Taggat med: tvåfaktorsautentisering

Facebook stödjer nu inloggning med säkerhetsnyckel (U2F)

Facebook meddelade precis att de nu stödjer tvåfaktorsautentisering med hjälp av en hårdvarunyckel. Det är nycklar som stödjer standarden FIDO U2F som är utvecklad av Google samt svenska företaget Yubico.

En Yubikey U2F från Yubico kostar 160kr och går att beställas från Yubicos hemsida (tillkommer frakt på cirka 50kr). Förutom Facebook så stödjer även populära tjänster såsom Dropbox, Salesforce, och Google U2F-enheter sedan tidigare.

Har du en mobiltelefon med Android och NFC stöd så finns det dock ett antal möjligheter för inloggning eftersom dessa enheter oftast inte har USB.

Bild på en Yubikey U2F från Yubico:

 

Nya lösenordsrekommendationer från NIST: Ju längre desto bättre

nist

Den amerikanska myndigheten NIST släppte nyligen uppdaterade rekommendationer gällande hantering av lösenord. Dessa uppdaterade rekommendationer kommer precis lagom till det att SVT Dold uppdagat att massor av läckta lösenord och användaruppgifter finns på nätet att tanka ner. Många av dessa läckta lösenord är så klart hashade eller krypterade som i fallet med Adobe (läs här hur du knäcker lösenord).

Dessa nya rekommendationer från NIST innehåller bl.a. att användare ska ges möjlighet att välja lösenord upp till 64 tecken. Även ska lösenord tillåtas att innehålla specialtecken såsom unicode, space och emojis.

En annan bra sak är att rekommendationerna från NIST anser att du bör kontrollera de lösenord som användaren anger mot listor med vanligt förekommande lösenord. Samt så bör du ta bort password hints och Knowledge-based authentication (KBA) såsom frågor ”din moders ogifta efternamn”, ”din förstfödde hunds bästa kompis”.

Minst 32 bitar slumpad salt ska användas samt en hashfunktion godkänd av NIST såsom PBKDF2 och med minst 10,000 iterationer.

Dokumentet innehåller även en hel del andra vettiga saker såsom att SMS för 2FA inte bör användas (troligtvis pga SS7 attacker och nummerportabilitet).

Avsnitt 2 av SVT Dold kan du se här: www.svtplay.se/video/11171365/dold/dold-sasong-2-avsnitt-2

Ny attack mot Googles tvåfaktorsautentisering (2FA)

Google 2fa

En ny attack som försöker lura användare att skicka vidare sin unika 2FA-inloggningskod (token) har uppdagats av Alex MacCaw på Clearbit. Just denna attack försöker lura användare av Googles tjänster såsom Gmail.

Allt eftersom fler och fler börjar att använda 2FA så kommer även denna typ av attacker att bli allt vanligare.

Skärmdump på hur meddelandet kan se ut:

Google 2FA Attack

Till Android har det även rapporterats tidigare om skadlig kod som automatiskt kan skicka vidare SMS. Detta skrev ESET om i Mars 2016.

💳 Detta är nytt i PCI DSS v3.2

PCI DSSKreditkorts-standarden PCI DSS släpptes nytt i en version 3.2. Denna nya version innehåller en hel del intressanta saker som vi listat nedan. Uppdateringen bygger på feedback från de cirka 700 medlemsorganisationerna som använder sig av standarden och tillhandahåller kortbetalningar.

Ett annat underlag till denna uppdatering är analyser av de läckage av kreditkortsnummer som inträffat. Övriga branscher kan ta och lära en hel del från PCI DSS standarden som funnits sedan 2004.

Nyheterna i PCI DSS version 3.2

  • Tvåfaktorsautentisering blir flerfaktorsautentisering. Dvs minst två faktorer ska användas. Och detta ska användas för icke console-access samt fjärrinloggningar
  • Penetrationstester ska utföras minst var 6:de månad
  • Nytt avsnitt dedikerat till SSL/TLS
  • Regler hur kreditkortsnummer får visas upp
  • Kvartalsvis genomgång att personal följer säkerhetspolicys och operativa förfaranden
  • Att ha en process för att identifiera och rapportera fel i kritiska säkerhetssystem såsom brandväggar, IDS:er, loggning etc
  • Ledningen ska ha tydliga uppgifter när det gäller att skydda kreditkortsdata samt ta fram ett PCI compliance program
  • Dokumentation över krypto-algoritmer som används, hardware security modules (HSM) eller andra Secure Cryptographic Devices (SCD)
  • Dokumentation över nycklar och dess livslängder samt hur nycklarna används

PCI står för Payment Card Industry och DSS står för Data Security Standard. Och den gamla versionen 3.1 upphör att gälla 31 Oktober 2016. Dock är alla nyheter i version 3.2 enbart best practices fram till Februari, 2018 för att alla organisationer ska hinna ställa om.

Här kan du ladda hem Requirements and Security Assessment Procedures PCI DSS 3.2 som PDF:

PCI DSS v3.2

Google Authenticator för Android

Googles program för att skapa tvåfaktorsnycklar har kommit i en ny version till Android. Denna nya version stödjer bl.a. NFC och Android Wear-enheter såsom klockar etc.

NFC Security key baseras på FIDO Universal 2nd Factor (U2F) protokollet vilket är ett öppet protokoll.

Och svenska Yubikey NEO från Yubico stödjer detta protokoll.


Här finnes appen på Google Play:

play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

Och denna video förklarar tvåfaktorsautentisering bra:

📱 Apple genomför säkerhetshöjande åtgärder

Apple säkerhet

Apple meddelande på det senaste WWDC-eventet att de nu avser att genomföra ett antal säkerhetshöjande åtgärder inom snar framtid eller i iOS 9 som nu är ute i beta-version.

Några av dessa åtgärder omfattar följande fyra:

1. HTTPS som standard i Appar – Appar nu måste specifikt be om tillstånd för att använda http. Detta är som ett led att få alla appar att köra krypterad kommunikation över https. Denna åtgärd gäller från och med iOS version 9.

2. Förbättrad PIN – Den som använder PIN-kod för att låsa sin iPhone etc måste nu använda minst 6 siffror i sin kod istället för 4 som var standard tidigare. Detta ökar sökrymden från 10000 till en miljon olika kombinationer för den som försöker forcera koden. Att använda siffror som PIN-kod kommer dock fortfarande inte att krävas.

Och för den som vill höja säkerheten mer bör stänga av funktionen ”enkelt lösenord” och istället använda ett lösenord bestående av både siffror och bokstäver. Läs även vad Anne-Marie Eklund-Löwinder skrev om hur man skapar ett bra lösenord här.

3. 2FA – Nytt gränssnitt för tvåfaktorsautentisering som kopplar inloggningen mot en fysisk plats för inloggningsgodkännande:

iCloud 2FA4. VPN API – Detta är en synnerligen intressant ny funktion. Med detta nya API för VPN-anslutningar så medges appar att skapa up VPN och krypterade proxyanslutningar vilket troligtvis öppnar upp för Tor och OpenVPN. Även så har OpenVPN fått förhandsåtkomst till detta API som nu öppnas upp för alla (se appen OpenVPN Connect).

Även så har Cisco AnyConnect använt detta odokumenterade API sedan många år.

 

Apple börjar med tvåfaktorsautentisering

Sent som sider så börjar även Apple med tvåfaktorsautentisering. Facebook, Google och Dropbox erbjuder tvåfaktorsautentisering sedan en tid tillbaka och nu tar även Apple steget ut att erbjuda sina kunder säkrare inloggning.

Apple använder sig av engångskoder som skickas ut via SMS men fungerar enbart i USA, England, Australiem, Irland eller New Zeeland i dagsläget.

Apple_tvåfaktor

Läs här hur du går tillväga för att slå på tvåfaktorsautentisering på ditt AppleID:

Vikten av stark autentisering

Via CERT-SE hittar vi följande bra inlägg om vikten av att skydda sina kontouppgifter.

Graham Cluley skriver att det är viktigt att skydda kontouppgifter och använda stark autentisering (om möjligt) till sociala mediewebbplatser, som till exempel Facebook och Twitter.

Just a username/password combination isn’t enough when a social media account is an important part of your business or public image.

Det gäller i allra högsta grad myndigheter och företag som använder sig av sociala medier för att kommunicera med medborgare. Man bör noga utvärdera eventuella risker med att använda kommunikationsplattformar som saknar möjlighet till stark autentisering och där man kan få problem med att mitigera effekterna om inloggningsuppgifter skulle hamna på avvägar.

Artikeln som CERT-SE rekommenderar finns att läsa här: http://nakedsecurity.sophos.com/2012/04/16/hyatt-acai-berry/ och vi har även skrivit om Facebook och dess tvåfaktorsautentisering här.

Facebook inför tvåfaktorsautentisering

För en tid sedan så införde Facebook stöd för att tvinga fram https och nu höjer man säkerheten ännu mer genom att erbjuda tvåfaktorsautentisering för användare.

Så här går du till väga för att aktivera tvåfaktorsautentisering på ditt Facebook-konto:

  • Klicka på Konto -> Kontoinställningar -> Kontosäkerhet

Där bör du se något liknande:

Där kryssar du i rutan och trycker på spara så får du sedan ett SMS innehållandes en engångskod (bekräftelsekod) till det mobilnummer som du troligtvis angett tidigare:

Och sedan är allt klart:

Glöm inte även att läsa hur du ställer in https på Facebook här.

Google inför tvåfaktorsautentisering

Om du har en mobiltelefon som stödjer Android eller är av typen iPhone eller BlackBerry samt är betalande kund hos Google, dvs använder Google Apps så kan du nu införa tvåfaktorsautentisering. Det är med hjälp av programvaran Google Authenticator som detta möjliggörs.

Här är en skärmdump på den tidsbegränsade engångskoden som genereras:

För mer information se Googles hjälpavsnitt eller dess blogg.