블록체인의 안전한 2FA로 이동

SMS 메시지는 2단계 인증(XNUMXFA)의 가장 널리 사용되는 방법입니다. 이는 은행, 전자 및 암호화폐 지갑, 사서함 및 모든 종류의 서비스에서 사용됩니다. 메소드 사용자 수가 100%에 가까워지고 있습니다..

이 방법은 안전하지 않기 때문에 나는 이 시나리오에 분개합니다. 한 SIM 카드에서 다른 SIM 카드로 번호를 재할당하는 것은 모바일 시대 초기부터 시작되었습니다. 이는 SIM 카드를 분실했을 때 번호가 복원되는 방법입니다. '디지털 화폐 도난 전문가'는 'SIM 카드 다시 쓰기' 옵션이 사기 행위에 사용될 수 있다는 사실을 깨달았습니다. 결국 SIM 카드를 통제하는 사람은 다른 사람의 온라인 뱅킹, 전자 지갑, 심지어 암호화폐까지 통제할 수 있습니다. 그리고 통신사 직원에게 뇌물을 주거나 기만, 문서 위조 등을 통해 타인의 번호를 점유할 수도 있습니다.

이 사기 수법이라고 불리는 SIM 교환에 대한 수천 건의 에피소드가 밝혀졌습니다. 재난의 규모로 볼 때 세계는 곧 SMS를 통한 2FA를 포기할 것입니다. 하지만 이런 일은 일어나지 않습니다. 연구하다 2FA 방식을 선택하는 것은 사용자가 아니라 서비스 소유자라고 합니다.

우리는 블록체인을 통해 일회성 코드를 전달하는 안전한 2FA 방식을 사용할 것을 제안하고, 서비스 소유자가 이를 연결할 수 있는 방법을 알려드리겠습니다.

그 수는 수백만에 달합니다.

런던 경찰에 따르면 2019년 SIM 교환 사기는 63% 증가했으며 공격자의 "평균 청구액"은 4,000GBP였습니다. 러시아에서는 통계를 찾지 못했지만 더 나쁠 것이라고 생각합니다.

SIM 스와핑은 인기 있는 Twitter, Instagram, Facebook, VK 계정, 은행 계좌는 물론 최근에는 암호화폐까지 훔치는 데 사용됩니다. 더 타임스 신문이 보도 비트코인 기업가인 Joby Weeks에 따르면. SIM 스와핑을 이용한 암호화폐 도난 사건은 2016년부터 언론에 자주 등장했습니다. 2019년은 진정한 정점을 보였습니다.

지난 XNUMX월 미시간 동부지방검찰청 혐의를 제기하다 19세에서 26세 사이의 2,4명의 젊은이: 그들은 "커뮤니티"라고 불리는 해커 집단의 일원으로 추정됩니다. 이 갱단은 10번의 스왑 공격 혐의로 기소되었으며, 그 결과 해커들은 7.5만 달러가 넘는 암호화폐를 훔쳤습니다. 그리고 XNUMX월에는 캘리포니아 학생 조엘 오르티스(Joel Ortiz)가 SIM 교환 혐의로 징역 XNUMX년을 선고받았습니다. 그의 생산량은 암호화폐로 XNUMX만 달러였습니다.

대학 기자 회견에서 Joel Ortiz의 사진. XNUMX년 후 그는 사이버 사기 혐의로 구금될 예정이다.

SIM 교환 작동 방식

스와핑(Swaping)은 교환을 의미합니다. 이러한 모든 계획에서 범죄자는 일반적으로 SIM 카드 재발급을 통해 피해자의 전화번호를 탈취하고 이를 사용하여 비밀번호를 재설정합니다. 이론적으로 일반적인 SIM 교환은 다음과 같습니다.

1. 정보 서비스. 사기꾼은 피해자의 개인정보(이름, 전화번호)를 알아냅니다. 오픈 소스(소셜 네트워크, 친구)에서 찾을 수도 있고 모바일 운영자의 직원인 공범자로부터 받을 수도 있습니다.
2. 블로킹. 피해자의 SIM 카드가 비활성화되었습니다. 이렇게 하려면 공급자의 기술 지원에 전화하여 번호를 제공하고 전화기를 분실했다고 말하면 됩니다.
3. 캡처하여 SIM 카드로 번호를 전송하세요. 대개 통신사 공범이나 문서 위조 등을 통해서도 이뤄지는 경우가 많다.

실제 생활에서는 상황이 훨씬 더 심각합니다. 공격자는 피해자를 선택한 다음 매일 전화 위치를 추적합니다. 가입자가 로밍으로 전환한 정보를 수신하기 위한 요청 1회 비용은 2~50센트입니다. 심카드 소유자가 해외로 나가자마자 통신매장 점장과 협의해 새 심카드를 발급받는다. 비용은 약 20달러입니다(정보를 찾았습니다. 다른 국가에서, 100달러에서 XNUMX달러까지 다양한 통신업체에서 정보를 찾았습니다). 최악의 경우 관리자가 해고될 것입니다. 이에 대한 책임은 없습니다.

이제 모든 SMS는 공격자에 의해 수신되며 전화 소유자는 이에 대해 아무것도 할 수 없습니다. 그는 해외에 있습니다. 그런 다음 악당은 피해자의 모든 계정에 액세스하고 원하는 경우 비밀번호를 변경합니다.

도난당한 재산을 돌려받을 가능성

은행은 때때로 피해자를 중간에 수용하고 계좌에서 이체를 인출합니다. 따라서 범인이 발견되지 않더라도 명목화폐 반환이 가능하다. 그러나 암호화폐 지갑을 사용하면 모든 것이 더 복잡해집니다. 기술적으로, 그리고 입법적으로. 지금까지 거래소/지갑 중 스왑 피해자에게 보상을 지급한 곳은 단 한 곳도 없습니다.

피해자가 법정에서 자신의 돈을 변호하고 싶다면 운영자를 비난합니다. 운영자는 계정에서 돈을 훔칠 수 있는 조건을 만들었습니다. 그게 바로 내가 한 일이야 마이클 터핀스와핑으로 인해 224억 XNUMX만 달러의 손실을 입은 그는 현재 통신회사 AT&T를 상대로 소송을 제기하고 있습니다.

지금까지 암호화폐 소유자를 법적으로 보호하기 위한 실행 계획을 마련한 국가는 없습니다. 귀하의 자본을 보장하거나 손실에 대한 보상을 받는 것은 불가능합니다. 따라서 스왑 공격을 방지하는 것이 그 결과를 처리하는 것보다 쉽습니다. 가장 확실한 방법은 2FA에 대해 보다 안정적인 "두 번째 요소"를 사용하는 것입니다.

SIM 교환은 SMS를 통한 2FA의 유일한 문제가 아닙니다

SMS의 확인 코드는 기술적인 관점에서도 안전하지 않습니다. SS7(Signaling System 7)의 패치되지 않은 취약점으로 인해 메시지가 가로채질 수 있습니다. SMS를 통한 2FA는 공식적으로 안전하지 않은 것으로 인식됩니다(미국 국립 표준 기술 연구소(National Institute of Standards and Technology)는 이에 대해 디지털 인증 가이드).

동시에 2FA의 존재로 인해 사용자는 보안에 잘못된 느낌을 갖게 되고 더 간단한 비밀번호를 선택하게 됩니다. 따라서 이러한 인증으로 인해 계정에 대한 접근이 어려워지는 것은 아니지만 공격자가 계정에 접근하기가 더 쉬워집니다.

그리고 SMS가 오랫동안 지연되어 도착하거나 전혀 도착하지 않는 경우가 많습니다.

기타 2FA 방법

물론 그 빛은 스마트폰과 SMS로 수렴되지는 않았다. 2FA에는 다른 방법도 있습니다. 예를 들어, 일회성 TAN 코드: 원시적인 방법이지만 작동합니다. 일부 은행에서는 여전히 사용됩니다. 지문, 망막 스캔 등 생체 인식 데이터를 사용하는 시스템이 있습니다. 편의성, 신뢰성 및 가격 측면에서 합리적인 절충안으로 보이는 또 다른 옵션은 2FA: RSA 토큰, Google Authenticator를 위한 특수 애플리케이션입니다. 물리적인 키와 다른 방법도 있습니다.

이론적으로는 모든 것이 논리적이고 신뢰할 수 있어 보입니다. 그러나 실제로 최신 2FA 솔루션에는 문제가 있으며, 이로 인해 현실은 기대와 다릅니다.

에 따르면 연구, 2FA 사용은 원칙적으로 불편하며, SMS를 통한 2FA의 인기는 "다른 방법에 비해 불편함이 적다"는 이유로 설명됩니다. 일회용 코드를 받는 것은 사용자가 이해할 수 있습니다.

사용자는 많은 2FA 방법을 액세스 권한 상실에 대한 두려움과 연관시킵니다. 물리적 키나 TAN 비밀번호 목록은 분실되거나 도난당할 수 있습니다. 저는 개인적으로 Google OTP를 사용하면서 좋지 않은 경험을 했습니다. 이 애플리케이션을 사용한 첫 번째 스마트폰이 고장났습니다. 내 계정에 대한 액세스를 복원하기 위한 노력에 감사드립니다. 또 다른 문제는 새 장치로 전환하는 것입니다. Google OTP에는 보안상의 이유로 내보내기 옵션이 없습니다(키를 내보낼 수 있다면 어떤 보안이 있나요?). 일단 열쇠를 손으로 들고 다니다가 오래된 스마트폰을 선반 위의 상자에 넣어 두는 것이 더 쉽다고 판단했습니다.

2FA 방법은 다음과 같아야 합니다.

• 안전함 - 공격자가 아닌 귀하만이 귀하의 계정에 접근할 수 있어야 합니다.
• 신뢰성 - 필요할 때마다 계정에 액세스할 수 있습니다.
• 편리하고 접근 가능 - 2FA 사용이 명확하고 시간이 최소화됩니다.
• 값이 싼

우리는 블록체인이 올바른 솔루션이라고 믿습니다.

블록체인에서 2FA 사용

사용자에게 있어 블록체인의 2FA는 SMS를 통해 일회성 코드를 받는 것과 동일하게 보입니다. 유일한 차이점은 전달 채널입니다. 2FA 코드를 얻는 방법은 블록체인이 제공하는 내용에 따라 다릅니다. 우리 프로젝트(정보는 내 프로필에 있음)에서 이것은 웹 애플리케이션, Tor, iOS, Android, Linux, Windows, MacOS입니다.

이 서비스는 일회용 코드를 생성하여 블록체인의 메신저로 보냅니다. 그런 다음 고전적인 방법을 따르십시오. 사용자는 서비스 인터페이스에 수신된 코드를 입력하고 로그인합니다.

기사 분산형 메신저는 블록체인에서 어떻게 작동하나요? 저는 블록체인이 메시지 전송의 보안과 개인정보 보호를 보장한다고 썼습니다. 2FA 코드 전송 문제에 대해 다음을 강조하겠습니다.

• 한 번의 클릭으로 계정을 만들 수 있습니다. 전화나 이메일은 필요하지 않습니다.
• 2FA 코드가 포함된 모든 메시지는 end-to-end curve25519xsalsa20poly1305로 암호화됩니다.
• MITM 공격은 제외됩니다. 2FA 코드가 포함된 모든 메시지는 블록체인의 거래이며 Ed25519 EdDSA에 의해 서명됩니다.
• 2FA 코드가 포함된 메시지는 자체 블록으로 끝납니다. 블록의 순서와 타임스탬프는 수정할 수 없으므로 메시지 순서도 수정될 수 있습니다.
• 메시지의 "진위성"을 확인하는 중앙 구조는 없습니다. 이는 합의에 기반한 분산 노드 시스템에 의해 수행되며, 이는 사용자가 소유합니다.
• 비활성화할 수 없습니다. 계정을 차단할 수 없으며 메시지를 삭제할 수 없습니다.
• 언제든지 모든 기기에서 2FA 코드에 액세스하세요.
• 2FA 코드로 메시지 전달을 확인합니다. 일회용 비밀번호를 전송하는 서비스는 해당 비밀번호가 전달되었음을 확실히 알 수 있습니다. '다시 보내기' 버튼이 없습니다.

다른 2FA 방법과 비교하기 위해 다음 표를 만들었습니다.

사용자는 블록체인 메신저에서 계정을 받아 XNUMX초 만에 코드를 받습니다. 로그인에는 암호문만 사용됩니다. 따라서 신청 방법은 다를 수 있습니다. 하나의 계정을 사용하여 모든 서비스에 대한 코드를 받을 수도 있고, 각 서비스마다 별도의 계정을 만들 수도 있습니다.

불편함도 있습니다. 계정에는 최소한 하나의 거래가 있어야 합니다. 사용자가 코드가 포함된 암호화된 메시지를 받으려면 그의 공개 키를 알아야 하며, 이는 첫 번째 거래에서만 블록체인에 나타납니다. 이것이 우리가 그 상황에서 벗어날 수 있었던 방법입니다. 우리는 그들에게 지갑에서 무료 토큰을 받을 수 있는 기회를 주었습니다. 그러나 더 나은 해결책은 계정 이름을 공개 키로 지정하는 것입니다. (비교를 위해 계좌번호가 있습니다. U1467838112172792705 공개 키의 파생물입니다. cc1ca549413b942029c4742a6e6ed69767c325f8d989f7e4b71ad82a164c2ada. 메신저의 경우 이는 더 편리하고 읽기 쉽지만 2FA 코드 전송 시스템의 경우에는 제한 사항입니다. 미래에는 누군가가 그런 결정을 내려 '편의성과 접근성'을 그린존으로 옮겨갈 것이라고 생각합니다.

2FA 코드 전송 가격은 0.001 ADM으로 매우 저렴합니다. 이제 가격은 0.00001 USD입니다. 다시 말하지만, 블록체인을 높이고 가격을 XNUMX으로 만들 수 있습니다.

블록체인의 2FA를 귀하의 서비스에 연결하는 방법

몇몇 독자들이 그들의 서비스에 블록체인 인증을 추가하는 데 관심을 가질 수 있었으면 좋겠습니다.

예를 들어 메신저를 사용하여 이 작업을 수행하는 방법을 알려 드리겠습니다. 비유하자면 다른 블록체인을 사용할 수 있습니다. 2FA 데모 앱에서는 postgresql10을 사용하여 계정 정보를 저장합니다.

연결 단계:

1. 2FA 코드를 보낼 블록체인에 계정을 만드세요. 귀하는 코드로 메시지를 암호화하고 거래에 서명하기 위한 개인 키로 사용되는 암호 문구를 받게 됩니다.
2. 2FA 코드를 생성하려면 서버에 스크립트를 추가하세요. 일회용 비밀번호 전달과 함께 다른 2FA 방법을 이미 사용하고 있다면 이 단계를 이미 완료한 것입니다.
3. 블록체인 메신저에서 사용자에게 코드를 보내려면 서버에 스크립트를 추가하세요.
4. 2FA 코드를 보내고 입력하기 위한 사용자 인터페이스를 만듭니다. 일회용 비밀번호 전달과 함께 다른 2FA 방법을 이미 사용하고 있다면 이 단계를 이미 완료한 것입니다.

1 계정 생성

블록체인에서 계정을 생성한다는 것은 개인 키, 공개 키 및 파생 계정 주소를 생성하는 것을 의미합니다.

먼저 BIP39 암호가 생성되고 이로부터 SHA-256 해시가 계산됩니다. 해시는 개인 키 ks와 공개 키 kp를 생성하는 데 사용됩니다. 공개 키에서 동일한 SHA-256과 반전을 사용하여 블록체인의 주소를 얻습니다.

새 계정에서 매번 2FA 코드를 보내려면 계정 생성 코드를 서버에 추가해야 합니다.

import Mnemonic from 'bitcore-mnemonic'
this.passphrase = new Mnemonic(Mnemonic.Words.ENGLISH).toString()

…

import * as bip39 from 'bip39'
import crypto from 'crypto'

adamant.createPassphraseHash = function (passphrase) {
  const seedHex = bip39.mnemonicToSeedSync(passphrase).toString('hex')
  return crypto.createHash('sha256').update(seedHex, 'hex').digest()
}

…

import sodium from 'sodium-browserify-tweetnacl'

adamant.makeKeypair = function (hash) {
  var keypair = sodium.crypto_sign_seed_keypair(hash)
  return {
    publicKey: keypair.publicKey,
    privateKey: keypair.secretKey
  }
}

…

import crypto from 'crypto'

adamant.getAddressFromPublicKey = function (publicKey) {
  const publicKeyHash = crypto.createHash('sha256').update(publicKey, 'hex').digest()
  const temp = Buffer.alloc(8)
  for (var i = 0; i < 8; i++) {
    temp[i] = publicKeyHash[7 - i]
  }
  return 'U' + bignum.fromBuffer(temp).toString()
}

데모 애플리케이션에서는 이를 단순화했습니다. 웹 애플리케이션에서 하나의 계정을 만들고 여기에서 코드를 보냈습니다. 대부분의 경우 이는 사용자에게 더 편리합니다. 서비스가 특정 계정에서 2FA 코드를 보내고 이름을 지정할 수 있다는 것을 알고 있습니다.

2 2FA 코드 생성

각 사용자 로그인마다 2FA 코드가 생성되어야 합니다. 우리는 도서관을 이용해요 무허가, 하지만 다른 것을 선택할 수 있습니다.

const hotp = speakeasy.hotp({
  counter,
  secret: account.seSecretAscii,
});

사용자가 입력한 2FA 코드의 유효성 확인:

se2faVerified = speakeasy.hotp.verify({
  counter: this.seCounter,
  secret: this.seSecretAscii,
  token: hotp,
});

3 2FA 코드 보내기

2FA 코드를 제출하려면 블록체인 노드 API, JS API 라이브러리 또는 콘솔을 사용할 수 있습니다. 이 예에서는 콘솔을 사용합니다. 이는 블록체인과의 상호 작용을 단순화하는 유틸리티인 명령줄 인터페이스입니다. 2FA 코드가 포함된 메시지를 보내려면 다음 명령을 사용해야 합니다. send message 콘솔.

const util = require('util');
const exec = util.promisify(require('child_process').exec);

…

const command = `adm send message ${adamantAddress} "2FA code: ${hotp}"`;
let { error, stdout, stderr } = await exec(command);

메시지를 보내는 다른 방법은 다음 방법을 사용하는 것입니다. send JS API 라이브러리에서.

4 사용자 인터페이스

사용자에게 2FA 코드를 입력할 수 있는 옵션이 제공되어야 하며, 이는 애플리케이션 플랫폼에 따라 다른 방식으로 수행될 수 있습니다. 우리의 예에서는 Vue입니다.

블록체인 XNUMX단계 인증 데모 애플리케이션의 소스 코드는 다음에서 볼 수 있습니다. GitHub의. Readme에는 직접 사용해 볼 수 있는 라이브 데모 링크가 있습니다.

출처 : habr.com