Taggat med: tvåfaktorsautentisering

Reddit hackade

Reddit som är en av världens största webbsajter (plats 6 enligt Alexa) har hackats. Intrånget genomfördes via tvåfaktors-återställningskoder som skickas ut via SMS. Denna typ av tillvägagångssätt blir vanligare och vanligare vilket har fått NIST att ej längre rekommendera just 2FA-återställning via SMS, vilket jag skrev om 2016.

Antagonisten som hackade Reddit kom åt nya E-postadresser, gällande en sammanfattning som skickades ut. Samt en databas med användarnamn och lösenord från 2007.

Om du använder Reddit och har samma användarnamn och lösenord sedan 2007 så kommer Reddit att varna dig. Jag tycker dock att Reddit ändå bör skicka ut en varning till samtliga användare eftersom lösenord kan användas på flera sajter.

Reddit har även anställt en Head of Security samt söker personal till flertalet befattningar såsom:

Mer info hos Reddit i /announcements.

Twitter läckte lösenord

Twitter gick ut med ett meddelande till samtliga 300+ miljoner användare gällande att lösenord har läckt. Samtliga lösenord på mikrobloggen Twitter är hashade med algoritmen bcrypt, men har nu läckt i ett internt system och därför uppmanas alla användare byta sina lösenord. Lösenorden i klartext har enbart varit tillgängliga i en intern loggfil som enbart varit tillgänglig för anställda.

Twitter skriver på sin blogg:

“Due to a bug, passwords were written to an internal log before completing the hashing process,” he continued. “We found this error ourselves, removed the passwords, and are implementing plans to prevent this bug from happening again.”

Följande rekommendationer kommer från Twitter gällande lösenord:

  1. Byt ditt lösenord på Twitter och andra tjänster om du haft samma lösenord
  2. Använd ett starkt lösenord och återanvänd inte detta lösenord på andra tjänster
  3. Använd tvåfaktorsautentisering
  4. Använd en lösenordshanterare som ser till att du använder starka och unika lösenord för alla dina tjänster

Skärmdump på meddelandet som visas till samtliga användare:

Facebook stödjer nu inloggning med säkerhetsnyckel (U2F)

Facebook meddelade precis att de nu stödjer tvåfaktorsautentisering med hjälp av en hårdvarunyckel. Det är nycklar som stödjer standarden FIDO U2F som är utvecklad av Google samt svenska företaget Yubico.

En Yubikey U2F från Yubico kostar 160kr och går att beställas från Yubicos hemsida (tillkommer frakt på cirka 50kr). Förutom Facebook så stödjer även populära tjänster såsom Dropbox, Salesforce, och Google U2F-enheter sedan tidigare.

Har du en mobiltelefon med Android och NFC stöd så finns det dock ett antal möjligheter för inloggning eftersom dessa enheter oftast inte har USB.

Bild på en Yubikey U2F från Yubico:

 

Nya lösenordsrekommendationer från NIST: Ju längre desto bättre

Den amerikanska myndigheten NIST släppte nyligen uppdaterade rekommendationer gällande hantering av lösenord. Dessa uppdaterade rekommendationer kommer precis lagom till det att SVT Dold uppdagat att massor av läckta lösenord och användaruppgifter finns på nätet att tanka ner. Många av dessa läckta lösenord är så klart hashade eller krypterade som i fallet med Adobe (läs här hur du knäcker lösenord).

Dessa nya rekommendationer från NIST innehåller bl.a. att användare ska ges möjlighet att välja lösenord upp till 64 tecken. Även ska lösenord tillåtas att innehålla specialtecken såsom unicode, space och emojis.

En annan bra sak är att rekommendationerna från NIST anser att du bör kontrollera de lösenord som användaren anger mot listor med vanligt förekommande lösenord. Samt så bör du ta bort password hints och Knowledge-based authentication (KBA) såsom frågor ”din moders ogifta efternamn”, ”din förstfödde hunds bästa kompis”.

Minst 32 bitar slumpad salt ska användas samt en hashfunktion godkänd av NIST såsom PBKDF2 och med minst 10,000 iterationer.

Dokumentet innehåller även en hel del andra vettiga saker såsom att SMS för 2FA inte bör användas (troligtvis pga SS7 attacker och nummerportabilitet mellan operatörer).

Avsnitt 2 av SVT Dold kan du se här: www.svtplay.se/video/11171365/dold/dold-sasong-2-avsnitt-2

Uppdatering: SVT har av någon anledning tagit bort avsnittet.

Ny attack mot Googles tvåfaktorsautentisering (2FA)

Google 2fa

En ny attack som försöker lura användare att skicka vidare sin unika 2FA-inloggningskod (token) har uppdagats av Alex MacCaw på Clearbit. Just denna attack försöker lura användare av Googles tjänster såsom Gmail.

Allt eftersom fler och fler börjar att använda 2FA så kommer även denna typ av attacker att bli allt vanligare.

Skärmdump på hur meddelandet kan se ut:

Google 2FA Attack

Till Android har det även rapporterats tidigare om skadlig kod som automatiskt kan skicka vidare SMS. Detta skrev ESET om i Mars 2016.

💳 Detta är nytt i PCI DSS v3.2

PCI DSSKreditkorts-standarden PCI DSS släpptes nytt i en version 3.2. Denna nya version innehåller en hel del intressanta saker som vi listat nedan. Uppdateringen bygger på feedback från de cirka 700 medlemsorganisationerna som använder sig av standarden och tillhandahåller kortbetalningar.

Ett annat underlag till denna uppdatering är analyser av de läckage av kreditkortsnummer som inträffat. Övriga branscher kan ta och lära en hel del från PCI DSS standarden som funnits sedan 2004.

Nyheterna i PCI DSS version 3.2

  • Tvåfaktorsautentisering blir flerfaktorsautentisering. Dvs minst två faktorer ska användas. Och detta ska användas för icke console-access samt fjärrinloggningar
  • Penetrationstester ska utföras minst var 6:de månad
  • Nytt avsnitt dedikerat till SSL/TLS
  • Regler hur kreditkortsnummer får visas upp
  • Kvartalsvis genomgång att personal följer säkerhetspolicys och operativa förfaranden
  • Att ha en process för att identifiera och rapportera fel i kritiska säkerhetssystem såsom brandväggar, IDS:er, loggning etc
  • Ledningen ska ha tydliga uppgifter när det gäller att skydda kreditkortsdata samt ta fram ett PCI compliance program
  • Dokumentation över krypto-algoritmer som används, hardware security modules (HSM) eller andra Secure Cryptographic Devices (SCD)
  • Dokumentation över nycklar och dess livslängder samt hur nycklarna används

PCI står för Payment Card Industry och DSS står för Data Security Standard. Och den gamla versionen 3.1 upphör att gälla 31 Oktober 2016. Dock är alla nyheter i version 3.2 enbart best practices fram till Februari, 2018 för att alla organisationer ska hinna ställa om.

Här kan du ladda hem Requirements and Security Assessment Procedures PCI DSS 3.2 som PDF:

PCI DSS v3.2

Google Authenticator för Android

Googles program för att skapa tvåfaktorsnycklar har kommit i en ny version till Android. Denna nya version stödjer bl.a. NFC och Android Wear-enheter såsom klockar etc.

NFC Security key baseras på FIDO Universal 2nd Factor (U2F) protokollet vilket är ett öppet protokoll.

Och svenska Yubikey NEO från Yubico stödjer detta protokoll.


Här finnes appen på Google Play:

play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

Och denna video förklarar tvåfaktorsautentisering bra:

📱 Apple genomför säkerhetshöjande åtgärder

Apple säkerhet

Apple meddelande på det senaste WWDC-eventet att de nu avser att genomföra ett antal säkerhetshöjande åtgärder inom snar framtid eller i iOS 9 som nu är ute i beta-version.

Några av dessa åtgärder omfattar följande fyra:

1. HTTPS som standard i Appar – Appar nu måste specifikt be om tillstånd för att använda http. Detta är som ett led att få alla appar att köra krypterad kommunikation över https. Denna åtgärd gäller från och med iOS version 9.

2. Förbättrad PIN – Den som använder PIN-kod för att låsa sin iPhone etc måste nu använda minst 6 siffror i sin kod istället för 4 som var standard tidigare. Detta ökar sökrymden från 10000 till en miljon olika kombinationer för den som försöker forcera koden. Att använda siffror som PIN-kod kommer dock fortfarande inte att krävas.

Och för den som vill höja säkerheten mer bör stänga av funktionen ”enkelt lösenord” och istället använda ett lösenord bestående av både siffror och bokstäver. Läs även vad Anne-Marie Eklund-Löwinder skrev om hur man skapar ett bra lösenord här.

3. 2FA – Nytt gränssnitt för tvåfaktorsautentisering som kopplar inloggningen mot en fysisk plats för inloggningsgodkännande:

iCloud 2FA4. VPN API – Detta är en synnerligen intressant ny funktion. Med detta nya API för VPN-anslutningar så medges appar att skapa up VPN och krypterade proxyanslutningar vilket troligtvis öppnar upp för Tor och OpenVPN. Även så har OpenVPN fått förhandsåtkomst till detta API som nu öppnas upp för alla (se appen OpenVPN Connect).

Även så har Cisco AnyConnect använt detta odokumenterade API sedan många år.

 

Apple börjar med tvåfaktorsautentisering

Sent som sider så börjar även Apple med tvåfaktorsautentisering. Facebook, Google och Dropbox erbjuder tvåfaktorsautentisering sedan en tid tillbaka och nu tar även Apple steget ut att erbjuda sina kunder säkrare inloggning.

Apple använder sig av engångskoder som skickas ut via SMS men fungerar enbart i USA, England, Australiem, Irland eller New Zeeland i dagsläget.

Apple_tvåfaktor

Läs här hur du går tillväga för att slå på tvåfaktorsautentisering på ditt AppleID:

Vikten av stark autentisering

Via CERT-SE hittar vi följande bra inlägg om vikten av att skydda sina kontouppgifter.

Graham Cluley skriver att det är viktigt att skydda kontouppgifter och använda stark autentisering (om möjligt) till sociala mediewebbplatser, som till exempel Facebook och Twitter.

Just a username/password combination isn’t enough when a social media account is an important part of your business or public image.

Det gäller i allra högsta grad myndigheter och företag som använder sig av sociala medier för att kommunicera med medborgare. Man bör noga utvärdera eventuella risker med att använda kommunikationsplattformar som saknar möjlighet till stark autentisering och där man kan få problem med att mitigera effekterna om inloggningsuppgifter skulle hamna på avvägar.

Artikeln som CERT-SE rekommenderar finns att läsa här: http://nakedsecurity.sophos.com/2012/04/16/hyatt-acai-berry/ och vi har även skrivit om Facebook och dess tvåfaktorsautentisering här.