25Aug
Tofaktors autentificeringssystemer er ikke så idiotsikker som de synes. En hacker behøver faktisk ikke din fysiske godkendelsestoken, hvis de kan narre din telefonvirksomhed eller den sikre tjeneste i at lade dem ind.
Yderligere godkendelse er altid til hjælp. Selvom intet tilbyder den perfekte sikkerhed, som vi alle vil have, bruger tofaktorsautentificering flere hindringer for angriberne, der vil have dine ting.
Din telefonselskab er en svag link
De to-trins autentificeringssystemer på mange websteder fungerer ved at sende en besked til din telefon via SMS, når nogen prøver at logge ind. Selvom du bruger en dedikeret app på din telefon til at generere koder, er derEn god chance for, at din valgmulighed tilbyder at lade folk logge ind ved at sende en SMS-kode til din telefon. Eller tjenesten kan tillade dig at fjerne tofaktors godkendelsesbeskyttelse fra din konto efter at have bekræftet, at du har adgang til et telefonnummer, du har konfigureret som et telefonnummer til gendannelse.
Dette lyder fint. Du har din mobiltelefon, og den har et telefonnummer. Det har et fysisk SIM-kort inde i det, der binder det til det telefonnummer med din mobiludbyder. Det hele virker meget fysisk. Men desværre er dit telefonnummer ikke så sikkert, som du tror.
Hvis du nogensinde har brug for at flytte et eksisterende telefonnummer til et nyt SIM-kort efter at have mistet telefonen eller bare fået en ny, ved du, hvad du ofte kan gøre det helt over telefonen - eller måske endda online. En angriber er nødt til at ringe til din mobiltelefonfirma's kundeserviceafdeling og lade sig gøre at være dig. De skal vide, hvad dit telefonnummer er og kender nogle personlige oplysninger om dig. Disse er typer af detaljer - for eksempel kreditkortnummer, sidste fire cifre i en SSN og andre - der regelmæssigt lækker i store databaser og bruges til identitetstyveri. Angregeren kan forsøge at få dit telefonnummer flyttet til deres telefon.
Der er endnu nemmere måder. Eller, for eksempel kan de få viderestilling oprettet på telefonfirmaets ende, så indgående telefonsamtaler videresendes til deres telefon og når dem ikke.
Heck, en angriber har muligvis ikke brug for adgang til dit fulde telefonnummer. De kunne få adgang til din telefonsvarer, prøv at logge ind på hjemmesider kl. 3, og tag derefter verifikationskoderne fra din telefonsvarer. Hvor sikkert er dit telefonselskabs telefonsvarer system, præcis? Hvor sikker er din PIN-kode til telefonsvareren - har du lige angivet en? Ikke alle har! Og hvis du har, hvor meget vil det kræve, at en hacker får din PIN-nulstilling ved at ringe til din telefonselskab?
Med dit telefonnummer er det hele
Dit telefonnummer bliver det svage link, så din angriber kan fjerne to-trinsverifikation fra din konto - eller modtage to-trins verifikationskoder - via sms eller taleopkald. Når du indser, at noget er forkert, kan de få adgang til disse konti.
Dette er et problem for stort set enhver tjeneste. Online-tjenester ønsker ikke, at folk mister adgangen til deres konti, så de generelt tillader dig at omgå og fjerne den tofaktor-godkendelse med dit telefonnummer. Dette hjælper, hvis du har nødt til at nulstille din telefon eller få en ny, og du har mistet dine tofaktors autentificeringskoder - men du har stadig dit telefonnummer.
Teoretisk set skal der være en masse beskyttelse her. I virkeligheden handler du med kundeservicen hos mobiludbydere. Disse systemer er ofte oprettet for effektivitet, og en kundeservicemedarbejder kan overse nogle af de garantier, der står overfor en kunde, der virker sur, utålmodig og har hvad der ligner nok information. Din telefonselskab og kundeserviceafdeling er et svagt link i din sikkerhed.
Beskyttelse af dit telefonnummer er svært. Realistisk bør mobiltelefonfirmaer give flere sikkerhedsforanstaltninger for at gøre dette mindre risikabelt. I virkeligheden vil du sandsynligvis gøre noget på egen hånd i stedet for at vente på store virksomheder at rette deres kundeserviceprocedurer. Nogle tjenester kan tillade dig at deaktivere gendannelse eller nulstilling via telefonnumre og advare mod det meget - men hvis det er et missionskritisk system, vil du måske vælge flere sikre nulstillingsprocedurer som nulstillingskoder, du kan låse i en bankvalv i tilfældedu har brug for dem.
Andre nulstillingsprocedurer
Det handler ikke kun om dit telefonnummer. Mange tjenester giver dig mulighed for at fjerne denne tofaktorautentificering på andre måder, hvis du hævder at du har mistet koden og skal logge ind. Så længe du ved nok personlige oplysninger om kontoen, kan du muligvis komme ind.
Prøv det selv - gå til den service, du har sikret med tofaktorautentificering og lade ud som om du har mistet koden. Se, hvad der kræves for at komme ind. Du skal muligvis give personlige oplysninger eller besvare usikre "sikkerhedsspørgsmål" i værste fald. Det afhænger af, hvordan tjenesten er konfigureret. Du kan muligvis nulstille det ved at sende et link til en anden e-mail-konto, i hvilket tilfælde denne e-mail-konto kan blive et svagt link. I en ideel situation kan du bare have brug for adgang til et telefonnummer eller genopretningskoder - og som vi har set, er telefonnummerdelen en svag link.
Her er noget andet skræmmende: Det handler ikke kun om at omgå to-trins verifikation. En angriber kan prøve lignende tricks til at omgå din adgangskode helt. Dette kan fungere, fordi onlinetjenester vil sikre, at folk kan genvinde adgangen til deres konti, selvom de mister deres adgangskoder.
Få et kig på Google Account Recovery-systemet. Dette er en sidste mulighed for at gendanne din konto. Hvis du hævder at kende ikke nogen adgangskoder, bliver du efterhånden bedt om oplysninger om din konto, som når du oprettede den, og hvem du ofte sender. En angriber, der ved nok om dig, kunne teoretisk bruge password-reset-procedurer som disse for at få adgang til dine konti.
Vi har aldrig hørt om Googles kontoinddrivelsesproces misbruges, men Google er ikke det eneste firma med værktøjer som dette. De kan ikke alle være helt idiotsikker, især hvis en angriber ved nok om dig.
Uanset problemerne vil en konto med to-trinsverifikation opsætning altid være mere sikker end den samme konto uden to-trins verifikation. Men tofaktorautentificering er ingen sølvkugle, som vi har set med angreb, der misbruger det største svage led: din telefonselskab.