Luotettu internet-suoja pettää: Näin helposti tilisi kaapataan

Julkaistu:

Tietosuoja
Suomalaisasiantuntija muistuttaa, ettei verkkopalveluissa yleistynyt kaksivaiheinen tunnistus takaa tietoturvaa.
Monissa verkkopalveluissa on viime vuosina otettu käyttöön niin sanottu kaksivaiheinen tunnistus (2FA) käyttäjäsuojan lisäämiseksi. Tietoturva-asiantuntijat myös ahkerasti suosittavat kaksivaiheista tunnistusta pelkän käyttäjätunnukseen ja salasanaan perustuvan tunnistuksen tilalle.

Rikollisilla on kuitenkin konstit uuden muurin kiertämiseksi, tietoturvayhtiö Nixun asiantuntija Otto Sulin kirjoittaa.

Kaksivaiheinen tunnistus tarkoittaa yksinkertaisimmillaan sitä, että salasanan antamisen jälkeen verkkopalvelu vahvistaa käyttäjän olevan kuka hän väittää olevansa jollain erillisellä tavalla, kuten esimerkiksi tekstiviestillä kännykkään. Viestin koodi naputellaan vielä palveluun kirjautumista varten. Myös biometrisiä tunnisteita, kuten sormenjälkeä tai ääntä, voidaan käyttää.

Ensimmäinen ongelma koskee verkkopalveluiden tyypillistä tapaa palauttaa unohtunut käyttäjätili. Sulinin mukaan esimerkiksi Googlen tai Microsoftin tilin voi kaapata tällä tavalla ohittamalla kokonaan 2FA:n. Tämä johtuu siitä, että tilin palautuksessa kysytään esimerkiksi sähköpostiosoitetta tai vastauksia käyttäjän aiemmin asettamiin turvakysymyksiin. Nämä ovat tietoja, jotka on usein löydettävissä verkosta jo valmiiksi.

– 2FA:n sulkeminen saattaa onnistua minuuteissa, Sulin korostaa.

Toinen tapa ohittaa kaksivaiheinen tunnistus koskee kaikkia kertaluonteisia tunnisteita, kuten puhelimeen tulevaa koodia. Hyökkääjät saattavat piilottaa verkkosivun aidon kirjautumispainikkeen kohdalle oman nappinsa, joka ohjaa uhrin antamaan tunnuksensa väärälle sivulle.

Jos hyökkääjällä on myös yhteys aitoon sivustoon, hän voi saada haltuunsa myös puhelimeen tulevan varmistuskoodin, jonka uhri syöttää vaaraa tajuamatta. Tämä ei ole pelkkää teoriaa, sillä yksi tutkija todisti asian käytännössä viime vuoden alussa LostPass-menetelmällään LastPass-salasanapalvelua vastaan.

Tämä taktiikka tepsii myös aikarajoituksiin, joissa varmistuskoodi pitää syöttää lyhyen ajan kuluessa sen toimimiseksi.

Kolmas tapa on kenties karmivin, koska kaikki voi tapahtua uhrin selän takana täysin ilman hänen osallistumistaan. Huijari voi onkia vaikkapa pääsyn uhrin puhelinliittymään vakuuttamalla hänen teleoperaattorinsa asiakaspalvelijan tekemään liittymään muutoksia.

Tähän tosin tarvitaan uhrin sosiaaliturvatunnusta ja joitakin muita tietoa – myös hyviä näyttelijänlahjoja. Mutta hyökkääjillä on usein kaikki nämä hallussaan.

Mitä sitten pitäisi tehdä?

Otto Sulin arvioi IS Digitodaylle, ettei kaksivaiheista tunnistusta pidä suinkaan hylätä, vaikka sen toteutuksissa puutteita esiintyykin.

– Hyvin toteutettu kaksivaiheinen tunnistus on sekä käyttäjälle helppo että turvallinen, enkä tällä hetkellä näe syytä korvata sitä millään. Tulevaisuus tuo varmasti turvallisempia ratkaisuja, jotka tarttuvat nykyisen kaksivaiheisen tunnistuksen ongelmakohtiin. Alalla tehdään paljon tutkimusta ja tuotekehitystä.

Tilinpalautuksen hyvästä turvaamisesta Sulin mainitsee esimerkkinä Applen, sillä se esimerkiksi vahvistaa tunnistusta pyytämällä koodia toisen käyttäjätiliin sidotun laitteen kautta.

– Toinen hyvä ja hieman erilainen esimerkki on LastPass. Se antaa mahdollisuuden nimittää käyttäjiä "Emergency Access" toiminnallisuuden kautta, ja toteutus vaikuttaa erittäin toimivalta. Mikäli tällainen luotettu kontakti haluaa päästä käyttäjän tietoihin käsiksi, saa käyttäjä tästä viestin ja hän voi estää pääsyn. Mikäli käyttäjä ei käy estämässä, saa tämä luotettu kontakti pääsyn tietoihin tilin palautusta varten, Sulin hahmottaa.

Tavallisen kuluttajan kannattaa olla varuillaan verkkopalvelujen turvakysymysten kanssa. Sulin suosittaa syöttämään tällaiseen kenttään satunnaisen merkkijonon, jolloin kukaan ulkopuolinen ei voi vaihtaa tilin salasanaa vastauksia turvakysymyksiin etsimällä.

Toki silloin vastauksista ei ole hyötyä käyttäjällekään, mutta sillä ei ole usein väliä, koska suuri osa palveluista sallii erillisen sähköpostiosoitteen tilin palauttamista varten.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt