Dwuskładnikowy system autoryzacji przestał być bezpieczny. Badacze go pokonali

Zespół naukowców z Certfa Lab pokonał dwuskładnikowy system autoryzacji. Udało im się rozpracować system wysyłający SMS’em jednorazowe kody, co pozwoliło zalogować się do Gmaila oraz Yahoo Mail.

Jeszcze kilka lat temu nasze usługi w sieci nie były należycie chronione, aż pojawił się dwuskładnikowy system autoryzacji. To rozwiązanie zapewniające w teorii znacznie większy poziom bezpieczeństwa, gdyż logowanie składa się z dwóch etapów. Pierwszym z nich jest wpisanie hasła, a dodatkowym zabezpieczeniem jest jednorazowy kod wysyłany SMS’em z krótką datą ważności. Jeśli nawet haker przejmie nasze hasło, to bez dodatkowego kodu niczego nie zdziała. A jeżeli uda mu się go przejąć, to kod na pewno straciłby już ważność.

Tak przynajmniej było do niedawna, ale to już przeszłość. Badaczom z Certfa Lab pracującym na zlecenie irańskiego rządu, udało się bowiem pokonać ten system zabezpieczeń. Z powodzeniem obeszli zabezpieczenie wykorzystujące kody SMS’owe, by dostać się do poczty elektronicznej takiej jak Gmail oraz Yahoo Mail. Zadanie oczywiście nie jest proste, gdyż wymagało wykonania sporo pracy, która pozwoliła przejąć hasło, a następnie jednorazowy kod.

Warto też dodać, że na razie badaczom udało się rozpracować system wykorzystujący SMS’y. Aplikacje generujące kody są na razie bezpieczne. Badacze przyznają, że próbowali obejść zabezpieczenie z użyciem Google Authenticator, ale nie byli w stanie tego zrobić. Oczywiście nie oznacza to, że w przyszłości nie odniosą sukcesu. Wygląda więc na to, że aby zapewnić swym usługom sieciowym pełne bezpieczeństwo, najlepiej przejść na klucz sprzętowy.

Najlepiej taki jak Google Titan, którego Google od niedawna sprzedaje wszystkim chętnym.

Źródło: Blog.certfa.com