25Aug
Dwuskładnikowe systemy uwierzytelniania nie są tak niezawodne, jak się wydaje. Osoba atakująca w rzeczywistości nie potrzebuje fizycznego tokena uwierzytelniania, jeśli może oszukać firmę telefoniczną lub samą bezpieczną usługę w ich udostępnianiu.
Dodatkowe uwierzytelnianie jest zawsze pomocne. Chociaż nic nie oferuje idealnego bezpieczeństwa, którego wszyscy potrzebujemy, używanie uwierzytelniania dwuskładnikowego stawia więcej przeszkód dla atakujących, którzy chcą mieć twoje rzeczy.
Twoja firma telefoniczna jest słabym łączem
Dwustopniowe systemy uwierzytelniania na wielu stronach internetowych działają, wysyłając wiadomość na Twój telefon za pomocą wiadomości SMS, gdy ktoś próbuje się zalogować. Nawet jeśli używasz dedykowanej aplikacji w telefonie do generowania kodów,duża szansa, że Twoja usługa wyboru oferuje możliwość logowania się przez wysłanie kodu SMS na Twój telefon. Usługa może także umożliwić usunięcie ochrony uwierzytelniania dwuskładnikowego z konta po potwierdzeniu, że masz dostęp do numeru telefonu skonfigurowanego jako pomocniczy numer telefonu.
Wszystko brzmi dobrze. Masz swój telefon komórkowy i ma numer telefonu. Ma w sobie fizyczną kartę SIM, która wiąże go z tym numerem telefonu u twojego operatora komórkowego. Wszystko wydaje się bardzo fizyczne. Niestety, twój numer telefonu nie jest tak bezpieczny, jak ci się wydaje.
Jeśli kiedykolwiek musiałeś przenieść istniejący numer telefonu na nową kartę SIM po utracie telefonu lub po prostu na nowy, będziesz wiedział, co często możesz zrobić całkowicie przez telefon - a może nawet online. Wszystko, co atakujący musi zrobić, to zadzwonić do działu obsługi klienta firmy telefonii komórkowej i udawać, że to ty. Będą musieli wiedzieć, jaki jest Twój numer telefonu i znać pewne dane osobowe na Twój temat. Są to rodzaje szczegółów - na przykład numer karty kredytowej, cztery ostatnie cyfry numeru SSN i inne - które regularnie wyciekają z dużych baz danych i są wykorzystywane do kradzieży tożsamości. Osoba atakująca może spróbować przenieść Twój numer telefonu na swój telefon.
Istnieją jeszcze łatwiejsze sposoby. Lub, na przykład, mogą ustawić przekierowanie połączenia po zakończeniu połączenia z telefonem, aby przychodzące połączenia głosowe były przekazywane na telefon i nie docierały do Ciebie.
Heck, osoba atakująca może nie potrzebować dostępu do Twojego pełnego numeru telefonu. Mogą uzyskać dostęp do poczty głosowej, spróbuj zalogować się na stronach internetowych o 3:00, a następnie pobrać kody weryfikacyjne ze skrzynki poczty głosowej. Jak bezpieczny jest system poczty głosowej twojej firmy telefonicznej? Jak bezpieczny jest Twój PIN poczty głosowej - czy możesz go ustawić?Nie wszyscy mają!A jeśli tak, ile wysiłku potrzeba, aby osoba atakująca uzyskała reset kodu PIN poczty głosowej, dzwoniąc do firmy telefonicznej?
Dzięki numerowi telefonu, wszystko jest w
Twój numer telefonu staje się słabym ogniwem, pozwalając intruzowi na usunięcie weryfikacji dwuetapowej z twojego konta - lub otrzymanie dwuetapowych kodów weryfikacyjnych - za pośrednictwem wiadomości SMS lub połączeń głosowych. Kiedy zdasz sobie sprawę, że coś jest nie tak, mogą mieć dostęp do tych kont.
Jest to problem dla praktycznie każdej usługi. Usługi online nie chcą, aby użytkownicy utracili dostęp do swoich kont, więc zazwyczaj pozwalają ominąć i usunąć uwierzytelnianie dwuskładnikowe za pomocą numeru telefonu. Pomaga to, jeśli musisz zresetować telefon lub uzyskać nowy, a utracisz kody uwierzytelniania dwuskładnikowego - ale wciąż masz swój numer telefonu.
Teoretycznie powinno tu być dużo ochrony. W rzeczywistości masz do czynienia z obsługą klienta w usługodawcach komórkowych. Systemy te są często konfigurowane pod kątem wydajności, a pracownik obsługi klienta może przeoczyć niektóre zabezpieczenia, przed którymi stoi klient, który wydaje się być zły, niecierpliwy i ma coś, co wydaje się wystarczającą informacją.Twoja firma telefoniczna i jej dział obsługi klienta są słabym ogniwem twojego bezpieczeństwa.
Ochrona numeru telefonu jest trudna. Realistycznie, firmy telefonii komórkowej powinny zapewnić więcej zabezpieczeń, aby uczynić to mniej ryzykownym. W rzeczywistości prawdopodobnie chcesz zrobić coś samemu, zamiast czekać, aż duże korporacje naprawią swoje procedury obsługi klienta. Niektóre usługi mogą umożliwić wyłączenie odzyskiwania lub zresetować je za pomocą numerów telefonów i ostrzec przed nim obficie - ale jeśli jest to system o znaczeniu krytycznym, możesz wybrać bardziej bezpieczne procedury resetowania, takie jak resetowanie kodów, które można zablokować w skarbcu banku w przypadkukiedykolwiek ich potrzebujesz.
Inne procedury resetowania
Nie chodzi tylko o twój numer telefonu. Wiele usług umożliwia usunięcie tego uwierzytelnienia dwuskładnikowego w inny sposób, jeśli twierdzisz, że zgubiłeś kod i musisz się zalogować. Dopóki znasz wystarczająco dużo danych osobowych na temat konta, być może uda Ci się wejść.
Spróbuj sam - przejdź do usługi zabezpieczonej dwuetapowym uwierzytelnianiem i udawaj, że zgubiłeś kod. Zobacz, co trzeba zrobić, aby dostać się do środka. Być może będziesz musiał podać dane osobowe lub odpowiedzieć na niepewne "pytania bezpieczeństwa" w najgorszym przypadku. To zależy od konfiguracji usługi. Możesz go zresetować, wysyłając link do innego konta e-mail, w którym to przypadku konto e-mail może stać się słabym ogniwem. W idealnej sytuacji możesz po prostu potrzebować dostępu do numeru telefonu lub kodów odzyskiwania - i, jak widzieliśmy, część z numerem telefonu jest słabym ogniwem.
Oto coś strasznego: nie chodzi tylko o obejście weryfikacji dwuetapowej. Osoba atakująca może wypróbować podobne sztuczki, aby całkowicie ominąć twoje hasło. Może to działać, ponieważ usługi online chcą zapewnić ludziom możliwość odzyskania dostępu do swoich kont, nawet jeśli stracą swoje hasła.
Na przykład spójrz na system odzyskiwania kont Google. To jest ostatnia szansa na odzyskanie konta. Jeśli twierdzisz, że nie znasz żadnych haseł, zostaniesz zapytany o informacje na temat swojego konta, np. Kiedy je utworzyłeś i do kogo często wysyłasz e-maile. Osoba atakująca, która wie o tobie wystarczająco dużo, może teoretycznie użyć takich procedur resetowania hasła, aby uzyskać dostęp do swoich kont.
Nigdy nie słyszeliśmy o tym, że proces odzyskiwania konta Google jest nadużywany, ale Google nie jest jedyną firmą z takimi narzędziami. Nie wszystkie mogą być całkowicie niezawodne, zwłaszcza jeśli atakujący wie o tobie wystarczająco dużo.
Niezależnie od problemów, konto z konfiguracją dwuetapową będzie zawsze bezpieczniejsze niż to samo konto bez weryfikacji dwuetapowej. Ale uwierzytelnianie dwuskładnikowe nie jest srebrną kulą, jak widzieliśmy w atakach, które wykorzystują największy słaby link: twoja firma telefoniczna.