25Aug
Τα συστήματα επαλήθευσης δύο παραγόντων δεν είναι τόσο ανόθευτα όσο φαίνονται.Ένας επιτιθέμενος δεν χρειάζεται πραγματικά το διακριτικό φυσικής επαλήθευσης ταυτότητας σας, αν μπορεί να εξαπατήσει την τηλεφωνική σας εταιρεία ή την ίδια την ασφαλή υπηρεσία για να τους αφήσει μέσα.
Ο πρόσθετος έλεγχος ταυτότητας είναι πάντα χρήσιμος.Παρόλο που τίποτα δεν προσφέρει την τέλεια ασφάλεια που όλοι θέλουμε, χρησιμοποιώντας τον έλεγχο ταυτότητας δύο παραγόντων δημιουργεί περισσότερα εμπόδια στους επιτιθέμενους που θέλουν τα πράγματα σας.
Η εταιρεία σας τηλεφώνου είναι ένας ασθενής σύνδεσμος
Τα συστήματα ελέγχου ταυτότητας σε δύο βήματα σε πολλούς ιστότοπους λειτουργούν στέλνοντας ένα μήνυμα στο τηλέφωνό σας μέσω SMS, όταν κάποιος προσπαθεί να συνδεθεί. Ακόμα και αν χρησιμοποιείτε μια ειδική εφαρμογή στο τηλέφωνό σας για να δημιουργήσετε κωδικούς,μια καλή ευκαιρία που προσφέρει η υπηρεσία της επιλογής σας για να επιτρέψει στους χρήστες να συνδεθούν αποστέλλοντας έναν κωδικό SMS στο τηλέφωνό σας.Ή, η υπηρεσία ενδέχεται να σας επιτρέψει να καταργήσετε την προστασία ταυτότητας δύο παραγόντων από το λογαριασμό σας, αφού επιβεβαιώσετε ότι έχετε πρόσβαση σε έναν αριθμό τηλεφώνου που ρυθμίσατε ως αριθμό τηλεφώνου ανάκτησης.
Όλα αυτά ακούγονται καλά.Έχετε το κινητό σας και έχει έναν αριθμό τηλεφώνου.Έχει μια φυσική κάρτα SIM μέσα σε αυτό που συνδέει με τον αριθμό αυτό με τον πάροχο κινητής τηλεφωνίας σας.Όλα φαίνονται πολύ φυσικά.Αλλά, δυστυχώς, ο αριθμός τηλεφώνου σας δεν είναι τόσο ασφαλής όσο νομίζετε.
Εάν έχετε χρειαστεί ποτέ να μετακινήσετε έναν υπάρχοντα αριθμό τηλεφώνου σε μια νέα κάρτα SIM αφού χάσετε το τηλέφωνό σας ή μόλις αποκτήσετε ένα καινούργιο, θα ξέρετε τι μπορείτε να κάνετε συχνά εξ ολοκλήρου από το τηλέφωνο - ή ίσως ακόμη και στο διαδίκτυο.Όλοι οι επιτιθέμενοι πρέπει να κάνουν είναι να καλέσουν το τμήμα εξυπηρέτησης πελατών της εταιρείας κινητής τηλεφωνίας και να προσποιούν ότι είστε εσείς.Θα πρέπει να γνωρίζουν τον αριθμό τηλεφώνου σας και να γνωρίζουν κάποιες προσωπικές λεπτομέρειες για εσάς.Αυτά είναι τα είδη λεπτομερειών - για παράδειγμα, ο αριθμός πιστωτικής κάρτας, τα τελευταία τέσσερα ψηφία ενός SSN και άλλοι - που διαρρέουν τακτικά σε μεγάλες βάσεις δεδομένων και χρησιμοποιούνται για κλοπή ταυτότητας.Ο επιτιθέμενος μπορεί να προσπαθήσει να μετακινήσει τον αριθμό τηλεφώνου σας στο κινητό του τηλέφωνο.
Υπάρχουν ακόμα πιο εύκολοι τρόποι.Ή, για παράδειγμα, μπορούν να λάβουν την προώθηση κλήσεων που έχει οριστεί στο τέλος της τηλεφωνικής εταιρείας, έτσι ώστε οι εισερχόμενες φωνητικές κλήσεις να προωθούνται στο τηλέφωνό τους και να μην φτάνουν στη δική σας.
Heck, ένας επιτιθέμενος μπορεί να μην χρειάζεται να έχει πρόσβαση στον πλήρη αριθμό τηλεφώνου σας.Μπορούν να αποκτήσουν πρόσβαση στο φωνητικό ταχυδρομείο σας, προσπαθήστε να συνδεθείτε σε ιστότοπους στις 3 π.μ. και στη συνέχεια να αρπάξετε τους κωδικούς επαλήθευσης από τον αυτόματο τηλεφωνητή σας.Πόσο ασφαλές είναι το σύστημα φωνητικού ταχυδρομείου της εταιρείας τηλεφώνου σας;Πόσο ασφαλής είναι ο κωδικός PIN του τηλεφωνητή σας - έχετε ρυθμίσει καν;Δεν έχει όλοι!Και, αν έχετε, πόση προσπάθεια θα χρειαστεί ένας εισβολέας για να επαναφέρει το PIN του τηλεφωνητή σας καλώντας την τηλεφωνική σας εταιρεία;
Με τον αριθμό τηλεφώνου σας, είναι όλο το
Ο αριθμός τηλεφώνου σας γίνεται ασθενής σύνδεσμος, επιτρέποντας στον εισβολέα σας να καταργήσει επαλήθευση σε δύο βήματα από τον λογαριασμό σας ή να λάβει κωδικούς επαλήθευσης σε δύο βήματα μέσω SMS ή φωνητικών κλήσεων.Μέχρι να συνειδητοποιήσετε ότι κάτι είναι λάθος, μπορούν να έχουν πρόσβαση σε αυτούς τους λογαριασμούς.
Αυτό είναι ένα πρόβλημα για σχεδόν κάθε υπηρεσία.Οι ηλεκτρονικές υπηρεσίες δεν θέλουν τους χρήστες να χάσουν την πρόσβαση στους λογαριασμούς τους, έτσι ώστε γενικά να σας επιτρέπουν να παρακάμψετε και να καταργήσετε αυτόν τον έλεγχο ταυτότητας δύο παραγόντων με τον αριθμό τηλεφώνου σας.Αυτό βοηθάει αν χρειαστεί να επαναφέρετε το τηλέφωνό σας ή να πάρετε έναν καινούργιο και έχετε χάσει τους κωδικούς επαλήθευσης δύο παραγόντων - αλλά εξακολουθείτε να έχετε τον αριθμό τηλεφώνου σας.
Θεωρητικά, πρέπει να υπάρχει μεγάλη προστασία εδώ.Στην πραγματικότητα, έχετε να κάνουμε με τους πελάτες εξυπηρέτησης πελατών σε παρόχους υπηρεσιών κινητής τηλεφωνίας.Αυτά τα συστήματα συχνά δημιουργούνται για αποτελεσματικότητα και ένας υπάλληλος εξυπηρέτησης πελατών μπορεί να παραβλέπει ορισμένες από τις διασφαλίσεις που αντιμετωπίζει ένας πελάτης που φαίνεται θυμωμένος, ανυπόμονος και έχει ό, τι φαίνεται σαν αρκετή πληροφορία.Η εταιρεία τηλεφωνίας σας και το τμήμα εξυπηρέτησης πελατών της είναι ένας αδύναμος κρίκος στην ασφάλεια σας.
Η προστασία του αριθμού τηλεφώνου σας είναι δύσκολη.Ρεαλιστικά, οι εταιρείες κινητής τηλεφωνίας θα πρέπει να παρέχουν περισσότερες διασφαλίσεις για να καταστήσουν αυτό λιγότερο επικίνδυνο.Στην πραγματικότητα, ίσως θέλετε να κάνετε κάτι μόνος σας αντί να περιμένετε τις μεγάλες εταιρίες να καθορίσουν τις διαδικασίες εξυπηρέτησης πελατών τους.Ορισμένες υπηρεσίες ενδέχεται να σας επιτρέψουν να απενεργοποιήσετε την ανάκτηση ή να επαναφέρετε μέσω αριθμών τηλεφώνου και να προειδοποιήσετε ενάντια σε αυτό - αλλά εάν πρόκειται για ένα σύστημα κρίσιμης σημασίας, ίσως θελήσετε να επιλέξετε πιο ασφαλείς διαδικασίες επαναφοράς, όπως επαναφορά κωδικών που μπορείτε να κλειδώσετε σε θήκη τραπεζώντα χρειάζεσαι ποτέ.
Άλλες διαδικασίες επαναφοράς
Δεν πρόκειται μόνο για τον αριθμό τηλεφώνου σας.Πολλές υπηρεσίες σας επιτρέπουν να καταργήσετε αυτόν τον έλεγχο ταυτότητας δύο παραγόντων με άλλους τρόπους εάν ισχυρίζεστε ότι έχετε χάσει τον κώδικα και πρέπει να συνδεθείτε. Εφόσον γνωρίζετε αρκετές προσωπικές λεπτομέρειες σχετικά με το λογαριασμό, ίσως μπορέσετε να μπείτε.
Δοκιμάστε τον εαυτό σας - πηγαίνετε στην υπηρεσία που έχετε εξασφαλίσει με έλεγχο ταυτότητας δύο παραγόντων και προσποιείτε ότι έχετε χάσει τον κώδικα.Δείτε τι χρειάζεται για να μπείτε μέσα. Ίσως χρειαστεί να δώσετε προσωπικά στοιχεία ή να απαντήσετε σε επισφαλείς "ερωτήσεις ασφαλείας" στο σενάριο χειρότερης περίπτωσης.Εξαρτάται από τον τρόπο ρύθμισης της υπηρεσίας.Μπορεί να μπορείτε να το επαναφέρετε αποστέλλοντας ένα μήνυμα ηλεκτρονικού ταχυδρομείου σε έναν άλλο λογαριασμό ηλεκτρονικού ταχυδρομείου, οπότε αυτός ο λογαριασμός ηλεκτρονικού ταχυδρομείου μπορεί να γίνει ασθενής σύνδεσμος.Σε μια ιδανική κατάσταση, ίσως χρειαστεί να έχετε πρόσβαση σε έναν αριθμό τηλεφώνου ή σε κωδικούς ανάκτησης - και, όπως είδαμε, το τμήμα του αριθμού τηλεφώνου είναι ένας ασθενής σύνδεσμος.
Εδώ είναι κάτι άλλο τρομακτικό: Δεν πρόκειται μόνο για την παράκαμψη επαλήθευσης σε δύο βήματα.Ένας εισβολέας θα μπορούσε να δοκιμάσει παρόμοια κόλπα για να παρακάμψει εξ ολοκλήρου τον κωδικό πρόσβασής σας.Αυτό μπορεί να λειτουργήσει επειδή οι ηλεκτρονικές υπηρεσίες θέλουν να διασφαλίσουν ότι οι άνθρωποι μπορούν να ανακτήσουν την πρόσβαση στους λογαριασμούς τους, ακόμη και αν χάσουν τους κωδικούς πρόσβασής τους.
Για παράδειγμα, ρίξτε μια ματιά στο σύστημα ανάκτησης λογαριασμού Google.Αυτή είναι η τελευταία επιλογή για την ανάκτηση του λογαριασμού σας.Εάν ισχυρίζεστε ότι δεν γνωρίζετε κωδικούς πρόσβασης, θα ζητηθούν τελικά πληροφορίες σχετικά με το λογαριασμό σας, όπως όταν το δημιουργήσατε και με το οποίο στέλνετε συχνά μηνύματα ηλεκτρονικού ταχυδρομείου.Ένας εισβολέας που ξέρει αρκετά για εσάς θα μπορούσε θεωρητικά να χρησιμοποιήσει διαδικασίες επαναφοράς κωδικών πρόσβασης όπως αυτές για να αποκτήσουν πρόσβαση στους λογαριασμούς σας.
Δεν έχουμε ακούσει ποτέ ότι η διαδικασία αποκατάστασης λογαριασμού της Google είναι κακή, αλλά η Google δεν είναι η μόνη εταιρεία με τέτοια εργαλεία.Δεν μπορούν όλοι να είναι απολύτως ξέγνοιαστες, ειδικά αν ένας εισβολέας γνωρίζει αρκετά για εσάς.
Όποια και αν είναι τα προβλήματα, ένας λογαριασμός με ρύθμιση επαλήθευσης σε δύο βήματα θα είναι πάντα πιο ασφαλής από τον ίδιο λογαριασμό χωρίς επαλήθευση σε δύο βήματα.Ωστόσο, ο έλεγχος ταυτότητας δύο στοιχείων δεν είναι ασημένια σφαίρα, όπως έχουμε δει με επιθέσεις που καταχρώνται με τον μεγαλύτερο αδύναμο κρίκο: την τηλεφωνική σας εταιρεία.