoản của bản thân mình tốt hơn.

Cùng để ý một vài trường thích hợp khác lúc mà cả người dùng với nhà hỗ trợ dịch vụ mọi thực hiện giỏi các vấn đề liên quan đến bảo mật và 2FA sẽ tăng cường bảo mật như vậy nào!

“Okay! Tôi sẽ sử dụng mật khẩu mạnh mẽ và duy nhất cho từng tài khoản từ bây giờ!” xuất xắc vời! Nhưng chúng ta vẫn nên sử dụng 2FA đó, không nghịch đâu.

Giờ đây bạn đã làm rõ mức độ nguy hiểm của việc sử dụng chung mật khẩu mang lại nhiều thông tin tài khoản và password yếu, chúng ta tận dụng phần mềm làm chủ mật khẩu để tạo thành mật khẩu mạnh dạn và duy nhất cho mỗi tài khoản. Tốt vời! Giờ bạn đã an toàn hơn không hề ít trên internet, dẫu vậy chỉ ở mọi nơi cho phép bạn an toàn thôi. Không hề ít nhà hỗ trợ dịch vụ buộc mật khẩu cần tuân theo số đông quy tắc chặt chẽ, ví dụ như là giới hạn độ dài 10 ký kết tự. Phần nhiều trường hợp như thế buộc bạn phải đặt một password yếu hơn, gây ra khủng hoảng rủi ro cho tài khoản của bạn, và chúng ta chẳng thể làm những gì để chuyển đổi điều kia cả. Trong hoàn cảnh đó, ví như nhà hỗ trợ hỗ trợ 2FA, thì ví dụ là tài khoản của công ty đã được bổ sung cập nhật thêm một lớp bảo mật. Bạn có sẽ vướng mắc là “nếu nhà hỗ trợ đã không cung cấp mật khẩu táo tợn thì sao lại hỗ trợ 2FA?”. Đó là một câu hỏi hay nhưng không có nhiều lời lời giải thỏa đáng. Không tồn tại lí do phải chăng nào để số lượng giới hạn mật khẩu theo phong cách như vậy vào một hệ thống hiện đại.

Thế cho nên hãy xem xét một trường vừa lòng khác với thương mại dịch vụ giả tưởng “Google” nhé. Trong lấy ví dụ như này thì bạn đang sử dụng một mật khẩu dũng mạnh và nhất cho thông tin tài khoản “Google” với “Google” vẫn tuân theo phần đông best practice để lưu mật khẩu. Đây chính là viễn cảnh lý tưởng! Đáng nhớ tiếc là, yếu hèn tố bảo mật thông tin Knowledge (ví dụ như mật khẩu) vẫn dễ bị tấn công cắp với khá nhiều loại tiến công khác. Hãy cẩn thận ba hình thức tấn công phổ biến nhất: Man in the middle attack, phishing và malware/keyloggers.

“Hacker đánh cắp mật khẩu của tôi khi nhưng tôi đã uống cafe!” 2FA vs Man in the Middle attack

Giả sử bạn đang ngồi thưởng thức cafe và liên kết với Wifi miễn phí. Đây chính là cơ hội hoàn hảo để tin tặc tiến hành Man in The Middle (MITM) attack, kiểu tiến công mà có thể chấp nhận được họ xen vào cùng đọc tổng thể lưu lượng truy cập web của bạn. (Một chút xung quanh lề, HTTPS giúp ngăn ngừa MITM attack, chúng ta nên thiết đặt HTTPS Everywhere nhằm tận dụng điều đó).

Ngay lúc mà các bạn nhập username/mật khẩu cùng click “login”, tin tặc sẽ có được được password của bạn. Từ bây giờ mật khẩu bạo gan yếu duy nhất hay không không đặc trưng nữa. Giờ đây họ hoàn toàn có thể đăng nhập vào thông tin tài khoản “Google” của khách hàng sử dụng username/mật khẩu của thiết yếu bạn.

“Ê hóng đã”, các bạn nói, “Khi nhưng 2FA được kích hoạt thì tôi vẫn cần minh chứng với website là tôi đang xuất hiện quyền truy vấn vào điện thoại mà tôi mua mà. Thường thì website vẫn yêu cầu tôi nhập thêm một số trong những thông tin lúc đăng nhập mà, đúng không? Ví dụ, dịch vụ hoàn toàn có thể sẽ gởi một mã bảo mật đến điện thoại cảm ứng thông minh của tôi, hay là tôi đã tìm mã bảo mật trong vận dụng mà tôi đã cài đặt. Nếu tin tặc rất có thể đọc cục bộ lưu lượng website của tôi, thì chúng ta cũng rất có thể lấy được mã 2FA trong quá trình đăng nhập mà?”

Những điều bạn vừa nói hầu như là đúng!

Trong khi đa số các setup 2FA phần đa thể đảm bảo an toàn người cần sử dụng trước MITM attack, thì có một thủ tục 2FA call là U2F có chức năng chống lại được MITM attack tốt hơn nhiều. Chúng tôi sẽ trình bày về U2F ở 1 trong các bài viết sau nhé.

Tin tặc sẽ chỉ rất có thể đăng nhập vào tài khoản của bạn 1 lần dựa vào username/mật khẩu và mã 2FA vừa mang được. Lý do lại chỉ 1 lần? trong số những thuộc tính đặc trưng của 2FA là 1 trong những mã 2FA chỉ thích hợp lệ trong một khoảng thời hạn ngắn, cho là một trong những vài phút đi, với chỉ hoàn toàn có thể được thực hiện một lần. Việc tin tặc đăng nhập được vào tài khoản của doanh nghiệp chẳng nên là điều xuất sắc lành gì, tuy thế dù sao vẫn chưa hẳn là mất vớ cả!

Một vài ba nhà cung ứng dịch vụ vẫn tỉnh táo bị cắn yêu cầu tín đồ dùng xác thực bảo mật lại trước khi tiến hành một số hành vi nhạy cảm, ví dụ như thay đổi showroom email, mật khẩu, thiết lập cấu hình 2FA, triển khai một thanh toán giao dịch tài chính… Những giải pháp đó ngăn tin tặc quan yếu đăng xuất những phiên singin trước đó của doanh nghiệp vì tin tặc không có mã 2FA để bảo đảm khi hệ thống yêu cầu lần 2. Hài lòng thì nhà cung cấp sẽ gửi cho mình một e-mail để báo cho chính mình biết rằng bao gồm ai này đã cố tiến hành những hành vi nhạy cảm kia với thông tin tài khoản của bạn, điều ấy giúp chúng ta có thể đổi mật khẩu và kết thúc phiên singin của tin tặc.

Dù ko phải tất cả phương thức 2FA đều có thể chặn được MITM attack lúc nó xẩy ra lần đầu tiên, ví dụ là bạn nên thực hiện 2FA, nhất là khi nhà hỗ trợ dịch vụ gồm có cơ chế để bớt thiểu rủi ro và ngăn ngừa việc mất thông tin tài khoản vĩnh viễn.

“Tôi vô tình ĐƯA mật khẩu đến hacker!” 2FA vs phishing

Như Jimmy Kimmel đã miêu tả một giải pháp thú vị, cách tốt nhất để lấy mật khẩu của ai đó là chỉ việc hỏi chúng ta thôi!

Đây đó là cách tiếp cận nhưng mà tin tặc triển khai khi chúng thực hiện các cuộc tiến công lừa đảo (phishing). Thông thường, nó bước đầu bằng việc người dùng nhận được email có chứa links lừa đảo. Khi người tiêu dùng nhấp vào liên kết, một trang web trông hệt như trang web họ dự định truy vấn hiện lên, nhưng mà thực sự là 1 trang web giả mạo do tin tặc kiểm soát.

Tấn công lừa đảo là 1 trong những vấn đề lớn trong phần đông các ngành công nghiệp. Anti Phishing Working Group (APWG) sẽ nêu trong report Q4 năm năm 2016 của bọn họ rằng những chiến dịch tấn công lừa hòn đảo trong năm năm nhâm thìn đã phá vỡ những kỷ lục của những năm ngoái với hơn 1,2 triệu cuộc tấn công lừa đảo, tăng 65% so với năm 2015. Để giới thiệu một ví dụ gần gũi hơn cho tất cả những người dùng Gmail, Google vừa mới đây đã phát hiển thị rằng

Nạn nhân của lừa đảo có chức năng bị tấn công thành công vội vàng 400 lần đối với một người tiêu dùng Google ngẫu nhiên.

Sau lúc nhập tin tức đăng nhập trên trang lừa đảo giả, bạn đã đưa tận tay yếu tố xác xắn đầu tiên của người sử dụng (một đồ vật gì đó mà bạn biết) cho những tin tặc rất có thể sử dụng ngay để đăng nhập vào tài khoản của người sử dụng trên trang web thật. Sau đó, tin tặc rất có thể yêu mong yếu tố chuẩn xác thứ hai của bạn (một sản phẩm công nghệ gì này mà bạn có) giống như trang website thật. Tài năng cao các bạn sẽ điền mã 2FA để đăng nhập, vấn đề này vô tình cấp cho tin tặc quyền truy cập ngay vào tài khoản của bạn. Hãy lưu giữ rằng toàn bộ điều này được tự động hóa bằng ứng dụng và có thể xảy ra trong thời gian thực. Rất cạnh tranh phát hiện giả dụ không chú ý URL của trang web.

Độc trả tinh ý đang lại lưu ý cách sử dụng từ của tôi. Vào khi phần đông các thủ tục 2FA không đảm bảo bạn khỏi những cuộc tấn công lừa đảo, U2F lại có tác dụng được điều đó! Hãy theo dõi và quan sát về tiến công lừa đảo trong các bài tiếp theo sau của series này nhé.

“Hackers ăn cắp mật khẩu của mình ngay trên sản phẩm của tôi!” 2FA vs malware cùng keyloggers

Trong cùng một nghiên cứu và phân tích gần đây, Google cũng kết luận rằng “hiện tại thì mối đe dọa gây ra vị rò rỉ tin tức xác thực và tiến công lừa đảo lớn hơn keylogger”. Mặc dù nguy cơ của phần mềm ô nhiễm và độc hại và keylogger thấp hơn so với tấn công lừa đảo, nạn nhân của keylogger vẫn có tác dụng bị tiến công thành công cao hơn khoảng 40 lần so với người dùng Google ngẫu nhiên. Rõ ràng, kia vẫn là 1 trong vấn đề cực kỳ lớn!

Phần mượt độc hại, bao gồm keylogger, rất có thể xâm nhập vào thiết bị của doanh nghiệp theo ngẫu nhiên cách nào. Chúng ta cũng có thể trở thành nạn nhân của một thư điện tử lừa hòn đảo và cài xuống tệp thêm kèm e-mail độc hại. Hoặc hoàn toàn có thể do bạn click vào đâu đó trên một trang web vớ vẩn. Nó thậm chí có thể đến xuất phát từ một browser extension mà các bạn đã cài đặt đặt; nếu thông tin tài khoản tạo extension bị hack, thì mã độc có thể được chèn vào download xuống trong lần cập nhật auto tiếp theo. Bất kỳ nó đột nhập vào thiết bị của chúng ta như cầm cố nào, ứng dụng độc hại rất có thể là một sự việc lớn lúc được tải đặt.

Như thương hiệu của nó, keylogger hoàn toàn có thể ghi lại từng cam kết tự mà các bạn nhập trên sản phẩm công nghệ của mình. Ngay cả khi bạn được kết nối an toàn với website “Google” xịn, phần mềm ô nhiễm trên máy tính của bạn có thể đánh cắp username/mật khẩu của doanh nghiệp ngay khi chúng ta nhập chúng và gửi chúng đến tin tặc. Các bạn biết sẽ nguy nan thế nào nếu điều đó xảy ra.

Các một số loại phần mềm độc hại khác bao gồm thể được thiết kế để đánh tráo thông tin cụ thể từ đồ vật của bạn, ví dụ như authentication secret hoặc token.

Cách chính để phòng phần mềm độc hại là ko truy cập phần mềm ngay tự đầu bằng phương pháp thận trọng trên internet cùng cảnh giác về trang web mình sẵn sàng truy cập, links mà mình chuẩn bị click . Rõ ràng, lời khuyên chính là vô ích nếu vật dụng tính của khách hàng đã bị nhiễm. Nếu đã biết thành nhiễm phần mềm độc hại rồi thì chiến thuật tốt tốt nhất là cập nhật phần mềm chống virus và ứng dụng độc hại.

May mắn thay, một số phương thức 2FA có thể giúp bảo đảm tài khoản của chúng ta ngay cả khi máy tính của chúng ta bị nhiễm ứng dụng độc hại!

Hãy tưởng tượng rằng ai đang đăng nhập vào thông tin tài khoản “Google” trên một thiết bị bao gồm chứa keylogger. Username/mật khẩu của các bạn sẽ bị lộ vì chưng chúng được nhập trên máy vi tính của bạn. Thông tin tài khoản của chúng ta có thể vẫn bình yên nếu chúng ta sử dụng phương thức 2FA thương hiệu là “Out of band” (OOB). Trong trường hợp đó, bạn không hẳn gõ bất cứ thứ gì vào máy vi tính bị lây lan phần mềm ô nhiễm và độc hại của bạn, vày vậy nó quan trọng bị đánh cắp. Khi sử dụng OOB, yếu hèn tố bảo đảm Knowledge (ví dụ như mật khẩu) được gửi qua kênh chính (ví dụ như liên kết web vào trình chăm chút của bạn), trong những khi yếu tố đúng đắn Possession của người sử dụng (ví dụ như điện thoại), được minh chứng qua kênh phụ (ví dụ như kết nối hòa bình với điện thoại của bạn).

Hãy quan sát và theo dõi phần còn sót lại của loạt bài bác nhé, chúng ta sẽ bàn bạc về phương pháp 2FA nào sẽ không còn có tác dụng trước phần mềm ô nhiễm và phương thức nào khả năng chống lại cao hơn!

Tổng kết

Chúng tôi nói đến tương đối nhiều thứ trong bài viết này. Thuộc tóm tắt lại một chút ít nhé.

Thuật ngữ 2FA thường xuyên đề cập mang lại sự phối hợp của hai yếu tố xác xắn Possession với Knowledge. Về lý thuyết, tin tặc sẽ đề xuất sử dụng những loại tấn công khác biệt để ăn cắp thành công cả thứ bạn biết với thứ chúng ta có.

Yếu tố Knowledge (ví dụ như mật khẩu) dễ bị đánh cắp trước những loại tiến công từ xa không giống nhau. Vấn đề thứ nhất là chúng ta quản lý mật khẩu. Họ đã bàn thảo về câu hỏi 2FA có lợi nhất khi bạn sử dụng lại mật khẩu đăng nhập giữa những tài khoản và/hoặc áp dụng mật khẩu yếu có thể dễ dàng bị tin tặc unlock trong trường đúng theo DB bị hack. Giỏi nhất, bạn nên áp dụng trình quản lý mật khẩu để sinh sản mật khẩu mạnh, duy nhất cho mỗi tài khoản của mình.

Ngay cả đối với người dùng cai quản mật khẩu tốt, có tương đối nhiều cách khác cơ mà mật khẩu của chúng ta cũng có thể bị ăn cắp từ xa. 2FA nhằm mục tiêu mục đích cung ứng bảo mật giỏi hơn bằng cách buộc tin tặc đánh cắp thứ gì đấy trong quyền download vật lý của người tiêu dùng (Possession). Thật ko may, nhiều phương thức 2FA cũng dễ dàng bị tấn công trước các loại tấn công từ xa khác nhau. Tùy ở trong vào phương pháp 2FA được sử dụng, nhân tố Possession của bạn có thể chống lại man in the middle attack, phishing và thậm chí còn là malware/keyloggers.

Trong các bài viết sau, công ty chúng tôi sẽ đi sâu vào cụ thể về các loại 2FA thịnh hành nhất. Shop chúng tôi sẽ giải thích cách chúng chuyển động và thảo luận về bài toán liệu nó có thể chống lại những cuộc tiến công từ xa này hay không. Thêm vào đó, cửa hàng chúng tôi sẽ làm trông rất nổi bật một số tiến công đổi năng lực sử dụng có thể biết được phương pháp nào phù hợp nhất với các bạn (hoặc người dùng của bạn)!