SSP Editorial Team

Mobilne 2FA: dobrze i źle zrobione

·8 min czytania·Autor: SSP Editorial Team
Okładka SSP Academy do przewodnika po mobilnym uwierzytelnianiu dwuskładnikowym, z ikonami portfela, klucza i tarczy na ciemnym tle.

Uwierzytelnianie dwuskładnikowe (2FA) to jedno z najbardziej opłacalnych usprawnień bezpieczeństwa, jakie możesz wprowadzić — ale tylko jeśli użyjesz właściwego rodzaju. Dla użytkowników kryptowalut różnica między silnym a słabym 2FA to różnica między kontem, które przetrwa zdeterminowanego napastnika, a takim, które nie. Haczyk polega na tym, że najpowszechniejsza forma 2FA — jednorazowy kod wysyłany SMS-em — jest zarazem najsłabsza. Ten przewodnik porządkuje opcje od najgorszej do najlepszej, wyjaśnia dlaczego i daje ci konkretny plan wzmocnienia kont otaczających twój portfel.

Krótkie zastrzeżenie na początek: własny model bezpieczeństwa SSP wcale nie jest „2FA” w sensie jednorazowych kodów. SSP używa multisig — dwóch niezależnych kluczy podpisujących na dwóch urządzeniach. Do tego, dlaczego to rozróżnienie ma znaczenie, jeszcze wrócimy. Najpierw kody.

Dlaczego 2FA przez SMS zawodzi użytkowników kryptowalut

Jednorazowy kod przez SMS sprawia wrażenie bezpieczeństwa: wpisujesz hasło, przychodzi sześciocyfrowa liczba, wpisujesz ją. Problem w tym, że drugi składnik — kontrola nad twoim numerem telefonu — jest znacznie łatwiejszy do ukradzenia, niż większość zakłada.

Szkody wyrządzają dwie klasy ataków:

  • Przejęcie karty SIM (SIM swapping). Napastnik przekonuje (lub przekupuje) twojego operatora, by przeniósł twój numer na kartę SIM, którą kontroluje. Gdy ma już numer, wszystkie kody SMS płyną do niego. Posiadacze kryptowalut są ulubionym celem właśnie dlatego, że łup jest duży, a transakcje nieodwracalne.
  • Przechwytywanie przez SS7. SS7 to liczący kilkadziesiąt lat protokół sygnalizacyjny, którego sieci telekomunikacyjne używają do trasowania połączeń i wiadomości. Znane słabości pozwalają dobrze wyposażonym napastnikom przechwytywać SMS-y bez dotykania twojej karty SIM.

To nie jest marginalna obawa. Amerykański Narodowy Instytut Standardów i Technologii klasyfikuje SMS jako „ograniczony” mechanizm uwierzytelniania w NIST SP 800-63B i wyraźnie odradza jego stosowanie w nowych systemach. Gdy instytucja definiująca tożsamość cyfrową mówi ci, że dana metoda odchodzi, potraktuj to jako sygnał.

2FA przez SMS i tak jest lepsze niż brak 2FA. Ale dla każdego konta, które dotyka twoich pieniędzy, powinno być ostatnim wyborem, a nie domyślnym.

Aplikacje uwierzytelniające TOTP: praktyczna podstawa

Praktyczną podstawą dla użytkowników kryptowalut jest aplikacja uwierzytelniająca TOTP — taka, która pokazuje zmieniający się co 30 sekund, rotujący sześciocyfrowy kod. TOTP definiuje RFC 6238 i jest on prawdziwym krokiem naprzód względem SMS-ów z jednego strukturalnego powodu: nie ma numeru telefonu, który można by przejąć. Kod jest generowany na twoim urządzeniu ze współdzielonego sekretu, więc przejęcie SIM i przechwytywanie przez SS7 po prostu nie mają zastosowania.

Kilka zasad czyni TOTP wyraźnie mocniejszym:

  • Używaj aplikacji, a nie SMS-a, wszędzie tam, gdzie usługa oferuje oba. Większość giełd i dostawców poczty obsługuje aplikacje uwierzytelniające.
  • Zrób kopię sekretu konfiguracyjnego, nie tylko kodów. Przy rejestracji przechowuj eksport odzyskiwania tak samo, jak chronisz każde inne wrażliwe poświadczenie.
  • W miarę możliwości trzymaj ją z dala od tego samego urządzenia, z którego się logujesz, aby jedna skompromitowana maszyna nie posiadała obu składników.

TOTP nie jest doskonały. Współdzielony sekret żyje na telefonie, więc skompromitowane urządzenie — albo jego niezabezpieczona kopia w chmurze — może ten sekret ujawnić. I co kluczowe, kod TOTP nadal może zostać wyłudzony w czasie rzeczywistym: przekonująca fałszywa strona logowania przekazuje twoje hasło i świeży sześciocyfrowy kod prosto do sesji napastnika, zanim kod wygaśnie. Dokładnie tę lukę zamyka kolejny poziom. Jeśli chcesz rozpoznawać takie fałszywe strony, przeczytaj nasz przegląd ataków phishingowych wymierzonych w użytkowników kryptowalut.

Passkey i klucze sprzętowe: odporne na phishing

Passkey w standardzie FIDO2/WebAuthn oraz sprzętowe klucze bezpieczeństwa to pierwszy poziom naprawdę odporny na phishing, a powód jest elegancki: poświadczenie jest kryptograficznie powiązane z origin (źródłem) witryny. Twój uwierzytelniacz zaloguje się wyłącznie w prawdziwej domenie, w której został zarejestrowany. Łudząco podobna strona phishingowa ma inne źródło, więc passkey po prostu odmawia odpowiedzi — nie ma sześciocyfrowego kodu do przekazania, bo nie ma żadnego kodu.

Ta właściwość liczy się bardziej niż jakakolwiek inna na liście. Zarówno SMS, jak i TOTP opierają się na tym, że człowiek odczytuje liczbę i gdzieś ją wpisuje; passkey całkowicie usuwa sekret możliwy do skopiowania przez człowieka. Napastnik, który zbuduje kopię logowania do twojej giełdy co do piksela, nie zyskuje nic, bo na wyzwanie kryptograficzne odpowiada sprzęt sprawdzający źródło za ciebie.

Sprzętowe klucze bezpieczeństwa — te fizyczne, które przykładasz lub podłączasz — oraz platformowe passkey przechowywane w bezpiecznym elemencie twojego telefonu lub komputera realizują to oba. Dla kont o wysokiej wartości klucz sprzętowy to najmocniejszy szeroko dostępny drugi składnik, jaki możesz kupić.

SSP Key to współpodpisujący, a nie kod

Oto rozróżnienie, na którym potykają się ludzie: bezpieczeństwo SSP wcale nie jest „2FA” w sensie jednorazowych kodów. To multisig.

Standardowa konfiguracja 2FA chroni logowanie do konta. SSP chroni samą transakcję. SSP używa schematu 2 z 2: jeden klucz mieszka w rozszerzeniu przeglądarki, drugi to SSP Key w twoim telefonie. Oba muszą niezależnie podpisać, zanim środki będą mogły się ruszyć. SSP Key to kryptograficzny współpodpisujący — nie sześciocyfrowa liczba, którą wpisujesz, lecz osobne urządzenie trzymające osobny klucz, które wykonuje prawdziwy podpis.

Konsekwencja jest strukturalna. Załóżmy, że napastnik w pełni kompromituje twoje rozszerzenie przeglądarki — wyłudza je phishingiem albo przejmuje maszynę, na której działa. Przy sześciocyfrowym kodzie na poziomie aplikacji ta jedna kompromitacja może wystarczyć. Przy SSP — nie: przeniesienie środków nadal wymaga niezależnego zatwierdzenia w twoim telefonie, gdzie widzisz szczegóły transakcji i podpisujesz drugim kluczem. Sama strona przeglądarki nie może niczego wysłać. Ta druga, niezależna powierzchnia podpisu jest tym, czym sześciocyfrowy kod nigdy nie będzie — kluczem, który napastnik również musi skompromitować, na innym urządzeniu, w tym samym czasie.

Żeby być precyzyjnym co do tego, co to robi, a czego nie: SSP chroni akt wydawania. Nie zastępuje dobrej higieny na kontach wokół twojego portfela. Jeśli dopiero zaczynasz z tym modelem, skonfiguruj swój pierwszy portfel SSP i sam zobacz przepływ zatwierdzania na dwóch urządzeniach.

Zabezpieczanie kont wokół twojego portfela

Twój portfel nie jest wyspą. Konta wokół niego — poczta, logowania do giełd, kopie w chmurze, menedżer haseł — często są najmiększą ścieżką do twoich środków. Napastnik, który przejmie twoją pocztę, może stamtąd zresetować połowę pozostałych logowań.

Zastosuj tę samą hierarchię do każdego z nich:

  • Poczta: passkey lub klucz sprzętowy, jeśli są dostępne; w innym razie TOTP. Nigdy wyłącznie SMS. Twoja poczta to główny przełącznik resetu wszystkiego innego.
  • Giełdy: klucz sprzętowy lub passkey do logowania; nigdy nie polegaj na SMS i wyłącz odzyskiwanie przez SMS, jeśli giełda na to pozwala.
  • Chmura i menedżer haseł: co najmniej TOTP, passkey tam, gdzie jest dostępny.
  • Operator komórkowy: dodaj PIN przenoszenia numeru lub blokadę konta, aby utrudnić próby przejęcia SIM.

Ponieważ twój telefon coraz częściej trzyma zarówno twój uwierzytelniacz, jak i twój SSP Key, traktuj go jako odrębną granicę bezpieczeństwa — mocna blokada ekranu, aktualny system operacyjny, brak aplikacji instalowanych spoza sklepów. Więcej o tym, w czym portfel skupiony na telefonie jest dobry, a w czym nie, znajdziesz w mobilne portfele kryptowalut: w czym są dobre. A gdy będziesz gotów wzmocnić wszystko za jednym razem, przejdź przez listę kontrolną samodzielnego przechowywania dla pierwszych 1000 $.

Plan ulepszenia twojego 2FA

Nie musisz robić tego wszystkiego naraz. Pracuj z góry na dół według wartości:

  1. Inwentaryzacja. Wypisz każde konto, które może dotknąć twoich pieniędzy lub zresetować inne konto: najpierw poczta, potem giełdy, następnie chmura i menedżer haseł.
  2. Zlikwiduj tylko-SMS. Wszędzie tam, gdzie SMS jest twoim jedynym drugim składnikiem, dodaj mocniejszą metodę i usuń SMS jako ścieżkę odzyskiwania, gdzie usługa na to pozwala.
  3. Dodaj TOTP wszędzie, gdzie jest oferowany. To twoja podstawa; natychmiast zamyka luki przejęcia SIM i SS7.
  4. Podnieś swoje najważniejsze konta do passkey lub klucza sprzętowego. Najpierw poczta i giełdy — to konta, których strona phishingowa pragnie najbardziej.
  5. Zablokuj operatora. Ustaw PIN przenoszenia numeru, aby obcy nie mógł przenieść twojego numeru.
  6. Sprawdzaj co kwartał. Opcje uwierzytelniania się zmieniają; usługa, która rok temu miała tylko SMS, może teraz obsługiwać passkey.

Program „Secure Our World” agencji CISA publikuje napisane prostym językiem wskazówki, którymi warto podzielić się z mniej technicznymi członkami rodziny — zobacz CISA.

Działaj dalej

Silne 2FA to jedna warstwa. Chroni drzwi wokół twojego portfela; multisig SSP chroni samo wydawanie. Razem usuwają pojedyncze punkty awarii, na których łapie się większość ludzi.

Buduj dalej od tego miejsca:

Udostępnij ten artykuł

Powiązane artykuły

Ilustracja krok po kroku konfigurowania portfela SSP na telefonie i w przeglądarce

Konfiguracja pierwszego portfela SSP

Przewodnik krok po kroku po SSP Wallet: instalacja aplikacji i rozszerzenia, parowanie urządzeń, portfel 2-of-2 i pierwsza transakcja.

6 min read
Okładka SSP Academy do poradnika dla początkujących o mobilnych portfelach kryptowalut i SSP Key

Mobilny portfel kryptowalut: zalety, ryzyka i SSP Key

Co mobilne portfele kryptowalut robią dobrze — stały dostęp, odblokowanie biometryczne, skan QR —, gdzie zawodzą i jak wpisuje się w to SSP Key.

7 min read
Okładka działu bezpieczeństwa SSP z ikonami portfela, klucza, tarczy i układu scalonego, ilustrująca przewodnik po atakach phishingowych na krypto.

Ataki phishingowe na użytkowników krypto (i jak je rozpoznać)

Phishing krypto celuje w Ciebie, nie w kryptografię. Naucz się wzorców — drainery portfeli, phishing zatwierdzeń, zatruwanie adresów — i jak pomaga SSP.

7 min read