Authy-Vertrauenskette für hinzugefügte Geräte – Authy

In letzter Zeit haben wir eine Reihe von Nachrichten zum SIM-Austausch erhalten. Hier nutzen Hacker die Einschränkungen mobiler Geräte und die SMS-basierte Kommunikation, um Identitätsdiebstahl oder Kontenübernahmen zu begehen. Es gab sogar einige Fragen dazu, ob Authentifizierungs-Apps, die sich für die Token-Zustellung nicht auf SMS stützen, ebenfalls anfällig sind. Oder ob ein SIM-Tausch es einem Hacker ermöglichen würde, die Kontrolle über eine Telefonnummer zu übernehmen und eine Authentifizierungs-App zu installieren, um Zugriff auf ein bereits geschütztes Online-Konto zu erhalten.

Twilio bietet jetzt Tools, mit denen unsere Authentifizierungskunden dieses Problem lösen können. Zusammen bilden die Authy-Authentifizierungs-API und die kostenlose Authy 2FA-App eine Vertrauenskette, mit der Twilio / Authy-Kunden bestimmen können, welchen Endbenutzer-Apps für die Authentifizierung vertraut werden soll. Sie zeichnen die jeder installierten App zugewiesenen, eindeutig identifizierbaren Nummern sowie die Reihenfolge der App-Installationen und die Installationsmethoden auf. Über die Authy-Status-API können Twilio-Authentifizierungskunden ihre Benutzer rund um die Uhr schützen, indem sie jeden Authentifizierungsversuch untersuchen, um sofort zu entscheiden, welche vertrauenswürdig sind.

Lerne Bob kennen
Bob, der in die Welt von Bitcoin eintaucht, beschließt, ein Konto bei der Gemini-Börse zu eröffnen, damit er Kryptowährungen kaufen, verkaufen und sicher aufbewahren kann. Wenn er sich für sein neues Gemini-Konto anmeldet, wird er aufgefordert, auch die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Gemini verwendet Twilios Authy-API für 2FA. Da Bob Authy noch nie verwendet hat, lädt er die kostenlose Authy-App herunter und installiert sie auf seinem iPhone. Dabei muss Bob seine Identität gegenüber der App mithilfe eines Einmalkennworts (OTP) per SMS oder Sprachnachricht authentifizieren.

Zu diesem Zeitpunkt hat Bob 2FA als Teil seiner Anmeldung bei Gemini aktiviert. Dabei zeichnet Gemini auf, dass Authy auf Bobs iPhone installiert wurde, und betrachtet es als das ursprünglich vertrauenswürdige Gerät. Außerdem weiß Gemini, dass die Authy-API ihm eine AuthyID zugewiesen hat. Nehmen wir für die Zwecke dieses Artikels an, dass die angegebene ID "1111" lautet und das Erstellungsdatum 01.01.2013 hat.

Etwa einen Monat später erfährt Bob, dass Authy den zusätzlichen Komfort bietet, sich von mehreren Geräten aus zu authentifizieren. Er entscheidet, dass er Authy auf seinem iPad verwenden möchte, und installiert es dort. Um Authy auf seinem iPad zu aktivieren, hat Bob die Möglichkeit, "Push" als Authentifizierungsmethode auszuwählen. Bei Auswahl dieser Option erhält die Authy-App auf seinem ersten vertrauenswürdigen Gerät, seinem iPhone, eine Push-Benachrichtigung, die ihn dazu veranlasst, die Installation von Authy auf seinem iPad zu genehmigen. Die Authy-API weist diesem Gerät die AuthyID „2222“ und ein Erstellungsdatum vom 02.02.2013 zu. Außerdem wird gemeldet, dass die Geräte-ID 2222 per Push-Benachrichtigung registriert wurde, und AuthyID 1111 wird als genehmigendes Gerät aufgeführt.

Wenn Bob sich das nächste Mal bei Gemini anmeldet und sich mit Authy authentifiziert, überprüft die Authy-API, woher das Authentifizierungstoken (auch als zeitbasiertes Einmalkennwort (TOTP) bezeichnet) stammt. Wenn Bob sein iPhone verwendet, überprüft Gemini die Geräte-ID und erkennt anhand des Erstellungsdatums, dass es sich um die erste Instanz von Authy auf Bobs Konto handelt. Daher kann es für die Authentifizierung als vertrauenswürdig eingestuft werden.

Wenn Bob sein iPad zur Authentifizierung verwendet hat, wird eine rote Flagge angezeigt, da Gemini noch nie zuvor gesehen hat, dass dieses Gerät von Bob zur Authentifizierung verwendet wird. Bevor die Authentifizierung zugelassen wird, überprüft Gemini sowohl die Geräte-ID (2222) als auch, wie das Gerät registriert wurde. Es erkennt, dass das iPad über Push bei Authy registriert und von einem bekannten Gerät (1111, Bobs iPhone) genehmigt wurde, nachdem das bekannte Gerät registriert wurde. Mit diesen Daten kommt Gemini zu dem Schluss, dass das iPad von Bob zur Liste der vertrauenswürdigen Geräte hinzugefügt werden kann und dass sich Bob erfolgreich anmelden kann.

Treffen Sie jetzt Eva
Eva ist eine Hackerin. Und keine ethische. Sie ist hinter Kryptos her und hat sich entschlossen, niedrig hängende Obstanfänger wie Bob anzugreifen. Da Bob dazu neigt, Kennwörter wiederzuverwenden, vermutete Eve, dass sein Zwillinge-Benutzername und sein Kennwort mit denen identisch sind, die kürzlich bei einem Datenverstoß in einem sozialen Netzwerk bekannt wurden. Durch einen SIM-Tausch übernahm Eve auch die Telefonnummer von Bob.

Eve weiß wahrscheinlich, dass Gemini bei der Geräteinstallation SMS nicht vertraut und verlässt sich stattdessen bei der Benutzerauthentifizierung auf die überlegene Sicherheit von Authy. Sie hat keinen Zugriff auf eines von Bobs Geräten, daher lädt Eve eine Kopie von Authy auf ein Android-Handy herunter und installiert sie. Dann registriert sie es per SMS, genau wie Bob es auf seinem iPhone getan hat. Authy zeichnet dies als neues Gerät, als Android-Gerät, auf und weist ihm die AuthyID „3333“ mit dem Erstellungsdatum 01.03.2013 zu. Es wird auch aufgezeichnet, dass dieses Gerät per SMS registriert wurde.

Eve versucht, sich mit den gestohlenen Anmeldeinformationen und ihrer Authy-App bei Bobs Gemini-Konto anzumelden. Genau wie bei der Anmeldung von Bob bei Gemini mit seinem iPad ist die Authy-API mit dieser Instanz von Authy, die mit dem Konto von Bob verknüpft ist, nicht vertraut.

Gemini überprüft diese Geräte-ID (3333), das Registrierungsdatum (1. März) und die Registrierungsmethode (SMS) für diesen Authentifizierungsversuch. Das Unternehmen stellt fest, dass dies weder das erste Gerät ist, das authentifiziert wird, noch dass es von einem anderen vertrauenswürdigen Gerät genehmigt wurde. Daher gibt es in der Kette kein Zurück zu einem der bereits vertrauenswürdigen Geräte von Bob. Eves Android ist nicht vertrauenswürdig. Zu diesem Zeitpunkt sendet Gemini eine E-Mail an Bob und fragt, ob dieses Gerät genehmigt werden soll.

Authy erinnert sich
Eve gibt nicht auf und versucht, diese Vertrauenskette zu umgehen. Dieses Mal installiert sie Authy auf einem Android-Tablet und antwortet auf eine Push-Benachrichtigung, um die Genehmigung über ihr Android-Telefon zu erteilen. Dies generiert eine weitere AuthyID – "4444" – mit der Notation, dass sie über Push registriert wurde. Bei dem Versuch, ihre Spuren zu verwischen, könnte Eve sogar die Authy-App auf ihrem Android-Tablet verwenden, um die Geräte-ID 3333, ihr Android-Telefon, zu entfernen. Die Authy-API merkt sich jedoch immer noch das vorherige nicht vertrauenswürdige Gerät, und dieses neue Gerät, das über die Registrierungsdaten wieder mit dem nicht vertrauenswürdigen Gerät verknüpft wird, ist eine Sackgasse.

Zurück zu Bob
Zu diesem Zeitpunkt hat Bob auf die E-Mail von Gemini geantwortet und ihnen mitgeteilt, dass er nicht versucht hat, sich anzumelden. Seitdem ist er zu seinem Konto zurückgekehrt, hat seine Anmeldeinformationen eingegeben und sein zweites vertrauenswürdiges Gerät – sein iPad – verwendet, um sich erfolgreich zu authentifizieren und Zugriff zu erhalten. Nachdem er sein Passwort geändert hat, kann sich Bob entspannen und weiß, dass Gemini seine Kryptos sicher verwahrt. Bob kann sich auch einen Moment Zeit nehmen, um den Zugriff über sein mit SIM ausgetauschtes iPhone zu widerrufen und ein anderes Gerät hinzuzufügen, wenn er möchte. Authy empfiehlt, dass Benutzer das Kontrollkästchen "Multi-Gerät zulassen" auf beiden Geräten auf AUS setzen, um zukünftige Angreifer daran zu hindern, betrügerische Authy-Apps nur mit einem SMS- oder Sprachanruf zu installieren.

Anhand der Reihenfolge der App-Installationen in Kombination mit den Installationsmethoden wurde eine Vertrauenskette eingerichtet, anhand derer Gemini ermitteln kann, welchen App-Installationen sie vertrauen können und welchen nicht.

Kurz gesagt, Folgendes sollte ein Twilio-Authentifizierungskunde wissen:

• Wenn ein SMS-basiertes Einmalpasswort (OTP) übergeben wird, Es wird keine Risikobeurteilung vorgenommen (es sei denn, dem Benutzerkonto ist bereits ein Gerät zugewiesen).
• Wenn ein zeitbasiertes Einmalkennwort (TOTP) von einem bekannten und vertrauenswürdigen Gerät aus vergeben wird, Erlaube den Login.
• Wenn ein TOTP von einem unbekannten Gerät bereitgestellt wird und SMS oder Telefonanruf die Geräteregistrierungsmethode ist, Vertraue dem Gerät nicht und kontaktieren Sie den Kontoinhaber für die Ablehnung / Genehmigung des Kontos. Es ist jedoch hilfreich, die IP des unbekannten Geräts zu überprüfen, um festzustellen, ob sie mit einer zuvor vom Benutzer verwendeten IP übereinstimmt.
• Wenn Push-Benachrichtigung an ein bereits vertrauenswürdiges Gerät die Registrierungsmethode ist, Vertrauen Sie diesem neuen Gerät. Die Push-Benachrichtigung ist eine sicherere Methode zur Genehmigung des Hinzufügens neuer Geräte.