20. helmikuuta 2017

Facebook ja Google sössivät kaksivaiheisen tunnistautumisen tietoturvan

Facebookissa ja Googlessa on mahdollista ottaa käyttöön 2-vaiheinen tunnistautuminen, jolla pitäisi voida suojautua mm. salasanoja kaappaavia keyloggereita vastaan. Oikein toteutettuna 2-vaiheinen tunnistautuminen toimiikin juuri näin ja siksi ihmisten olisikin syytä ottaa se käyttöön kaikissa eri palveluissa, jotka vain sitä tukevat.

Valitettavasti Facebook ei kuitenkaan toteuta tuota 2-vaiheista tunnistautumista turvallisesti. Facebook ei vaadi uutta 2-vaiheista tunnistautumista samasta IP:stä kirjauduttaessa. Toisin sanoen, jos käytät Facebookkia vaikka kirjaston koneella tms. jossa on keyloggeri, voi hakkeri kirjautua sisään Facebook-tilillesi sieltä koneelta saatuaan käyttäjätunnuksesi ja salasanasi talteen, kun Facebook ei kerran vaadi uutta 2-vaiheista tunnistautumista tuolta koneelta! Eli koko 2-vaiheisen tunnistautumisen idea vesittyy totaalisesti!

Toinen tietoturvamoka 2-vaiheisen tunnistautumisen osalta Facebookissa ja Googlella on, että et voi ottaa pois käytöstä tekstiviestipohjaista tunnistautumista lainkaan...et ainakaan, jos haluat käyttää vain U2F tunnistautumista ja varalla kertakäyttöisiä salasanoja. Toisin sanoen, vaikka haluaisit käyttää vain ja ainoastaan erittäin turvallista U2F tunnistautumista 2-vaiheisena tunnistautumisena, Facebook silti pakkosyöttää tekstiviestitunnistuksen sinulle - vaikket sitä edes pyytänyt...Google puolestaan tarjoaa mahdollisuuden tekstiviestitunnistautumiseen U2F:n sijasta, vaikka haluaisit tunnistautua vain U2F:n avulla. Hakkerin tarvitsee siis vain kaapata tuo tekstiviesti ja peli on pelattu. Eli koko U2F-tunnistautuminen on täysin merkityksetön. Siitä ei ole mitään apua, eikä mitään hyötyä, eikä sillä saavuteta yhtään mitään enempää, kun sen voidaan kuitenkin kiertää tekstiviestitunnistautumisen valitsemalla. Toisin sanoen, yhtä hyvin voit pitää 2-vaiheisena tunnistautumismenetelmänä vain tekstiviestejä, joiden tietoturva on U2F:ään verrattuna surkea.

Voisi kuvitella, että isot nettipalveluiden tarjoajat, kuten Facebook ja Google, panostaisivat erityisen paljon juurikin tietoturvaan, mutta tosiasia on valitettavasti juurikin päinvastoin. Facebook ja Google ovat vain laittaneet pahviseen oveensa hienot ja tehokkaat lukot, todellista parannusta tietoturvaan ei juurikaan ole tullut.

4 kommenttia:

Mikke kirjoitti...

Sekä Googlella että Facebookilla on molemmilla mahdollisuus käyttää kaksivaiheisessa tunnistautumisessa kännykkäsovellusta. Mulla ainakin joka ikinen kerta samoillakin koneilla sekä Face että Google pyytää sovelluksen vaihtuvaa koodia, ellei sitä itse siinä kirjautumisvaiheessa ruksaa, että kyseisellä koneelle ei tarvitse koodia enää pyytää. Ei tartte mitään tekstareita, vain kännykkä (joka nyt kulkee melkein aina mukana) ja siihen asennettu sovellus (Authenticator). Mitä mieltä olet tästä kännykkäsovellusvaihtoehdosta?

Markus Jansson kirjoitti...

No tuo authenticator on "ihan ok", mutta siinäkin on se, että kaikki munat laitetaan samaan koriin helposti. Eli jos surffaat kännykällä ja autenticator on samassa ja se hakkeroidaan tai varastetaan niin...naps. Itse kun en edes käytä älypuhelinta niin en voi tuommoista hankkiakkaan, joskaan en siltikään sitä hankkisi. Käsittääkseni se ei suojaa man-in-the-middle-attackilta, toisin kuin U2F.

Mikke kirjoitti...

Joo, toki kännykkä voidaan varastaa/hakkeroida, mutta authenticator on kuitenkin parempi/kätevämpi kuin muut mainitsemasi vaihtoehdot (poislukien tuo U2F). Ehkä lienee jollakin tavalla mahdollista (tosin varmaan äärimmäisen epätodennäköistä), että authenticatoria käytettäessä man-in-the-middle attack on mahdollista, mutta toisaalta voidaan tuo U2F USB-häkkyräkin varastaa, jos oikein foliohattuilemaan aletaan (sen yhdistäminen mihinkään tiliin lienee tosin aika hankalaa, mutta kaikkihan on mahdollista). Vai onko noissa U2F-häkkyröissä joku toiminto (esim. sormenjälkitunnistus), että ne toimii vain tietyllä henkilöllä? Pitäs varmaan hommata, että vois testailla.

Markus Jansson kirjoitti...

U2F voidaan toki varastaa, mutta se on pienikokoinen laite, jonka saa kätkettyä vaikka minne. U2F on siitä hauska, että se todellakin estää man-in-the-middle-attacking, koska lukitsee lähettämänsä koodausrimpsun oikeaan nettisivuun ja salaa sen automaattisesti sillä. Tätä käsittääkseni mitkään noista kännykän autentikointisovelluksista eivät tee, eivätkä voi tehdä, etenkään jos ovat offline-tilassa käytössä.