Home » Sikkerhed » Hold sms ude af enhver 2faktor autentifikation
Hold sms ude af enhver 2faktor autentifikation

Hold sms ude af enhver 2faktor autentifikation

Share

Det er efterhånden blevet rigtig almindeligt, at portaler og tjenester sender dig et engangs-password på sms for at logge ind. Det er måske lidt omstændeligt, men det er godt for sikkerheden, er det ikke?

Den nettjeneste, du vil logge ind på, beder dig om at angive det password, du om lidt vil modtage på sms. Bing! Ja, der kom det. Du skriver det ofte sekscifrede tal ind, og alt er godt. Det kaldes totrins- eller tofaktor autentifikation (2FA), og det er efterhånden en almindelig sikkerhedsprocedure for at komme ind på forskellige hjemmesider, portaler og nettjenester og er også rimelig nem at have med at gøre.

Faktor er ikke faktum

Men nu advarer bl.a. den norske it-sikkerhedsmyndighed Nasjonal sikkerhetsmyndighet (NSM) mod brugen af engangspasswords via sms, for det er måske slet ikke så sikkert, som hidtil antaget. I det store norske netmagasin digi.no pointerer Seniorrådgiver Lars Strand fra cybersikkerhedsafdelingen under NSM, at det som udgangspunkt selvsagt er bedre at bruge to faktorer frem for en, når målet er sikkerhed. Men der er ifølge ham stor forskel på, hvor sikre de forskellige former for 2FA rent faktisk er.

Se også:  Ny datalækage hos flyselskab: 9,4 millioner kunder involveret

For sandt er det jo, at det ikke nytter meget at anvende tofaktor autentifikation, hvis faktor to er nem for en dreven hacker at skaffe sig adgang til. Og det gælder både 2FA via sms og e-mail, for selv om denne metode typisk benyttes til konti eller af brugere, som ønsker høj sikkerhedsværdi, bliver den alligevel af og til angrebet.

Det forudsætter dog, at angriberen skal kende brugerens password, men det sker jo undertiden, at websites får lækket databaser med deres kunders passwords. Og hvis du som bruger benytter samme password til flere forskellige websites, kan alle dine brugerkonti være kompromitteret. Ser hackeren ikke andre kattelemme, er det jo et godt gammelt hackertrick at inficere din pc med malware og på den måde opnå adgang til både dine brugernavne og passwords. Og så er de engangspasswords, du modtager under en 2FA-login, ikke særligt sikre mere.

Se også:  Her er hackernes mest indbringende ”snydeware”

Eksempelvis oplevede den sociale nyheds- og underholdningshjemmeside Reddit sidste år et alvorligt angreb, hvor det lykkedes en hacker at aflure nogle af de ansattes følsomme oplysninger via en 2FA, fordi hackeren skaffede sig adgang til en gammel kopi af Reddits fulde database frem til 2007 inklusive brugernavne, passwords og private meddelelser ved at aflure en sms (og så var resten en overkommelig affære).

”Vi lærte, at sms-baseret autentifikation ikke er i nærheden af at være så sikkert, som vi havde håbet,” skrev Reddit i en efterfølgende kommentar til angrebet.

En af fremgangsmåderne til at angribe og aflure en sms-besked omtaler Lars Strand som et såkaldt ”SIM swap”, der består i, at en hacker på forskellig vis narrer en medarbejder i teleoperatørens kundeservice til at overføre mobilnummeret til et andet SIM-kort, der naturligvis så vil være angriberens eget.

Portalen Google støtter blandt flere andre også U2F forvaltet af FIDO.

Men det er også muligt at udnytte et sikkerhedshul i signalprotokollen for mobiloperatørers netværk, og det måtte smerteligt bl.a. tyske bankkunder erfare sidste år. Angriberne havde i forvejen skaffet sig adgang til kontoejernes mobilnummer, brugernavn og password ved at smugle spyware ind på bankkundernes pc’er. Derpå drog de frækt fordel af det sikkerhedshul, der er kendt som SS7, og opsnappede kundernes sms-password, hvorefter de nok så fornøjede kunne lænse deres bankkonti.

Det er desuden ifølge sikkerhedsingeniør Arnfinn Strand, der arbejder for det israelske it-sikkerhedsfirma Check Point også muligt for drevne hackere at benytte falske basestationer eller trænge ind ved hjælp af Bluetooth via den såkaldte Blueborne-sårbarhed (en medfødt svaghed i Bluetooth teknologien).

Har Facebook (igen) været (u)lovlig smart?

Det verdensudbredte sociale medie Facebook har angiveligt udnyttet brugeres to-faktor autentifikations telefonnummer til målrettede reklamer
I hvert fald kom det for nogle måneder siden frem, at Facebook udnyttede det opgivne tofaktors telefonnummer til at spamme intetanende brugere. Siden har Facebook tillige indrømmet, at de også benytter sig af samme telefonnummer til at lave målrettet markedsføring, hvor det sociale medie sælger information videre til firmaer, der bruger den til målrettede reklamer.

Da Facebooks stifter Mark Zuckerberg under de berømte høringer i USA fik samme spørgsmål messede han:

”Vi bruger den information, som folk oplyser, til at yde en bedre, mere personligt tilpasset oplevelse på Facebook inklusive reklamer. Vi er åbne omkring, hvordan vi bruger den information, vi indsamler, herunder kontaktinformation som folk uploader eller tilføjer til deres egne konti. Enhver kan bare slette denne kontaktinformation, når som helst.”

Facebook mener selvsagt ikke, at der heri ligger noget ulovligt og oplyser i øvrigt også, at du kan fravælge to-faktor autentifikation, hvis du gerne vil undgå, at dit telefonnummer bliver redskab for reklamer.

TAGS
autentifikation
hacking
online sikkerhed

DEL DENNE
Share

Seneste Tech test
Seneste konkurrencer

Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Modtag dagligt IT-nyhedsbrev

Få gratis tech-nyheder i din mail-indbakke alle hverdage. Læs mere om IT-UPDATE her

Find os på FaceBook

Alt om DATA

Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
redaktion@altomdata.dk

Datatid TechLife

Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
redaktion@datatid.dk

Audio Media A/S

CVR nr. 16315648,
Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg / Prislister:
Lars Bo Jensen: lbj@audio.dk Telefon: 33 74 71 16
Annoncer: Medieinformation


Alt om DATA, Datatid TechLife  © 2019
Privatlivspolitik og cookie information - Audio Media A/S