Protect Yourself With Multi-Factor Authentication – Bitcoin Magazine

Protect Yourself With Multi-Factor Authentication – Bitcoin Magazine

Dies ist eine redaktionelle Meinung von Heidi Porter, einer Unternehmerin mit 35 Jahren Erfahrung im Technologiebereich.

Benutzersicherheit

In früheren Artikeln über Sicherheit und Datenschutzverletzungen haben wir die Notwendigkeit einer Multi-Faktor-Authentifizierung (MFA) für Ihre Bitcoin-Konten und alle anderen Konten, die Sie schützen möchten, besprochen.

Hacks werden weiterhin passieren, wenn Ihr Konto kompromittiert wird oder Personen auf eine schändliche Website geschickt werden und versehentlich Malware anstelle von verifizierter Software herunterladen.

Dies ist der erste in einer Reihe von Artikeln über eine widerstandsfähigere Benutzersicherheit für Ihre Konten, Knoten und Apps. Wir behandeln auch bessere E-Mail-Optionen, bessere Passwörter und eine bessere Nutzung eines virtuellen privaten Netzwerks (VPN).

Die Realität ist, dass Sie bei Ihren Online-Finanztransaktionen in keinem System vollständig sicher sein werden. Sie können jedoch ein widerstandsfähigeres Toolset und Best Practices für eine stärkere Sicherheit implementieren.

Was ist Multi-Faktor-Authentifizierung und warum interessiert mich das?

(Quelle)

Laut der Cybersecurity and Infrastructure Security Agency ist „Multi-Faktor-Authentifizierung ein mehrschichtiger Ansatz zur Sicherung von Daten und Anwendungen, bei dem ein System von einem Benutzer verlangt, eine Kombination aus zwei oder mehr Anmeldeinformationen vorzulegen, um die Identität eines Benutzers für die Anmeldung zu überprüfen.“

Wenn wir uns bei einem Online-Konto anmelden, zielen wir oft darauf ab, einen Angreifer oder Hacker mit zusätzlichen Überprüfungsebenen – oder Sperren – zu vereiteln.

Im Vergleich zum Eigenheim geben Mehrfachschlösser mehr Sicherheit. Wenn eine Form der Authentifizierung gut ist, z. B. ein Passwort, können zwei Formen (auch bekannt als MFA) besser sein.

Beachten Sie, dass die biometrische Authentifizierung eine Ein-Faktor-Authentifizierung ist. Es ist nur die Biometrie der von Ihnen verwendeten Modalität: Daumen, Iris, Gesichtserkennung usw. Wenn Sie einen Hardwareschlüssel ohne Passphrase verwenden, ist dies auch eine Ein-Faktor-Authentifizierung.

Wo sollte ich MFA verwenden und welche Art von MFA?

Bei MFA müssen Sie über mindestens zwei Authentifizierungsmechanismen verfügen.

Sie sollten MFA mindestens für Folgendes eingerichtet haben:

Bitcoin-Börsen (aber erhalten Sie Ihr Geld so schnell wie möglich nach dem Kauf). Bitcoin-Knoten und Miner. Bitcoin- und Lightning-Geldbörsen. Lightning-Apps wie RTL oder Thunderhub.

Hinweis: Jedes Konto oder jede Anwendung muss den von Ihnen verwendeten MFA-Typ unterstützen, und Sie müssen den MFA mit dem Konto oder der Anwendung registrieren.

MFA-Anbieter beinhalten oft weniger sichere Optionen wie:

SMS-Textnachrichten.Einmalpasswort.Mobile Push-basierte Authentifizierung (sicherer, wenn sie richtig verwaltet wird).

MFA-Anbieter beinhalten manchmal auch sicherere Optionen wie:

Authentifizierungs-Apps. Hardwareschlüssel. Smartcards.

Ratet mal, welche Art von MFA die meisten alten Finanzinstitute verwenden? Dies ist normalerweise eine der weniger sicheren MFA-Optionen. Allerdings sind Authentifizierungs-Apps und Hardwareschlüssel für MFA nicht alle gleich.

MFA und Marketing-Fehlinformationen

Lassen Sie uns zunächst über das Marketing von MFA sprechen. Wenn Ihr MFA-Anbieter sich selbst als nicht hackbar oder zu 99 % nicht hackbar ankündigt, verbreitet er Multi-Faktor-BS und Sie sollten einen anderen Anbieter finden. Alle MFA sind hackbar. Das Ziel ist eine weniger hackbare, Phishing-resistentere und widerstandsfähigere MFA.

Das Registrieren einer Telefonnummer macht das MFA anfällig für SIM-Austausch. Wenn Ihre MFA keinen guten Sicherungsmechanismus hat, ist diese MFA-Option anfällig für Verluste.

Einige MFA sind besser hackbar.

Einige MFA sind besser nachverfolgbar.

Einige MFA können mehr oder weniger gesichert werden.

Einige MFA sind in einigen Umgebungen mehr oder weniger zugänglich.

Weniger hackbare und verfolgbare MFA

Die mehrstufige Authentifizierung wird sicherer mit einer Authentifizierungs-App, einer Smartcard oder einem Hardwareschlüssel wie einem Yubikey durchgeführt.

Wenn Sie also eine App-basierte oder Hardware-MFA haben, sind Sie gut, oder? Nun, nein. Selbst wenn Sie App-basierte oder Hardware-MFA verwenden, sind nicht alle Authentifizierungs-Apps und Hardwaregeräte gleich. Schauen wir uns einige der beliebtesten Authentifizierungs-Apps und einige ihrer Schwachstellen in Bezug auf Tracking, Hacking und Backup an.

Twilio Authy benötigt Ihre Telefonnummer, die Sie über einen SIM-Kartentausch kompromittieren könnte. Die Ersteinrichtung ist SMS. Microsoft Authenticator erfordert keine Telefonnummer, kann aber nicht auf Android übertragen, da es in iCloud gesichert wird. Google Authenticator erfordert auch keine Telefonnummer, hat aber kein Online-Backup und ist nur von einem Telefon auf ein anderes übertragen können.

Darüber hinaus werden all diese Apps von einigen als weniger widerstandsfähig und anfällig für Phishing- oder Man-in-the-Middle-Angriffe (MITM) angesehen.

Wie Ihre Konten und Finanzen kompromittiert werden können

„Menschen sollten wann immer möglich Phishing-resistente MFA verwenden, um wertvolle Daten und Systeme zu schützen“ – Roger A. Grimes, Cybersicherheitsexperte und Autor von „Hacking Multifactor Authentication“

Genau wie viele Finanz- und Datenunternehmen waren Bitcoin-Unternehmen das Ziel mehrerer Datenschutzverletzungen, bei denen Angreifer E-Mail-Adressen und Telefonnummern von Kunden erhalten haben.

Auch ohne diese Verstöße ist es nicht besonders schwierig, die E-Mail-Adressen und Telefonnummern von jemandem zu finden (wie in früheren Artikeln erwähnt, besteht die beste Vorgehensweise darin, eine separate E-Mail-Adresse und Telefonnummer für Ihre Bitcoin-Konten zu verwenden).

Mit diesen E-Mails können Angreifer Phishing-Angriffe durchführen und die Anmeldeinformationen abfangen: sowohl das Passwort als auch die Multi-Faktor-Authentifizierung, die Sie als zweiten Authentifizierungsfaktor für eines Ihrer Konten verwendet haben.

Werfen wir einen Blick auf einen typischen MITM-Phishing-Angriffsprozess:

Sie klicken auf einen Link (oder scannen einen QR-Code) und werden zu einer Website weitergeleitet, die der legitimen Website, auf die Sie zugreifen möchten, sehr ähnlich sieht. Sie geben Ihre Anmeldeinformationen ein und werden dann zur Eingabe Ihres MFA-Codes aufgefordert, den Sie eingeben .Der Angreifer erfasst dann das Zugriffssitzungstoken für die erfolgreiche Authentifizierung bei der legitimen Site. Möglicherweise werden Sie sogar auf die gültige Website weitergeleitet und wissen nie, dass Sie gehackt wurden (beachten Sie, dass das Sitzungstoken normalerweise nur für diese eine Sitzung gültig ist). Der Angreifer hat dann Zugriff auf Ihr Konto.

Stellen Sie nebenbei sicher, dass Sie MFA an Abhebungen auf einer Brieftasche oder Börse angehängt haben. Bequemlichkeit ist der Feind der Sicherheit.

Phishing-resistente MFA

Um gegen Phishing resistent zu sein, sollte Ihre MFA eine Authenticator Assurance Level 3 (AAL3)-Lösung sein. AAL3 führt über AAL2 hinaus mehrere neue Anforderungen ein, von denen die wichtigste die Verwendung eines hardwarebasierten Authentifikators ist. Es gibt mehrere zusätzliche Authentifizierungsmerkmale, die erforderlich sind:

Verifizierer-Imitationswiderstand. Verifier-Kompromisswiderstand. Authentifizierungsabsicht.

Fast Identity Online 2 (FIDO2) und FIDO U2F sind AAL3-Lösungen. Auf die Details der verschiedenen FIDO-Standards einzugehen würde den Rahmen dieses Artikels sprengen, aber Sie können ein wenig darüber unter „Your Complete Guide to FIDO, FIDO2 and WebAuthn“ lesen. Roger Grimes hat im März 2022 in seinem LinkedIn-Artikel „My List of Good Strong MFA“ die folgenden AAL3-Level-MFA-Anbieter empfohlen.

MFA-Hardwareschlüssel und Smartcards

Hardwareschlüssel wie Yubikey sind weniger hackbare Formen von MFA. Anstelle eines generierten Codes, den Sie eingeben, drücken Sie eine Taste auf Ihrem Hardwareschlüssel, um sich zu authentifizieren. Der Hardwareschlüssel hat einen eindeutigen Code, der verwendet wird, um Codes zu generieren, um Ihre Identität als zweiten Authentifizierungsfaktor zu bestätigen.

Es gibt zwei Einschränkungen für Hardwareschlüssel:

Ihre App muss Hardwareschlüssel unterstützen. Sie können Ihren Hardwareschlüssel verlieren oder beschädigen. Bei vielen Diensten können Sie mehr als einen Hardwareschlüssel konfigurieren. Wenn Sie die Verwendung eines verlieren, können Sie das Ersatzteil verwenden.

Smartcards sind eine andere Form von MFA mit ähnlicher Phishing-Resistenz. Wir werden hier nicht auf die Details eingehen, da sie anscheinend weniger wahrscheinlich für MFA im Zusammenhang mit Bitcoin oder Lightning verwendet werden.

Mobil: Beschränkte Räume erfordern Hardwaregeräte

Eine weitere Überlegung für die Multi-Faktor-Authentifizierung ist, ob Sie jemals in einer Situation wären, in der Sie MFA benötigen und kein Handy oder Smartphone verwenden können.

Es gibt zwei wichtige Gründe, warum dies für Bitcoin-Benutzer passieren könnte:

Geringe oder keine MobilfunkabdeckungSie haben kein Smartphone oder können kein Smartphone verwenden

Aufgrund von Arbeitsumgebungen mit Kundenkontakt oder persönlichen Vorlieben kann es weitere Einschränkungen bei der Nutzung von Mobiltelefonen geben. Callcenter, K-12-Schulen oder Hochsicherheitsumgebungen wie Forschungs- und Entwicklungslabors sind einige Bereiche, in denen Telefone eingeschränkt sind und Sie daher Ihre Telefonauthentifizierungs-App nicht verwenden können.

In diesen speziellen Fällen, in denen Sie einen Computer verwenden und kein Smartphone haben, benötigen Sie dann eine Smartcard oder einen Hardwareschlüssel für MFA. Außerdem muss Ihre Anwendung diese Hardwareoptionen unterstützen.

Wenn Sie Ihr Handy bei der Arbeit nicht benutzen können, wie sollen Sie dann in Ihrer Pause Sats auf der Toilette stapeln?

Auf dem Weg zu einer widerstandsfähigeren MFA

MFA kann gehackt und Ihre Konten kompromittiert werden. Sie können sich jedoch mit einer robusteren und Phishing-resistenteren MFA besser schützen. Sie können auch MFA wählen, das nicht an Ihre Telefonnummer gebunden ist und über einen angemessenen Sicherungsmechanismus oder die Möglichkeit verfügt, einen Ersatzschlüssel zu haben.

Die fortlaufende Abwehr von Cyberangriffen ist ein kontinuierliches Katz-und-Maus-Spiel. Ihr Ziel sollte es sein, weniger hackbar und weniger verfolgbar zu werden.

Zusätzliche Ressourcen:

Dies ist ein Gastbeitrag von Heidi Porter. Die geäußerten Meinungen sind ausschließlich ihre eigenen und spiegeln nicht unbedingt die von BTC Inc. oder Bitcoin Magazine wider.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert