Hold sms ude af enhver 2faktor autentifikation

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Den nettjeneste, du vil logge ind på, beder dig om at angive det password, du om lidt vil modtage på sms. Bing! Ja, der kom det. Du skriver det ofte sekscifrede tal ind, og alt er godt. Det kaldes totrins- eller tofaktor autentifikation (2FA), og det er efterhånden en almindelig sikkerhedsprocedure for at komme ind på forskellige hjemmesider, portaler og nettjenester og er også rimelig nem at have med at gøre.

Faktor er ikke faktum

Men nu advarer bl.a. den norske it-sikkerhedsmyndighed Nasjonal sikkerhetsmyndighet (NSM) mod brugen af engangspasswords via sms, for det er måske slet ikke så sikkert, som hidtil antaget. I det store norske netmagasin digi.no pointerer Seniorrådgiver Lars Strand fra cybersikkerhedsafdelingen under NSM, at det som udgangspunkt selvsagt er bedre at bruge to faktorer frem for en, når målet er sikkerhed. Men der er ifølge ham stor forskel på, hvor sikre de forskellige former for 2FA rent faktisk er.

For sandt er det jo, at det ikke nytter meget at anvende tofaktor autentifikation, hvis faktor to er nem for en dreven hacker at skaffe sig adgang til. Og det gælder både 2FA via sms og e-mail, for selv om denne metode typisk benyttes til konti eller af brugere, som ønsker høj sikkerhedsværdi, bliver den alligevel af og til angrebet.

Det forudsætter dog, at angriberen skal kende brugerens password, men det sker jo undertiden, at websites får lækket databaser med deres kunders passwords. Og hvis du som bruger benytter samme password til flere forskellige websites, kan alle dine brugerkonti være kompromitteret. Ser hackeren ikke andre kattelemme, er det jo et godt gammelt hackertrick at inficere din pc med malware og på den måde opnå adgang til både dine brugernavne og passwords. Og så er de engangspasswords, du modtager under en 2FA-login, ikke særligt sikre mere.

Eksempelvis oplevede den sociale nyheds- og underholdningshjemmeside Reddit sidste år et alvorligt angreb, hvor det lykkedes en hacker at aflure nogle af de ansattes følsomme oplysninger via en 2FA, fordi hackeren skaffede sig adgang til en gammel kopi af Reddits fulde database frem til 2007 inklusive brugernavne, passwords og private meddelelser ved at aflure en sms (og så var resten en overkommelig affære).

”Vi lærte, at sms-baseret autentifikation ikke er i nærheden af at være så sikkert, som vi havde håbet,” skrev Reddit i en efterfølgende kommentar til angrebet.

En af fremgangsmåderne til at angribe og aflure en sms-besked omtaler Lars Strand som et såkaldt ”SIM swap”, der består i, at en hacker på forskellig vis narrer en medarbejder i teleoperatørens kundeservice til at overføre mobilnummeret til et andet SIM-kort, der naturligvis så vil være angriberens eget.

Portalen Google støtter blandt flere andre også U2F forvaltet af FIDO.

Men det er også muligt at udnytte et sikkerhedshul i signalprotokollen for mobiloperatørers netværk, og det måtte smerteligt bl.a. tyske bankkunder erfare sidste år. Angriberne havde i forvejen skaffet sig adgang til kontoejernes mobilnummer, brugernavn og password ved at smugle spyware ind på bankkundernes pc’er. Derpå drog de frækt fordel af det sikkerhedshul, der er kendt som SS7, og opsnappede kundernes sms-password, hvorefter de nok så fornøjede kunne lænse deres bankkonti.

Det er desuden ifølge sikkerhedsingeniør Arnfinn Strand, der arbejder for det israelske it-sikkerhedsfirma Check Point også muligt for drevne hackere at benytte falske basestationer eller trænge ind ved hjælp af Bluetooth via den såkaldte Blueborne-sårbarhed (en medfødt svaghed i Bluetooth teknologien).

Apps giver sikrere 2FA

Men hvad kan du stille op? Ja, ifølge Lars Strand er en autentifikations-app en både sikrere og bedre sikkerhedsfaktor end sms og e-mail. Der findes flere forskellige apps af denne type som eksempelvis Authy, Google Authenticator eller Duo Mobile, der fungerer ved, at sitet, du skal logge ind på, genererer en QR-kode, som du scanner med din telefon. Appen giver dig så en tidsbegrænset engangskode, som du skriver ind i websitets login-felt på samme vis, som var det en sms-kode.

I de fleste tilfælde opfordres du samtidig til at registrere et backup-password. På den måde sikrer du dig mod, at du bliver nægtet adgang til dine konti, hvis din telefon bliver væk eller ødelagt. Det er selvfølgelig umiddelbart sikkert, men det forudsætter igen, at du kan stole på en tredjeparts evne til at lagre disse passwords på en sikker måde. Desuden kan sådan en app også kompromitteres, hvis for eksempel din telefon bliver inficeret med malware.
[irp]

Autentifikation kan have mange ansigter

Seniorrådgiver Lars Strand fra cybersikkerhedsafdelingen under NSM i Norge fremhæver, at der er stor forskel på, hvor sikre forskellige former for tofaktor autentifikation (2FA) er.

Lars Strand fra cybersikkerhedsafdelingen under NSM anfører, at autentifikationsfaktorerne kan inddeles i tre kategorier:

• Noget du ved (et password)
• Noget du har (en enhed, der modtager eller genererer engangspasswords)
• Noget du er (dvs. biometriske data som for eksempel fingeraftryk, ansigtsgenkendelse eller lignende)

De mest almindelige former for
tofaktorautentifikation er:

• Tilsendt engangspassword på sms
• Tilsendt engangspassword på mail
• Genereret engangspassword i app
• Genereret engangspassword fra fysisk sikkerhedsnøgle som eksempelvis NemIDs nøglekort

Fysiske sikkerhedsnøgler er bedst

Men allerbedst virker ifølge Lars Strand fysiske sikkerhedsnøgler som eksempelvis Yubico eller Hypersecu, der er en slags tilfældighedsgeneratorer i USB-nøgle-forklædning.

Sådanne nøgler er den centrale del af den ny åbne standard for tofaktorautentifikation Universal 2nd Factor (U2F). Standarden forvaltes af Fast IDentity Online-alliancen (FIDO), og ud over USB kan du også forbinde sikkerhedsnøgler til din computer via NFC og Bluetooth.

[irp]

U2F giver også ekstra sikkerhed ved at forhindre Man in the Middle-angreb. Netstedets adresse, som sendes til sikkerhedsnøglen ved autentifikation, hindrer falske websider i at gennemføre autentifikationer på vegne af brugeren. For at gennemføre en autentifikation med sikkerhedsnøgle skal brugeren desuden være til stede, oftest ved at skulle trykke på en fysisk trykknap. Sådan undgås det, at malware kan autentificere uden brugerens viden.

To eksempler på fysiske sikkerhedsnøgler, der i bund og grund fungerer som tilfældighedsgeneratorer for engangspasswords.

Stadigt flere websider har støtte for U2F, bl.a. Google, GitHub, GitLab, Facebook og Dropbox. Et initiativ som Nets nye nøgleapp, hvor du får adgang via din mobil og dermed kan undgå nøglekortet er med andre ord set i det lys en sikkerhedsmæssigt ringere løsning, da du jo ikke behøver en fysisk autentifikationsfaktor (nemlig nøglekortet).

Teoretisk kan jo enhver presse dig til at tilgå din konto, uden at du behøver at være hjemme og have adgang til dit nøglekort. Men trods alt giver denne løsning bedre tofaktorsikkerhed end en almindelig sms. NSM’s klare anbefaling er derfor også: Brug tofaktor-autentifikation, der hvor det understøttes. Det er bedre end at bruge password alene.