25Aug
Dvoufaktorové autentizační systémy nejsou tak bezpečné, jak se zdá.Útočník ve skutečnosti nepotřebuje vaši fyzickou autentizační token, pokud může vytrhnout telefonní společnost nebo samotnou zabezpečenou službu, aby ji dovolila.
Další ověření je vždy užitečné.Přestože nic nenabízí to perfektní bezpečnost, jakou všichni chceme, pomocí dvoufaktorového ověřování se objevují další překážky pro útočníky, kteří chtějí vaše věci.
Vaše telefonní společnost je slabou linkou
Dvoustupňové ověřovací systémy na mnoha webových stránkách pracují zasláním zprávy do vašeho telefonu prostřednictvím SMS, když se někdo pokusí přihlásit. Dokonce i když v telefonu používáte vygenerovanou aplikaci pro generování kódů, je zdedobrou šanci, že vaše služba nabízí možnost nechat lidi přihlásit zasláním SMS kódu do telefonu. Nebo může služba povolit odstranění ochrany dvoufaktorových ověřování z vašeho účtu po potvrzení, že máte přístup k telefonnímu číslu, které jste nakonfigurovali jako telefonní číslo pro obnovení.
To vše zní dobře. Máte svůj mobilní telefon a má telefonní číslo. Má v sobě fyzickou SIM kartu, která s vámi spojuje telefonní číslo s poskytovatelem mobilního telefonu. Všechno se zdá být velmi fyzické.Bohužel, vaše telefonní číslo není tak bezpečné, jak si myslíte.
Pokud jste někdy potřebovali přesunout stávající telefonní číslo na novou SIM kartu po ztrátě telefonu nebo jen při získání nového telefonu, budete vědět, co to často děláte úplně přes telefon - nebo dokonce online. Všichni útočníci musí udělat telefonovat s oddělením zákaznického servisu vašeho mobilního telefonu a předstírat, že jste vy. Budou potřebovat vědět, jaké je vaše telefonní číslo a znáte některé osobní údaje o vás. Jedná se o druhy podrobností - například číslo kreditní karty, poslední čtyři číslice SSN a další - které pravidelně pronikají do velkých databází a používají se ke krádeži identity.Útočník se může pokusit přenést vaše telefonní číslo na telefon.
Existují ještě snadnější způsoby. Nebo mohou například dostat přesměrování přesměrování na telefonní společnost tak, aby příchozí hlasové hovory byly přesměrovány do svého telefonu a nedosáhly vašeho.
Heck, útočník nemusí mít přístup k vašemu úplnému telefonnímu číslu. Mohou získat přístup k vaší hlasové poště, zkusit se přihlásit na webové stránky ve 3:00 a poté vyzvednout ověřovací kódy z vaší hlasové schránky. Jak přesně je váš hlasový systém telefonní společnosti bezpečný?Jak bezpečný je váš kód hlasové pošty - jste dokonce nastavili? Ne každý má!A pokud máte, kolik úsilí by útočník potřeboval, aby vaše telefonní číslo hlasové pošty resetovalo voláním vaší telefonní společnosti?
S vaším telefonním číslem je vše přes
Vaše telefonní číslo se stává slabým spojením, které umožňuje útočníkovi odstranit dvoufázové ověření z vašeho účtu - nebo obdržet dvoufázové ověřovací kódy - prostřednictvím SMS nebo hlasových hovorů.Do doby, než si uvědomíte, že je něco špatně, mohou mít přístup k těmto účtům.
Toto je problém prakticky pro každou službu. Online služby nechtějí, aby lidé ztratili přístup ke svým účtům, takže obecně umožňují obejít a odstranit toto dvoufaktorové ověření pomocí svého telefonního čísla. To vám pomůže, pokud jste museli resetovat telefon nebo získat nový a ztratili jste dvoufaktorové ověřovací kódy - ale stále máte vaše telefonní číslo.
Teoreticky by zde měla být hodně ochrany. Ve skutečnosti máte co do činění se zákaznickými službami u poskytovatelů mobilních služeb. Tyto systémy jsou často nastaveny na efektivitu a zaměstnanec zákaznického servisu může přehlédnout některé z ochranných opatření vůči zákazníkovi, který vypadá rozhněvaně, netrpělivě a má to, co se zdá být dost informací.Telefonní společnost a oddělení zákaznického servisu jsou slabým spojením ve vaší bezpečnosti.
Ochrana telefonního čísla je těžká.Realisticky by společnosti zabývající se mobilními telefony měly poskytovat více záruk, aby to méně riskantní.Ve skutečnosti pravděpodobně budete chtít něco udělat sami, místo aby čekali na velké firmy, aby opravily své zákaznické služby. Některé služby vám mohou umožnit deaktivaci obnovy nebo obnovení pomocí telefonních čísel a varovat proti němu hojně - ale pokud je to kritický systém, možná budete chtít zvolit bezpečnější resetovací procedury jako jsou resetovací kódy, které můžete uzamknout v trezoru banky,potřebujete je někdy.
Další resetovací postupy
Nejedná se pouze o telefonní číslo. Mnoho služeb vám umožňuje odstranit tuto dvoufaktorovou autentizaci jinými způsoby, pokud tvrdíte, že jste ztratili kód a potřebujete se přihlásit. Pokud znáte dostatečné osobní údaje o účtu, můžete se dostat dovnitř.
Zkuste to sami - přejděte na službu, kterou jste získali pomocí dvoufaktorového ověřování, a předstírat, že jste kód ztratili. Podívejte se, co to znamená, abyste se dostali dovnitř. Možná budete muset v nejhorším případě poskytnout osobní údaje nebo odpovědět na nejisté "bezpečnostní otázky".Záleží na tom, jak je služba nakonfigurována. Můžete ji obnovit zasláním e-mailu na jiný e-mailový účet, v takovém případě se může stát, že se tento e-mailový účet stane slabým odkazem. V ideální situaci můžete potřebovat přístup pouze k telefonnímu číslu nebo k kódům pro obnovení - a jak jsme viděli, část telefonního čísla je slabým spojem.
Ještě něco děsivé: Nejde jen o obejití ověření ve dvou krocích.Útočník by mohl vyzkoušet podobné triky, aby zcela vynechal vaše heslo. To může fungovat, protože on-line služby chtějí zajistit, aby lidé mohli získat přístup ke svým účtům, a to i v případě, že ztratí hesla.
Podívejte se například na systém pro obnovu účtu Google. Toto je poslední volba pro obnovu vašeho účtu. Pokud tvrdíte, že neznáte žádná hesla, budete nakonec požádáni o informace o vašem účtu, jako když jste jej vytvořili a koho často odesíláte.Útočník, který má o vás dostatek informací, by mohl teoreticky používat procedury obnovení hesla, jako jsou tyto, abyste získali přístup k vašim účtům.
Nikdy jsme neslyšeli o zneužívání procesu obnovení účtu Google, ale společnost Google není jedinou společností s takovými nástroji. Nemohou být všichni úplně bezstarostní, zvlášť pokud útočník o vás ví.
Bez ohledu na problémy, bude účet s dvoufázovým ověřením nastaven vždy bezpečnější než stejný účet bez dvoufázového ověření.Ovšem dvoufaktorová autentizace není žádná stříbrná kulka, jak jsme viděli s útoky, které zneužívají největší slabé spojení: vaše telefonní společnost.