Autentisering: Fra 2FA til U2F og DUO
Autentisering er underprioritert – en medvirkende årsak til de fleste datalekkasjer. Like fullt fortsetter halve verden med dårlige passord – eller i beste fall et middelmådig 2FA-produkt. Hvor mange 'Marriot-skandaler' må til før verden våkner?
I rettferdighetens navn, situasjonen er blitt mye bedre de siste 10 årene – spesielt takket være voksende bruk av to-faktor autentisering, som vi diskuterte i Ingen krise for 2FA for noen måneder siden. Men misforståelser og historiske oppfatninger av både behov og verktøy florerer. Derfor lar vi Marriot-lekkasjen bli trigger for en revisitering av 2FA, muligheter og utvikling.
Selv spesialister overser til tider det faktum at 2FA er et konsept, ikke et produkt. Et konsept som finnes i mange inkarnasjoner – fra det enkle og rimelige til det robuste og omstendelige. Selv de enkleste representerer et vesentlig løft fra tradisjonell passord- eller PIN-basert autentisering. De fleste er teknisk solide, men med et svakt punkt som var tema for en faglig diskusjon for noen uker siden: Den såkalte 'session cookie' eksponeringen, som ble demonstrert i analysen Evilgnix for snart to år siden.
Uten å gå i tekniske detaljer går eksponeringen ut på at den digitale nøkkelen som etableres under autentiseringen ('session cookie'), kan stjeles via såkalte man in the middle angrep. Langt fra trivielt, men mulig. Videre, siden nøkkelen ikke har noe eierskap – den sier ingen ting om hvem som er sender og mottaker – kan den misbrukes. En godkjent innlogging fra abc.no kan også brukes fra cde.no. Et slikt tyveri kompliseres av at det meste av verden har gått over til krypterte forbindelse (HTTPS/SSL) de to siste årene (se diskusjonen i Noen ser deg - hele tiden), men eksponeringen er fortsatt reell.
Ingen katastrofe, snarere business as usual: Få sikkerhetsmekanismer er perfekte, sikring er alltid en kalkulert risiko. Klassisk 2FA er godt nok til mye, utilstrekkelig til noe – for eksempel on line banking, autentisering av driftspersonell i datasentre og kontakt med myndigheter. Da trengs autentisering og pålitelighet på BankID-nivå eller bedre.
U2F – Universal 2nd Factor autentisering – leverer akkurat det. En påbygning til 2FA utviklet av Google med partnere for et par år siden. Mekanismen benytter en USB-basert ‘nøkkel’ (se bildet), er teknisk enkel (ingen drivere eller tilsvarende) og inkluderer endepunktkontroll som beskrevet ovenfor. Den er også økonomisk spennende og har betydelig støtte i markedet (Facebook, Google, Dropbox, GitHub for å nevne noen, samt Opera, Firefox og Chrome nettlesere).
U2F løser utfordringen, men blir like fullt ignorert av markedet. USB oppfattes som tungvint, ‘for mye styr for brukerne’ – akkurat som kodebrikken etterhvert oppfattes som ‘styrete’ for BankID. Et interessant – egentlig overraskende – valg fra et marked som kaller seg sikkerhetsbevisst.
Det kan ikke vare, og den relative nykommeren ‘DUO’ – nylig overtatt av Cisco – demonstrerer en ny 2FA-generasjon. ‘DUO Push’ minner funksjonelt om norske BankID Mobil, men med dagens teknologi: Teknisk enklere, støtter U2F, er rimelig, mer tilgjengelig og kan kombineres med andre 2FA-mekanismer ved behov. Enkel nok til at vi kan teste selv – uten kostnad, med rimelig innsats. En annen aktør i samme klasse er Yubikey, som bildet ovenfor er hentet fra. Flere står i kø for å ta sin del av et spennende segment med enormt potensiale.
Vårt hovedpoeng er å tydeliggjøre spennvidden i dagens 2FA-produkter. Alternativene finnes når de trengs, er teknisk enkle og kostnadsmessig overkommelige. Det finnes INGEN unnskyldning for å ha utilstrekkelig autentisering.
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.