Din e-postadress och konto hos någon av de stora tjänsteleverantörerna som Google, Microsoft eller Facebook är i många fall den viktigaste digitala tillgången du har. Med dessa e-postadresser i handen skapar du konton på andra tjänster, de utgör grunden för din digitala kommunikation och tjänsterna själva använder ofta adressen och det tillhörande kontot som grund i det inloggningssystem de själva använder för att du ska kunna nå samtliga deras tjänster med bara en inloggning, ofta kallat single sign-on, SSO. Lägg därtill alla eventuella tredjepartstjänster du loggar in på med hjälp av samma SSO-lösning.
Det borde därför förvåna få att dina konton hos de stora molntjänsterna är hett eftertraktade byten för cyberkriminella, och att bara använda användarnamn och lösenord är inte att rekommendera; det behövs extra säkerhetslager för att skydda ditt konto. Men vilken typ av extra säkerhetslager skyddar ditt konto bäst, speciellt med avseende på hur mycket extra arbete eller externa faktorer det krävs för att tillägna dig skyddet?
Forskare vid New York University har gått till botten med vilka typer av extra säkerhetslager som skyddar molnkonton bäst. Forskarna har använt data från Google, men resultatet av deras undersökning gäller generellt de flesta typer av molnkonton där extra säkerhetslager finns att tillgå.
Det forskarna tagit fasta på är de extra säkerhetslager som används när systemet upptäcker att någon, kanske du, kanske någon annan, kanske en bot, försöker logga in på ditt konto från en plats eller enhet som systemet inte känner igen sedan tidigare, och alltså triggar ett extra verifieringssteg för att säkerställa att det verkligen är du som försöker logga in. Att enbart förlita sig på dessa varningar skulle dock inte fungera eftersom användarna kanske är på resande fot, skaffat sig en ny enhet eller fått en ny ip-adress, vilket orsakar falska positiver.
Forskarna har värderat de olika typerna av extra säkerhetslager, eller extra verifieringssteg, utifrån hur väl de motstår automatiserade inloggningsförsök på grund av av bottar, slumpmässiga nätfiskeangrepp, och riktade attacker.
Genom att analysera över 350 000 verkliga försök att ta över ett Googlekonto från cirka 1,2 miljoner användare har forskarna kommit fram till att de extra verifieringsstegen skiljer sig markant, både i fråga om hur väl de skyddar konton, såväl som hur de används av användarna. De olika metoder forskarna analyserat är dels kunskapsbaserad verifiering, exempelvis säkerhetsfrågor (Vad hette din första katt?), alternativt e-postkonto, telefonnummer för återställning, dels enhetsbaserad verifiering med engångskoder via sms, engångskoder via en säkerhetsapp i mobilen och hårda säkerhetsnycklar.
Enhetsbaserad verifiering, alltså att bevisa att du har tillgång till en alternativ enhet, slår kunskapsbaserad verifiering sju dagar i veckan.
Avgörande skillnad för säkerheten
Att lägga till sitt mobilnummer till kontot är det som i mångt och mycket är den avgörande skillnaden för att höja säkerheten, och de som av olika anledningar inte vill uppge sitt mobilnummer kan använda en autentiseringsapp som Google Authenticator eller Duo.
Fördelen med apparna är att de inte kräver nätverksuppkoppling för mobilen tack vare att apparna är synkroniserade med tjänstens inloggningsserver, vilket är fallet med kod via sms eller den typen av appar där du bara svarar ja på frågan om det verkligen är du som vill logga in. Det gäller även Googles app där du fyller en siffra på formatet G-XXXXXX. Nackdelen är förstås att du måste ha med dig mobilen, och att den fungerar.
Den absolut säkraste metoden att skydda ditt konto är så kallade säkerhetsnycklar, alltså hårdvara med säkerhetskretsar som du stoppar in i usb-porten eller parar ihop med enheten över NFC eller Bluetooth. Google har en egen som de kallar Titan, men mest kända är förmodligen Yubikey från företaget Yubico.
Nackdelen med dessa nycklar är, inte helt förvånande, den något bristande användarvänligheten och det faktum att nyckeln alltid måste vara med dig när du behöver den. Det finns i och för sig modeller som är till för att alltid sitta i datorns usb-port, men vill du logga in från en annan dator måste du ha med dig nyckeln. Säkerhetsnycklar stoppar i princip alla angrepp oavsett typ – hackarna har helt enkelt inte din nyckel. Säkerhetsnycklar används nästan uteslutande av personer som vet med sig att de är högprofilerade måltavlor eller som arbetar med it-säkerhet.
Näst bäst är utan tvekan säkerhets- och autentiseringsappar i mobilen. Den analys forskarna genomförde visar att de stoppar 100 procent av alla bot-baserade, automatiserade angrepp, 99 procent av alla angrepp som använder sig av standardiserade nätfiskeattacker och närmare 90 procent av alla riktade attacker.
Engångskoder inte lika bra skydd
Den svagaste typen av enhetsbaserad verifiering är engångskoder via sms. Visserligen stoppar de bottar, men de fungerar inte lika bra som skydd mot nätfiske och riktade angrepp. Forskarnas resultat visar att koder via sms stoppar 96 procent av alla nätfiskeangrepp, men bara 76 procent av de riktade attackerna. Koder via sms är sårbara för man-i-mitten-attacker i kombination med nätfiske. Det grundläggande problemet med koder via sms är att det alltför ofta är enkelt att manipulera mobilabonnemang, till exempel genom att vidarekoppla ett mobilnummer eller begära ut ett sim-kort utan att mobiloperatören gör ordentliga kontroller, något TechWorld visat tidigare.
Men det särklass sämsta alternativet är kunskapsbaserade verifieringsmetoder, det vill säga att inte koppla ett mobilnummer till tjänsten överhuvudtaget, utan iställer förlita sig på säkerhetsfrågor eller en alternativ e-postadress. Dessa verifieringsmetoder är inte ens särskilt bra på att stoppa automatiserade inloggningsförsök – bara 76 procent av automatiserade inloggningar kunde stoppas – och de är rena katastrofen när det kommer till nätfiskebaserade inloggningsförsök där de i vissa fall inte hindrar fler än tio procent av försöken.
Kunskapsbaserade verifieringsmetoder har dock en stor fördel – de är väldigt enkla att använda och du behöver ingen mobil eller annan extra enhet för att det ska fungera. Men kunskaperna kan vara enkla att gissa sig till, eller få fram genom social ingenjörskonst, och det är alltför vanligt att skickligt utformade nätfiskesajter kan lura av användarna deras hemligheter.
Att Google, Microsoft med flera stora molntjänster uppmuntrar användarna att registrera ett mobilnummer och en alternativ enhet är förstås inte förvånande; många av dessa företag lever på att rikta annonser baserat på personuppgifter, men det är faktiskt inte nödvändigt att ge företagen ditt mobilnummer, det finns bra metoder för en extra nivå av verifiering som inte inverkar på din personliga integritet. Den viktigaste slutsatsen man kan dra av forskarnas rapport är att inte enbart förlita sig på kunskapsbaserad verifiering.
Forskningsrapporten från New York University finns att läsa här.
Läs också:
Därför vill Microsoft få bort lösenorden
Google inför stopp för tvåfaktors-autentisering över telefon
