차례:
비디오: ë´ì ë ì¸ë¯¸ì»¨ëí¸, ì ê³ ìµì´ ê³ ì ì°ì AD컨ë²í° ê°ë°ãìë£Â·ì°ì ì© ì¥ë¹, ë°°í°ë¦¬ ìëª ëë ¸ë¤ã (12 월 2024)
이번 주에는 2 단계 인증 (2FA)에 대한 또 다른 질문을 해결하기 위해 밑바닥이없는 메일 백을 다시 파고 들었습니다. 이전에 살펴본 주제이지만 제가받은 질문의 양과 특이성으로 판단하면 많은 사람들이 생각하고있는 문제입니다. 2FA를 일반 사람들이 온라인에서 안전하게 지키기 위해 할 수있는 가장 좋은 방법이라고 생각하기 때문에 끝없이 이야기하는 것이 더 행복합니다.
오늘의 질문은 테드 (Ted)가했는데, 그는 2FA 시스템이 실제로 모든 것이 가능한지에 대해 질문했습니다. Ted의 서한은 간결하게 편집되었습니다. Ted는 2FA에 대한 저의 다른 글 중 일부를 참조하여 메시지를 시작합니다.
"보안 키를 등록하면 키를 분실하거나 액세스 할 수없는 경우 SMS 암호를 백업 옵션으로 사용할 수 있습니다." 이것이 사실이라면 왜이 장치가 2FA SMS 코드보다 더 안전한가요? "하지만 전화를 도난 당할 수 있으며 SIM 도킹은 지금 우리가 걱정해야 할 문제입니다."
다른 사람이 Google에 자신임을 알리고 보안 키를 잃어 버렸으며 도난 당했거나 전화를 건 휴대 전화로 SMS 코드를 보내야하는 이유 내가 이것을 올바르게 이해하고 있다면이 장치는 2FA SMS 텍스트보다 안전하지 않습니다. 훨씬 더 편리하고 확실하지만 더 안전한지 모르겠습니다.
이 모든 것의 결론은 보안 키가 보안을 강화하지만, 2FA보다 본질적으로 더 안전하지 않기 때문에 보안을 사용할 가능성이 높기 때문일 뿐입니 까? 내가 무엇을 놓치고 있습니까?
빠진 게 없어, 테드 실제로 온라인 인증을 둘러싼 많은 보안의 근본적인 문제를 해결하는 것이 현명합니다. 계정을 복구 할 수 없게 만들지 않고 사람들이 누구인지 안전하게 확인하는 방법은 무엇입니까?
2FA 기본
몇 가지 기본 사항을 먼저 다루겠습니다. 2 단계 인증 (2FA)은 가능한 3 가지 목록에서 요소라는 두 가지 신원 증명을 제시해야하는 보안 개념입니다.
- 비밀번호와 같은 정보
- 전화와 같은 정보가 있습니다.
- 지문과 같은 정보입니다.
실제로 2FA는 종종 사이트 나 서비스에 로그인하기 위해 비밀번호를 입력 한 후 수행하는 두 번째 작업을 의미합니다. 암호는 첫 번째 요소이며 두 번째는 특별한 코드를 사용하여 휴대폰으로 전송 된 SMS 메시지이거나 iPhone에서 Apple의 FaceID를 사용하는 것일 수 있습니다. 아이디어는 암호를 추측하거나 도용 할 수 있지만 공격자가 암호와 두 번째 요소를 모두 얻을 가능성은 적습니다.
그의 편지에서 Ted는 하드웨어 2FA 키에 대해 구체적으로 묻고 있습니다. Yubico의 YubiKey 시리즈는 아마도 가장 잘 알려진 옵션이지만 유일한 옵션과는 거리가 멀습니다. Google에는 자체 Titan 보안 키가 있으며 Nitrokey는 오픈 소스 키를 제공합니다.
실제적인 함정
완벽한 보안 시스템은 없으며 2FA도 다르지 않습니다. Google 계정 보안 팀의 제품 관리 책임자 인 Guemmy Kim은 계정 복구 및 2FA에 의존하는 많은 시스템이 피싱에 취약하다고 지적했습니다. 이것은 악의적 인 사람들이 가짜 사이트를 사용하여 개인 정보를 입력하도록 속이는 곳입니다.
가장 이례적인 공격 중 하나는 공격자가 SIM 카드를 복제하거나 전화 회사가 사용자의 SMS 메시지를 가로 채기 위해 SIM 카드를 등록 취소하도록 속이는 SIM 잭킹입니다. 이 시나리오에서 공격자는 자신의 전화 번호를 자신의 전화 번호로 사용할 수 있기 때문에 매우 효과적으로 가장 할 수 있습니다.
비 이국적이지 않은 공격은 명백한 오래된 손실과 도난입니다. 휴대 전화 나 휴대 전화의 앱이 기본 인증 자이고 분실하면 두통이 될 것입니다. 하드웨어 키도 마찬가지입니다. Yubico YubiKey와 같은 하드웨어 보안 키는 깨지기 어렵지만 잃기 쉽습니다.
Yubico Yubikey Series 5는 다양한 구성으로 제공됩니다.계정 복구 문제
Ted가 그의 서한에서 지적한 것은 많은 회사들이 하드웨어 보안 키 외에 두 번째 2FA 방법을 설정하도록 요구한다는 것입니다. 예를 들어 Google은 SMS를 사용하거나 회사의 인증 자 앱을 설치하거나 기기를 등록하여 계정을 확인하는 Google의 푸시 알림을 수신해야합니다. Google의 Titan 키와 같이 사용하는 다른 2FA 옵션에 대한 백업으로이 세 가지 옵션 중 하나 이상이 필요합니다.
보조 보안 키를 백업으로 등록하더라도 SMS, Google OTP 또는 푸시 알림을 활성화해야합니다. 특히 Google 고급 보호 프로그램을 사용하려면 두 번째 키를 등록해야합니다.
마찬가지로 Twitter에서는 하드웨어 보안 키 (옵션) 외에 SMS 코드 나 인증 자 앱도 사용해야합니다. 불행히도 트위터에서는 한 번에 하나의 보안 키만 등록 할 수 있습니다.
Ted가 지적했듯이 이러한 대체 방법은 보안 키 자체를 사용하는 것보다 기술적으로 덜 안전합니다. 이러한 시스템이 이러한 방식으로 구현 된 이유에 대해서만 추측 할 수 있지만 고객이 항상 자신의 계정에 액세스 할 수 있도록하려는 것 같습니다. SMS 코드 및 인증 자 앱은 사람들이 쉽게 이해하고 추가 장치를 구입할 필요가없는 시간 테스트 된 옵션입니다. SMS 코드는 또한 장치 도난 문제를 해결합니다. 휴대 전화를 분실했거나 도난당한 경우 원격으로 잠 그거나 SIM 카드 인증을 해제하고 SMS 코드를 수신하여 온라인으로 되돌릴 수있는 새 휴대 전화를받을 수 있습니다.
개인적으로 나는 보안에 대해 걱정하는 동안 나 자신도 알고 있고 정기적으로 물건을 잃거나 깨뜨릴 수 있기 때문에 여러 가지 옵션을 사용할 수 있습니다. 이전에 2FA를 사용해 본 적이없는 사람들은 2FA를 사용하는 경우 자신의 계정이 잠기는 것을 매우 염려하고 있습니다.
2FA는 실제로 매우 좋습니다
보안 시스템의 단점을 이해하는 것이 항상 중요하지만 시스템을 무효화하지는 않습니다. 2FA는 약점이 있지만, 큰 성공을 거두었습니다.
다시 한 번, Google 만 살펴 봐야합니다. 회사는 내부적으로 하드웨어 2FA 키를 사용해야했으며 결과는 그 자체입니다. Google 직원의 성공적인 계정 인수는 사실상 사라졌습니다. 이는 테크 산업 내에서 자신의 위치를 가진 Google 직원이 표적 공격의 주요 요소라는 점을 고려할 때 특히 중요합니다. 공격자가 특정 개인을 공격하기 위해 많은 노력을 기울입니다. 공격자가 충분한 자금과 인내심을 가지고 있다면 드물고 일반적으로 성공합니다.
Google Titan 보안 키 번들에는 USB-A 및 Bluetooth 키가 포함되어 있습니다.여기서주의해야 할 점은 Google에 특정 유형의 2FA: 하드웨어 보안 키가 필요하다는 것입니다. 이들은 다른 2FA 방식보다 피싱 또는 다른 방식으로 가로 채기가 매우 어렵다는 장점이 있습니다. 어떤 사람들은 불가능하다고 말할 수도 있지만, 나는 타이타닉에 무슨 일이 일어 났는지 알고 더 잘 알았습니다.
그럼에도 불구하고 2FA SMS 코드 또는 인증 자 토큰을 가로채는 방법은 상당히 이국적이며 실제로 확장이 잘되지 않습니다. 그것은 당신과 같은 평범한 사람에게 가능한 한 빨리 그리고 쉽게 돈을 벌고 싶어하는 평범한 범죄자들에 의해 사용될 가능성이 없다는 것을 의미합니다.
테드의 요점: 하드웨어 보안 키는 아직까지 2FA를 수행하는 가장 안전한 방법입니다. 피싱하기가 어렵고 공격하기가 매우 어렵지만 고유 한 취약점이없는 것은 아닙니다. 또한 2FA 하드웨어 키는 어느 정도 미래에 보장됩니다. 많은 회사들이 SMS 코드에서 멀어지고 있으며 일부는 FIDO2 표준을 사용하는 하드웨어 2FA 키에 전적으로 의존하는 암호없는 로그인을 채택하기도했습니다. 지금 하드웨어 키를 사용하고 있다면 앞으로 몇 년간 안전 할 것입니다.
Nitrokey FIDO U2F는 오픈 소스 보안을 약속합니다.- 2 단계 인증: 보유자 및 설정 방법 2 단계 인증: 보유자 및 설정 방법
- Google: 2 단계를 이길 수있는 피싱 공격이 증가하고 있습니다. Google: 2 단계를 이길 수있는 피싱 공격이 증가하고 있습니다.
- SecurityWatch: 2 단계 인증으로 잠그지 않는 방법 SecurityWatch: 2 단계 인증으로 잠그지 않는 방법
하드웨어 2FA 키만큼 안전하기 때문에 더 큰 환경에서는 계정에서 불필요하게 사용자를 잠그지 않도록하기 위해 약간의 타협이 필요합니다. 2FA는 사람들이 실제로 사용하는 기술이어야합니다. 그렇지 않으면 전혀 가치가 없습니다.
선택의 여지가 있다면 대부분의 사람들은 앱 및 SMS 기반 2FA 옵션을 사용하기가 쉽고 설정이 쉽고 무료이기 때문에 사용한다고 생각합니다. 이것이 최선의 선택은 아니지만 대부분의 사람들에게 잘 작동합니다. 그러나 곧 변경 될 수 있지만 이제 Google에서는 Android 7.0 이상을 실행하는 휴대 기기를 하드웨어 보안 키로 사용할 수 있습니다.
제한 사항에도 불구하고 2FA는 바이러스 백신 이후 소비자 보안을위한 가장 좋은 방법 일 것입니다. 사람들의 삶에 너무 많은 복잡성을 추가하지 않으면 서 가장 치명적인 공격을 깔끔하고 효과적으로 방지합니다. 그러나 2FA를 사용하기로 결정하고 자신에게 적합한 방법을 선택하십시오. 2FA를 사용하지 않으면 약간 적은 2FA 맛을 사용하는 것보다 훨씬 더 손상됩니다.