2FA: zergatik den SMSa onen artean txarrena

Argitaratua egilea David Carrero

SMS bidezko bigarren faktorea aktibatzea gaur har dezakezun erabakirik onenetakoa da. Berrikusi beharko duzun lehena ere bai.

Biak dira egia aldi berean, eta hor dago kontuaren zailtasun osoa. Eztabaida bi bandotan lehertu ohi da, biak berdin okerrak: SMSa benetako segurtasuntzat hartzen dutenak eta antzerkitzat hartzen dutenak. SMSa ezer ez baino askoz hobea da eta, aldi berean, ohiko bigarren faktoreen artean ahulena. Ez dago kontraesanik. Eskailera bat dago, eta SMSa lehen maila da —lurretik oso gora.

SMSak ondo egiten duena

Bigarren faktorerik gabe, zure kontua urteak daramatzan sekretu baten mende dago, agian besteren isurketa batean zirkulatzen zuk jakin gabe. Norbaitek zerrenda hori hartzen du, zerbitzu batean eta bestean probatzen du eta, pasahitza berrerabili bazenuen, sartu egiten da. Ez zaitu zu aukeratu: kalkulu orri batean zure lerroa tokatu zaio.

SMSak hori errotik hausten du. Bigarren faktore bat dagoen unetik, zu erasotzea izapide automatiko bat izateari uzten dio eta zure aurkako lan zuzendua bihurtzen da. Nor zaren jakin behar da, zein zenbaki erabiltzen duzun eta nork ematen dizun. Askori ez zaie merezi: badira kontu errazagoak. Horregatik, zerbitzu batek SMSa besterik eskaintzen ez badu, erantzuna baietz da, ñabardurarik gabe. Ñabardurak gero datoz.

Akatsa ez dago zure telefonoan

Batek uste du SMSa haustea uhinak atzematea, txip bat klonatzea edo sakelakoa kutsatzea dela. Ez da horrelako ezer behar. Benetan kontuak eramaten dituen erasoa, eta kasu publikoetan behin eta berriz agertzen dena, SIM swapping-a da, eta askoz gauza aspergarriagoa da: norbaitek zure operadoreari deitzen dio, SIMa galdu duela esaten du, egiaztapen galdera batzuei erantzuten die eta bikoiztu bat eskatzen du. Une horretatik aurrera, zure SMSak berari iristen zaizkio.

Erreparatu hor zer ez den gertatu. Ez da zifratzerik hautsi. Ez da zure telefonoa ukitu. Zuk ez duzu ezer gaizki egin —eta ez zara enteratu ere egin, zure linea kolpetik mutu geratzen dela izan ezik, eta hori, lo bazaude, luze jo dezake konturatu arte—. SIM swappinga ez da zure aurkako eraso teknikoa: zure operadorearen aurkako ingeniaritza soziala da. Huts egiten duen katebegia bezeroarentzako arretako langile bat da, intzidentziak azkar konpontzeagatik ordaintzen diotena eta guztiz sinesgarria den istorio bat kontatu diotena, SIMa galtzea jendeari egunero gertatzen zaion zerbait baita. Kasuak zabal dokumentatuta daude eta ereduak jada harritzen ez duen monotonia batekin errepikatzen dira.

Deserosoena da hor zuk ez duzula zer eginik: zure segurtasuna horretarako aukeratu ez zenuen enpresa baten egiaztapen prozesuaren mende dago. Eta bada bigarren akats bat, isilagoa: zure telefono zenbakia ez da sekretu bat. Dentistari eman diozu, argindar konpainiari eta herriko agenda erdiari. Nahi duzun guztiari banatzen diozun identifikatzaile bat kredentzial lanetan ari da hemen.

Bigarren maila: aplikazio bat

Hurrengo maila TOTP da —hogeita hamar segundoro txandakatzen diren sei digituko kodeak, Googlerena, Aegis, 1Password edo Bitwarden bezalako app batean.

Mekanismoa dotorea da: zerbitzuak eta zure aplikazioak sekretu bat partekatzen dute behin bakarrik, konfiguratzean, eta ordutik biek kode bera kalkulatzen dute sekretu horrekin eta orduarekin. Ez da ezer bidaltzen. Eta hor dago alde guztia: ezer bidaiatzen ez bada, ez dago zer desbideraturik. Ez dago operadorerik, ez zenbakirik, ez bikoiztu bat eskatzeko deitu beharreko inor. SIM swappingak ez du nondik sartu.

Jauzi handia da eta bost minutu kostatzen da. Baina ez da amaiera ere, TOTPak oso puntu itsu gizatiarra gordetzen baitu: kodea zuk idazten diozu eskatzen dizunari. Zure bankuaren antza duen baina hura ez den orri batean tekleatzen ari bazara, erasotzaileak jaso eta benetako gunera birbidaltzen du kodeari geratzen zaizkion segundoetan. Zure aplikazioak zenbaki bat sortzen du; ez daki non itsasten duzun.

Engainatzen uzten ez duen maila

Gako fisikoak —FIDO/U2F estandarrak, USB edo NFC gako batek, edo sakelakoak berak autentifikatzaile lanak eginez— hori bera konpontzen du. Erregistratzean jatorriari —zerbitzu horren domeinu zehatzari— lotutako gako pare bat sortzen du. Sartzean, nabigatzaileak esaten dio zein domeinutarako eskatzen zaion sinadura, eta gakoak domeinu hori barruan daraman erronka bat sinatzen du. Orria beste toki batean ostatatutako kopia bat bada, domeinua ez dator bat eta ez da benetako zerbitzuak onartuko duen sinadurarik ateratzen.

Beste era batera esanda: gakoa ez da zu baino azkarragoa; zure irizpideaz fio ez dela baizik. Ez du giltzarrapoari begiratzen, ez du URLa irakurtzen, ez du ebaluatzen mezua zilegi zirudien ala ez. Testu kate bat beste batekin alderatzen du. Istorio on batekin konbentzitzen ez den katebegi bakarra da —eta honezkero ohartuko zinen istorio onak direla, hain zuzen, arazoa.

«Mugatua» ez da «debekatua»

NISTek, bere SP 800-63B-n, telefonia sarearen bidezko banda kanpoko egiaztapena —hau da, SMSa— mugatutzat sailkatzen du. Merezi du hitzean gelditzea, ñabardura hori baita post osoa. Mugatua ez da debekatua: tarteko kategoria bat da, eta nahita jarria. Erabiltzen jarrai daiteke, baina erabiltzen duenak betebeharrak hartzen ditu: arriskua ebaluatzea, erabiltzaileei kanal horrek ahulgune ezagun bat duela jakinaraztea eta zerbait hobera migratzeko plan bat izatea.

Betoa baino jarrera zuhurragoa da, eta azaltzen du zergatik dirauen SMSak zutik. Jendeak erabiltzen duen mekanismo kaxkar batek gehiago babesten du inork aktibatzen ez duen bikain batek baino. Bihar leku guztietan debekatuko balitz, kontu horietako askok ez lukete maila bat igoko: pasahitz hutsarekin geratuko lirateke, hau da, lurrean.

Zer egin, ordenan

  • Zerbitzu batek SMSa besterik eskaintzen ez badu, aktibatu. Gaur. Lehen mailak irabazten du altuera gehien.
  • TOTP eskaintzen badu, pasa TOTPra eta kendu SMSa babes gisa uzten badizu. Zure segurtasuna onartzen duzun metodorik ahulenarena da, erasotzaileak aukeratzen baitu nondik sartu.
  • Benetan axola duenean —posta, bankua, pasahitz kudeatzailea—, jarri gako fisiko bat. Postatik zintzilik daude zure bizitza osoko «pasahitza ahaztu dut» guztiak.
  • Zure operadoreak PIN bat edo eramangarritasun blokeo bat onartzen badu, jarri. Ez du funtsa konpontzen, baina deitzen duenari bikoiztua zailtzen dio.
  • Eta ez ahaztu lehen faktorea. 2FA bigarren morroiloa da, ez lehenengoaren amnistia: pasahitz luze bat, bakarra eta sortzailetik ateratakoa, eta jada erabiltzen dituzunetakoren batez zalantzarik baduzu, pasa ezazu egiaztatzailetik.

Ondorioa aspergarria da eta horregatik ia inork ez du esaten: SMSa gaizki dago, eta erabili beharko zenuke besterik ez baduzu. Benetako segurtasuna ia inoiz ez da aukera perfektua hautatzea, baizik eta onen artean zein den txarrena jakitea, behar den bitartean erabiltzea eta inoiz ez nahastea amaitu izanarekin.


Iturriak: NIST SP 800-63B, telefonia sare publikoaren bidezko banda kanpoko egiaztapena (SMS edo ahotsa) metodo mugatutzat sailkatzen duena, kategoria horrek dakartzan arrisku ebaluazio, erabiltzaileei jakinarazteko eta migrazio plana izateko betebeharrekin · FIDO/U2F eta WebAuthn espezifikazioak, eta jatorriaren (domeinuaren) egiaztapena sinatzeko unean · RFC 6238 (TOTP) · SIM swappingaren kasu publikoak, prentsan eta epai prozeduretan zabal dokumentatuak.

← Blogera itzuli