Na początku tego roku pojawiła się najważniejsza jak dotąd przesłanka, iż okres rozkwitu uwierzytelniania dwuskładnikowego SMS niedługo dobiegnie końca. Chodzi o stratę przez Twittera ponad 60 milionów dolarów w wyniku oszustw związanych z SMS-ami. Po tym zeszłorocznym zajściu ogłoszono, iż serwis rezygnuje z obsługi SMS-ów jako opcji 2FA dla wszystkich użytkowników.
Ten incydent podkreśla, iż problemy związane z SMS-ami do 2FA stają się coraz bardziej przykre dla zespołów bezpieczeństwa. Pomimo popularności wśród użytkowników koszty wdrożenia i utrzymania bezpieczeństwa tej metody uwierzytelniania stają się tak uciążliwe, iż zostanie wycofana z naszego życia choćby szybciej niż hasła.
Powstanie i utrzymujący się trend SMS 2FA
Ze względu na swoją popularność i współczynnik adopcji SMS 2FA służył nam przez ostatnie 10 lat. Przed wprowadzeniem 2FA koszt ataku na konto chronione hasłem był znikomy. Częstotliwość naruszeń danych w połączeniu ze skłonnością internautów do ponownego wykorzystywania tych samych haseł oznaczała, iż większość użytkowników miała w każdej chwili dziesiątki swoich haseł dostępnych w Darknecie.
Zachowanie konsumentów wprowadziło wysoce skalowalną metodę ataku dla oszustów chcących ukraść konta internetowe i zarobić na nich. Na przykład po pobraniu wyciekłych danych uwierzytelniających hakerzy mogli próbować zweryfikować je w innych witrynach, potencjalnie przynoszących wysokie zyski, takich jak PayPal, Allegro itp.
Jednak drugi składnik uwierzytelnienia, którym w pierwszej kolejności stał się SMS, udaremnia skalowalność ataków, wprowadzając tarczę, często nie do pokonania dla atakujących. Kradzież jednorazowych kodów SMS we właściwym czasie często wymaga użycia metody nazywanej SMS swapping, ewentualnie przeprowadzenia wyrafinowanych ataków phishingowych. W przypadku większości cyberprzestępców ten dodatkowy czas i wysiłek po prostu się nie opłacają.
Dlaczego SMS traci swój urok?
Dzięki powszechnemu zastosowaniu mechanizm 2FA SMS zniechęcił do oszustw na masową skalę lub przynajmniej znacznie je utrudnił. Niestety atakujący nieuchronnie doganiają zabezpieczenia cybernetyczne, obchodzą je i ostatecznie uniemożliwiają ich utrzymanie. I tak właśnie stało się z wiadomościami tekstowymi.
Najważniejsze czynniki przyczyniające się do upadku 2FA SMS mają związek z obciążeniem backendu, nakładanymi na zespoły inżynierów. Należą do nich: problemy z dostarczalnością i opóźnieniami, niedociągnięcia nieodłącznie związane z poleganiem na starszych systemach telekomunikacyjnych oraz popularny wektor nadużyć botów określany jako SMS troll fraud.
W przypadku oszustw związanych z opłatami za SMS-y osoby atakujące kierują masowy kosztowny ruch SMS przez współpracujących operatorów sieci komórkowych, a następnie dzielą się z nimi zyskami. Ataki te mogą stać się znacznie bardziej niebezpieczne niż rzeczywisty dedykowany phishing.
Klucze dostępu (ang. passkeys) zastąpią 2FA SMS
Gdyby SMS był najlepszym rozwiązaniem, jakie ma do zaoferowania rynek, programiści mogliby rozważyć koszty podjęcia prób zapobiegania oszustwom lub rozwiązania problemów z opóźnieniami. Ale w 2023 roku dostępne są lepsze metody MFA. Organizacje ustanawiające standardy, takie jak FIDO, skupiły się na kluczach dostępu (passkeys).
Klucze dostępu działają na zasadzie przechowywania pary kluczy składającej się z klucza publicznego i prywatnego na głównym koncie urządzenia użytkownika, takim jak konto iCloud na iPhonie lub Macu albo konto Google na Androidzie. Tej pary kluczy można następnie użyć do zarejestrowania się lub zalogowania do aplikacji bez tworzenia lub zapamiętywania dodatkowego hasła.
Po stronie użytkownika zapewnia to prostotę korzystania. Kiedy użytkownicy logują się na dane konto, wystarczy, iż zweryfikują swoje dane biometryczne dzięki odcisku palca lub FaceID, a ich urządzenie automatycznie wymieni bezpieczne informacje kryptograficzne z aplikacją – i są zalogowani. Najlepsze w kluczach dostępu jest na chwilę obecną to, iż użytkownicy mogą stosować je na różnych urządzeniach.
Choć klucze dostępu są obiecujące, wciąż widnieje przed nami wiele zmian technologicznych i infrastrukturalnych, zanim branża będzie mogła je powszechnie zastosować jako zamiennik haseł. Tylko najnowsze modele większości telefonów obsługują klucze dostępu, a wielu, jeżeli nie większość użytkowników, przez cały czas przywiązanych jest do starej kombinacji loginu oraz hasła i czuje się z nią komfortowo, pomimo zagrożeń dla bezpieczeństwa.
Miejmy nadzieję, iż dzięki nowym dostępnym technologiom organizacje będą w stanie wyeliminować uciążliwą infrastrukturę uwierzytelniania bez nakładania na użytkowników obciążeń związanych z bezpieczeństwem. Zamiast tego mogą przejść na klucze dostępu i przygotować swoje zespoły inżynierów oraz użytkowników na przyszłość bez haseł.