25Aug
Zwei-Faktor-Authentifizierungssysteme sind nicht so sicher wie sie scheinen. Ein Angreifer benötigt Ihr physisches Authentifizierungstoken nicht, wenn er Ihre Telefongesellschaft oder den sicheren Dienst dazu bringen kann, sie einzulassen.
Eine zusätzliche Authentifizierung ist immer hilfreich. Obwohl nichts die perfekte Sicherheit bietet, die wir alle wollen, stellt die Verwendung der Zwei-Faktor-Authentifizierung den Angreifern, die Ihre Sachen haben wollen, mehr Hindernisse in den Weg.
Ihr Telefonunternehmen ist ein schwacher Link
Die zweistufigen Authentifizierungssysteme auf vielen Websites funktionieren, indem Sie eine Nachricht per SMS an Ihr Telefon senden, wenn sich jemand anmeldet. Selbst wenn Sie eine spezielle App auf Ihrem Telefon verwenden, um Codes zu generierenEine gute Chance, dass sich der Service Ihrer Wahl anbietet, um sich einzuloggen, indem Sie einen SMS-Code an Ihr Telefon senden. Oder der Dienst ermöglicht es Ihnen möglicherweise, den Zwei-Faktor-Authentifizierungsschutz von Ihrem Konto zu entfernen, nachdem Sie bestätigt haben, dass Sie Zugriff auf eine Telefonnummer haben, die Sie als Wiederherstellungsnummer konfiguriert haben.
Das klingt alles gut. Du hast dein Handy und es hat eine Telefonnummer. Es hat eine physische SIM-Karte darin, die es an diese Telefonnummer mit Ihrem Handy-Provider bindet. Es scheint alles sehr körperlich. Aber leider ist deine Telefonnummer nicht so sicher wie du denkst.
Wenn Sie schon einmal eine bestehende Telefonnummer auf eine neue SIM-Karte übertragen mussten, nachdem Sie Ihr Telefon verloren oder eine neue erhalten haben, wissen Sie, was Sie oft ganz einfach über das Telefon tun können - oder vielleicht sogar online. Alles, was ein Angreifer tun muss, ist, die Kundendienstabteilung Ihres Mobiltelefonunternehmens anzurufen und so zu tun, als sei er Sie. Sie müssen wissen, was Ihre Telefonnummer ist und einige persönliche Details über Sie wissen. Dies sind die Arten von Details - zum Beispiel die Kreditkartennummer, die letzten vier Ziffern einer SSN und andere -, die regelmäßig in großen Datenbanken auslaufen und für Identitätsdiebstahl verwendet werden. Der Angreifer kann versuchen, Ihre Telefonnummer auf ihr Telefon zu verschieben.
Es gibt noch einfachere Möglichkeiten. Oder Sie können zum Beispiel die Anrufweiterleitung am Ende der Telefongesellschaft einrichten lassen, so dass eingehende Sprachanrufe an ihr Telefon weitergeleitet werden und Ihre nicht erreichen.
Verdammt, ein Angreifer benötigt möglicherweise keinen Zugriff auf Ihre vollständige Telefonnummer. Sie können auf Ihre Voicemail zugreifen, versuchen, sich um 3 Uhr morgens bei Websites anzumelden und dann die Bestätigungscodes aus Ihrer Voicemailbox zu holen. Wie sicher ist das Voice-Mail-System Ihrer Telefongesellschaft? Wie sicher ist Ihre Voicemail-PIN - haben Sie überhaupt eine eingestellt? Nicht jeder hat! Und wenn ja, wie viel Aufwand würde es für einen Angreifer erfordern, Ihre Voicemail-PIN durch Anruf bei Ihrer Telefongesellschaft zurückzusetzen?
Mit Ihrer Telefonnummer ist alles möglich
Ihre Telefonnummer wird zum Schwachstellen-Link. Ihr Angreifer kann die Bestätigung in zwei Schritten aus Ihrem Konto entfernen oder Bestätigungscodes in zwei Schritten per SMS oder Sprachanrufe erhalten. Wenn Sie feststellen, dass etwas nicht stimmt, können Sie auf diese Konten zugreifen.
Dies ist ein Problem für praktisch jeden Dienst. Onlinedienste möchten nicht, dass Personen den Zugriff auf ihre Konten verlieren, sodass Sie diese Zwei-Faktor-Authentifizierung im Allgemeinen mit Ihrer Telefonnummer umgehen und entfernen können. Dies ist hilfreich, wenn Sie Ihr Telefon zurücksetzen oder ein neues Gerät erhalten haben und Ihre Zwei-Faktor-Authentifizierungscodes verloren haben - aber Sie haben immer noch Ihre Telefonnummer.
Theoretisch sollte hier viel Schutz herrschen. In Wirklichkeit haben Sie es mit den Kundendienstmitarbeitern von Mobilfunkanbietern zu tun. Diese Systeme sind oft auf Effizienz ausgelegt, und ein Kundendienstmitarbeiter kann einige der Sicherheitsvorkehrungen übersehen, mit denen ein Kunde konfrontiert ist, der verärgert und ungeduldig erscheint und über ausreichend Informationen verfügt. Ihre Telefongesellschaft und ihr Kundendienst sind ein schwaches Glied in Ihrer Sicherheit.
Der Schutz Ihrer Telefonnummer ist schwierig. Realistisch gesehen sollten Mobiltelefongesellschaften mehr Sicherheitsvorkehrungen treffen, um dies weniger riskant zu machen. In Wirklichkeit möchten Sie wahrscheinlich selbst etwas tun, anstatt darauf zu warten, dass große Unternehmen ihre Kundendienstverfahren reparieren. Bei einigen Diensten können Sie die Wiederherstellung deaktivieren oder über Telefonnummern zurücksetzen und davor warnen. Wenn es sich jedoch um ein unternehmenskritisches System handelt, sollten Sie sicherere Rückstellverfahren wie beispielsweise Rücksetzcodes wählen, die Sie in einem Banktresor sperren könnenDu brauchst sie jemals.
Andere Rücksetzverfahren
Es geht nicht nur um deine Telefonnummer. Viele Dienste ermöglichen Ihnen, diese Zwei-Faktor-Authentifizierung auf andere Weise zu entfernen, wenn Sie behaupten, dass Sie den Code verloren haben und sich anmelden müssen. Solange Sie genügend persönliche Details über das Konto kennen, können Sie möglicherweise einsteigen.
Probieren Sie es selbst aus - gehen Sie zu dem Service, den Sie mit der Zwei-Faktor-Authentifizierung erhalten haben, und tun Sie so, als hätten Sie den Code verloren. Sehen Sie, was es braucht, um hineinzukommen. Sie müssen möglicherweise im schlimmsten Fall persönliche Details angeben oder unsichere "Sicherheitsfragen" beantworten. Es hängt davon ab, wie der Dienst konfiguriert ist. Sie können es möglicherweise zurücksetzen, indem Sie eine E-Mail an einen anderen E-Mail-Account senden. In diesem Fall kann dieser E-Mail-Account zu einem schwachen Link werden. Im Idealfall benötigen Sie möglicherweise nur Zugriff auf eine Telefonnummer oder Wiederherstellungscodes - und, wie wir gesehen haben, ist der Teil der Telefonnummer ein schwacher Link.
Hier ist noch etwas beängstigender: Es geht nicht nur darum, die Bestätigung in zwei Schritten zu umgehen. Ein Angreifer könnte ähnliche Tricks versuchen, um Ihr Passwort vollständig zu umgehen. Dies kann funktionieren, da Onlinedienste sicherstellen möchten, dass Benutzer wieder Zugriff auf ihre Konten erhalten, auch wenn sie ihre Kennwörter verlieren.
Sehen Sie sich zum Beispiel das System zur Wiederherstellung des Google-Kontos an. Dies ist eine letzte Option für die Wiederherstellung Ihres Kontos. Wenn Sie behaupten, keine Kennwörter zu kennen, werden Sie möglicherweise nach Informationen zu Ihrem Konto gefragt, beispielsweise wann Sie es erstellt haben und an wen Sie häufig eine E-Mail senden. Ein Angreifer, der genug über Sie weiß, könnte theoretisch solche Prozeduren zum Zurücksetzen von Kennwörtern verwenden, um Zugriff auf Ihre Konten zu erhalten.
Wir haben noch nie gehört, dass der Google-Kontowiederherstellungsvorgang missbraucht wird, aber Google ist nicht das einzige Unternehmen mit solchen Tools. Sie können nicht alle völlig narrensicher sein, besonders wenn ein Angreifer genug über Sie weiß.
Unabhängig von den Problemen ist ein Konto mit zweistufiger Verifizierung immer sicherer als das gleiche Konto ohne Bestätigung in zwei Schritten. Aber die Zwei-Faktor-Authentifizierung ist keine Königsdisziplin, wie wir bei Angriffen gesehen haben, die die größte Schwachstelle missbrauchen: Ihre Telefongesellschaft.