25Aug
أنظمة المصادقة ثنائية العوامل ليست مضمونة كما تبدو.المهاجم لا يحتاج فعلا الخاص بك رمز المصادقة المادية إذا كانت يمكن خداع شركة الهاتف الخاص بك أو خدمة آمنة نفسها في السماح لهم فيها.
المصادقة إضافية مفيدة دائما.على الرغم من أن لا شيء يقدم أن الأمن المثالي نريد جميعا، وذلك باستخدام اثنين عامل التوثيق يضع المزيد من العقبات للمهاجمين الذين يريدون الاشياء الخاصة بك.
شركة الهاتف هي وصلة ضعيفة
تعمل أنظمة المصادقة المكونة من خطوتين على العديد من مواقع الويب عن طريق إرسال رسالة إلى هاتفك عبر الرسائل القصيرة سمز عندما يحاول شخص ما تسجيل الدخول. حتى إذا كنت تستخدم تطبيق مخصص على هاتفك لإنشاء رموز، فهناكفرصة جيدة خدمتكم من خيار يقدم للسماح للناس تسجيل الدخول عن طريق إرسال رمز سمز إلى هاتفك.أو قد تسمح لك الخدمة بإزالة حماية المصادقة الثنائية من حسابك بعد التأكد من إمكانية الوصول إلى رقم هاتف قمت بتكوينه كرقم هاتف للاسترداد.
هذا يبدو جيدا.لديك الهاتف الخليوي الخاص بك، ولها رقم الهاتف.أنه يحتوي على بطاقة سيم المادية داخله أن يربط ذلك إلى رقم الهاتف مع مزود الهاتف الخليوي الخاص بك.كل شيء يبدو جسديا جدا.ولكن، للأسف، رقم هاتفك ليست آمنة كما تظن.
إذا كنت بحاجة من أي وقت مضى لنقل رقم هاتف موجود إلى بطاقة سيم جديدة بعد فقدان الهاتف أو مجرد الحصول على واحدة جديدة، عليك أن تعرف ما يمكنك القيام به في كثير من الأحيان تماما على الهاتف - أو ربما حتى عبر الإنترنت.كل مهاجم فعله هو استدعاء قسم خدمة العملاء شركة الهاتف الخليوي الخاص بك وتظاهر أن يكون لك.وسوف يحتاجون إلى معرفة ما هو رقم الهاتف الخاص بك ومعرفة بعض التفاصيل الشخصية عنك.هذه هي أنواع التفاصيل - على سبيل المثال، رقم بطاقة الائتمان، آخر أربعة أرقام من سن، وغيرها - التي تسرب بانتظام في قواعد البيانات الكبيرة وتستخدم لسرقة الهوية.المهاجم يمكن محاولة للحصول على رقم الهاتف الخاص بك انتقلت إلى هواتفهم.
هناك طرق أسهل.أو، على سبيل المثال، يمكن أن تحصل على إعادة توجيه المكالمات حتى على نهاية شركة الهاتف بحيث يتم توجيه المكالمات الصوتية الواردة إلى هواتفهم ولا تصل لك.
هيك، قد لا يحتاج المهاجم إلى الوصول إلى رقم هاتفك الكامل.ويمكنهم الدخول إلى البريد الصوتي، ومحاولة تسجيل الدخول إلى مواقع الويب في الساعة 3 صباحا، ثم الاستيلاء على رموز التحقق من صندوق البريد الصوتي.ما مدى أمان نظام البريد الصوتي الخاص بشركة الهاتف، بالضبط؟ما مدى أمان رقم التعريف الشخصي للبريد الصوتي - هل قمت بتعيين واحد حتى؟ليس كل شخص لديه!وإذا كان لديك، كم من الجهد سوف يستغرق لمهاجم للحصول على البريد الصوتي الخاص بك إعادة تعيين بين عن طريق استدعاء شركة الهاتف الخاص بك؟
مع رقم هاتفك، في جميع أنحاء
يصبح رقم هاتفك الرابط الضعيف، مما يسمح للمهاجم بإزالة التحقق بخطوتين من حسابك - أو تلقي رموز التحقق بخطوتين - عبر الرسائل القصيرة سمز أو المكالمات الصوتية.بحلول الوقت الذي تدرك شيئا غير صحيح، فإنها يمكن أن يكون الوصول إلى تلك الحسابات.
هذا هو مشكلة عمليا كل خدمة.الخدمات عبر الإنترنت لا تريد أن يفقد الناس حق الوصول إلى حساباتهم، لذلك تسمح لك عموما بتجاوز وإزالة المصادقة الثنائية مع رقم هاتفك.وهذا يساعد إذا كنت قد اضطررت إلى إعادة تعيين الهاتف الخاص بك أو الحصول على واحدة جديدة وكنت قد فقدت رموز المصادقة اثنين عامل - ولكن لا يزال لديك رقم الهاتف الخاص بك.
من الناحية النظرية، من المفترض أن يكون هناك الكثير من الحماية هنا.في الواقع، كنت تتعامل مع الناس خدمة العملاء في مقدمي الخدمات الخلوية.وغالبا ما يتم إعداد هذه الأنظمة من أجل الكفاءة، وقد يغفل موظف خدمة العملاء بعض الضمانات التي يواجهها العميل الذي يبدو غاضبا، وفارغ الصبر، ولديه ما يبدو معلومات كافية.تعتبر شركة الهاتف وقسم خدمة العملاء رابطا ضعيفا في أمانك.
حماية رقم الهاتف الخاص بك أمر صعب.ومن الناحية الواقعية، ينبغي أن توفر شركات الهاتف الخلوي المزيد من الضمانات لجعل هذا أقل خطورة.في الواقع، ربما كنت تريد أن تفعل شيئا بنفسك بدلا من انتظار الشركات الكبيرة لإصلاح إجراءات خدمة العملاء الخاصة بهم.قد تسمح لك بعض الخدمات بتعطيل الاسترداد أو إعادة التعيين عن طريق أرقام الهاتف وتحذيره من ذلك بشكل مفرط - ولكن إذا كان نظاما حاسما للبعثات، فقد تحتاج إلى اختيار إجراءات إعادة تعيين أكثر أمانا مثل رموز إعادة الضبط التي يمكنك قفلها في قبو البنك في حالةكنت في حاجة إليها من أي وقت مضى.
إجراءات إعادة تعيين أخرى
انها ليست فقط عن رقم الهاتف الخاص بك، سواء.تسمح لك العديد من الخدمات بإزالة المصادقة الثنائية هذه بطرق أخرى إذا كنت تدعي أنك فقدت الشفرة وتحتاج إلى تسجيل الدخول. طالما أنك تعرف ما يكفي من التفاصيل الشخصية حول الحساب، قد تتمكن من الدخول.
تحاول ذلك بنفسك - انتقل إلى الخدمة التي قمت بتأمين مع اثنين من المصادقة عامل وتدعي كنت قد فقدت التعليمات البرمجية.انظر ما يلزم للوصول إليه. قد تضطر إلى تقديم تفاصيل شخصية أو الإجابة على "أسئلة أمنية" غير آمنة في أسوأ السيناريوهات.ذلك يعتمد على كيفية تكوين الخدمة.قد تتمكن من إعادة تعيينه عن طريق إرسال رابط بالبريد الإلكتروني إلى حساب بريد إلكتروني آخر، وفي هذه الحالة قد يصبح حساب البريد الإلكتروني رابطا ضعيفا.في حالة مثالية، قد تحتاج فقط الوصول إلى رقم الهاتف أو رموز الاسترداد - وكما رأينا، جزء رقم الهاتف هو وصلة ضعيفة.
في ما يلي شيء آخر مخيف: لا يتعلق الأمر فقط بتجاوز التحقق بخطوتين.يمكن للمهاجم محاولة حيل مماثلة لتجاوز كلمة المرور الخاصة بك تماما.ويمكن أن يعمل ذلك لأن الخدمات عبر الإنترنت تريد ضمان إمكانية استعادة الأشخاص إمكانية الدخول إلى حساباتهم، حتى إذا فقدوا كلمات المرور.
على سبيل المثال، ألق نظرة على نظام استرداد حساب غوغل.هذا هو الخيار الأخير للتخلص من حسابك.إذا كنت تدعي عدم معرفة أي كلمات مرور، فستتم مطالبتك في نهاية المطاف للحصول على معلومات عن حسابك مثل عند إنشائه ومن ترسل إليه رسالة إلكترونية بشكل متكرر.المهاجم الذي يعرف ما يكفي عنك يمكن نظريا استخدام إجراءات إعادة تعيين كلمة المرور مثل هذه للوصول إلى حساباتك.
لم نسمع أبدا عن إساءة استخدام حساب غوغل، ولكن غوغل ليست الشركة الوحيدة التي تمتلك أدوات من هذا القبيل.لا يمكن أن تكون جميع مضمونة تماما، وخاصة إذا كان المهاجم يعرف ما يكفي عنك.
مهما كانت المشاكل، فسيكون الحساب الذي يحتوي على التحقق بخطوتين دائما أكثر أمانا من الحساب نفسه بدون التحقق من خطوتين.ولكن اثنين من المصادقة عامل لا رصاصة فضية، كما رأينا مع الهجمات التي تسيء استخدام أكبر رابط ضعيف: شركة الهاتف الخاص بك.