Na przeczytanie potrzebujesz 3 minut(y).
Co to jest YubiKey?
Jeśli jeszcze nie wiesz, czym jest YubiKey lub nie korzystasz z tego rozwiązania, zapoznaj się z naszymi wcześniejszymi wpisami, gdzie tłumaczymy, czym jest dwuskładnikowe uwierzytelnianie oraz czym jest fizyczny token na przykładzie właśnie YubiKey.
Uwierzytelnianie dwuskładnikowe w Facebooku
Na pierwszy ogień poszedł Facebook. Do sprawdzenia, jak wygląda sytuacja w tym serwisie, wykorzystaliśmy jedno z naszych prywatnych kont, na którym było już włączone dwuskładnikowe uwierzytelnianie (2FA).
W ramach konta skonfigurowane były dwie metody: aplikacja mobilna oraz YubiKey. Postanowiliśmy spróbować wyłączyć uwierzytelnianie za pomocą aplikacji.
Okazało się, że próba odłączenia tej metody powoduje całkowite wyłączenie mechanizmu 2FA w ramach naszego konta. Co ciekawe, po wyłączeniu dwuskładnikowego uwierzytelniania i próbie ponownego jego włączenia, nie mieliśmy możliwości dodania uwierzytelniania za pomocą tokena sprzętowego YubiKey.
Postanowiliśmy spróbować inaczej. Zarejestrowaliśmy aplikację mobilną i wtedy uzyskaliśmy możliwość dodania kolejnej metody, jaką był token.
Czyli faktycznie, YubiKey nie może być jedyną opcją, jeśli chcemy korzystać z 2FA na Facebooku.
Uwierzytelnianie dwuskładnikowe na koncie Twitter
Na drugi ogień poszedł Twitter. Tutaj podobnie, jak w przypadku Facebooka wykorzystaliśmy jedno z naszych prywatnych kont. W ramach konta było już włączone dwuskładnikowe uwierzytelnianie. Różnica polegała na tym, że w tym przypadku mieliśmy skonfigurowane kody SMS i token sprzętowy YubiKey. W ramach testu, postanowiliśmy wyłączyć możliwość dodatkowego uwierzytelniania za pomocą kodów SMS, tak aby pozostała jedynie możliwość wykorzystania tokena.
Podobnie, jak w przypadku Facebooka, tu też naszym oczom ukazał się komunikat informujący, że wyłączenie metody SMS wyłączy całkowicie uwierzytelnienie dwuskładnikowe (mimo, że zostawał przecież YubiKey). Postanowiliśmy jednak dać jeszcze jedną szansę mechanizmom Twittera - zdecydowaliśmy się na wyłączenie funkcji 2FA i konfigurację od początku.
Niestety, próba włączenia uwierzytelniania dwuskładnikowego z wykorzystaniem tokena YubiKey skończyła się wyświetleniem komunikatu o konieczności wcześniejszej aktywacji innej metody.
Czy da się korzystać z uwierzytelniania dwuskładnikowego z wykorzystaniem wyłącznie tokena sprzętowego YubiKey?
Niestety nasz mały eksperyment pokazuje, że serwisy Facebook oraz Twitter zdecydowały, że nie pozwolą swoim użytkownikom na używanie dwuskładnikowego uwierzytelniania wyłącznie za pomocą tokena sprzętowego. Nasz czytelnik miał rację! Być może wynika to z obawy o fizyczną utratę tokena i finalne zablokowanie dostępu do konta. Zakładamy, że działy bezpieczeństwa tych firm uznały, że prawdopodobieństwo całkowitej utraty telefonu (i braku możliwości wyrobienia duplikatu karty SIM) jest znacznie mniejsze niż w przypadku tokena i dlatego w przypadku korzystania z telefonu może być to jedyna aktywna opcja, a w przypadku tokena wymagane jest posiadanie drugiej metody.
Takie podejście do sprawy, z jednej strony zabezpiecza interesy Facebooka i Twittera przez ograniczenie ryzyka utraty dostępu do konta przez użytkowników, niestety z drugiej strony istotnie obniża bezpieczeństwo samej metody logowania tokenem. Znane są (chociażby w świecie bankowym) scenariusze, w których przestępcy za pomocą socjotechniki w salonach firm telekomunikacyjnych uzyskiwali duplikaty kart SIM swoich ofiar, otrzymując tym samym dostęp do jednorazowych kodów SMS, które na numer tej karty przychodziły.
Tak więc w przypadku tokena sprzętowego można by uznać, że służy on tylko wygodzie użytkownika (jeśli ktoś woli korzystać z YubiKey, zamiast przepisywać kody, czy korzystać z aplikacji) i realnie nie wpływa na zabezpieczenie konta, skoro dostęp do tokena nie jest de facto niezbędny do zalogowania.
Google Advanced Protection Program
W zupełnie inny sposób do tematu konfiguracji dwuskładnikowego uwierzytelniania podchodzi firma Google, która dla najbardziej wymagających użytkowników wprowadziła Program ochrony zaawansowanej (Google Advanced Protection Program). Jak sami piszą, jest to program dla „osób zajmujących eksponowane stanowiska i mających dostęp do poufnych informacji, które są szczególnie narażone na ataki ukierunkowane”.
Osoby, które przystępują do programu muszą w ramach swoich kont Google włączyć dwuskładnikowe uwierzytelnianie za pomocą tokena sprzętowego lub tokena w formie dedykowanej aplikacji na telefonie (nie jest wymagane włączenie mechanizmu 2FA z wykorzystaniem kodów SMS). Czyli tu nie jest wymagany dostęp do do SMSów (które można by przechwycić) ani karty SIM, którą potencjalnie można by zduplikować. Oczywiście Google dostrzega problem potencjalnej, fizycznej utraty tokena i dlatego zaleca zarejestrowanie - na wszelki wypadek - 2 urządzeń w ramach konta (nie jest to jednak wymagane).
Podsumowanie
W dzisiejszym świecie haker, który chce uzyskać konkretną informację ma do wyboru: włamanie się np. do infrastruktury Google lub uzyskanie dostępu do Twojego konta, wykorzystując fakt, że masz zbyt słabe hasło oraz nie korzystasz z dwuskładnikowego uwierzytelniania. Druga ścieżka jest dla hakera znacznie łatwiejsza i prawdopodobnie to ją wybierze. Dlatego też pamiętaj, aby dbać o wszystkie konta, których używasz w sieci, bez względu czy to poczta e-mail, konto na Facebooku, czy bankowość internetowa. Jak już pisaliśmy w poprzednich artykułach, włamanie do jednego z kont może finalnie doprowadzić do ogromnych strat finansowych lub wizerunkowych, których często nie będzie można już odrobić.
Mimo wskazanych w tym artykule organiczeń związanych z możliwością konfiguracji metod dwuskładnikowego uwierzytelniania, 2FA jest obecnie jednym z najlepszych sposobów na znaczące podniesienie Twojego bezpieczeństwa w sieci.
Na co dzień zajmujący się bezpieczeństwem IT w jednej z polskich instytucji finansowych. Entuzjasta nowych technologii. Fan nadgryzionego jabłuszka. Wielbiciel alternatywnych metod parzenia kawy.