25Aug
kahefaktorilised autentimissüsteemid ei tundu nii lolliks. Ründaja ei vaja tegelikult teie füüsilist autentimistunnust, kui ta suudab oma telefonifirma või turvalise teenuse ise oma sissetõmmisest röövida.
Täiendav autentimine on alati abiks. Kuigi midagi ei paku täiuslikku turvalisust, mida me kõik tahame, on kaheteguriline autentimise kasutamine rohkem takistusi ründajatele, kes tahavad teie kraami.
Teie telefonifirma on nõrk lühend
Paljudel veebisaitidel töötavad kaheastmelised autentimissüsteemid SMS-i saatmisel SMS-i kaudu, kui keegi proovib sisse logida. Isegi kui koodi genereerides kasutate telefoni spetsiaalset rakendust, on sealhea võimalus teie valitud teenus pakub inimestele sisse logida SMS-koodi saatmise teel oma telefoni. Või teenus võib lubada teil kahekordse autentimise kaitse eemaldada oma kontolt, kui olete kinnitanud, et teil on juurdepääs telefoninumbrile, mille konfigureerisite taastetelefoninumbri.
See kõik kõlab hästi. Teil on oma mobiiltelefon ja tal on telefoninumber. Sellel on füüsiline SIM-kaart, mis seob selle mobiiltelefoni pakkujaga selle telefoninumbri. See kõik tundub väga füüsiline. Kahjuks ei ole teie telefoninumber nii turvaline kui arvad.
Kui teil on kunagi vaja olemasolevat telefoninumbrit uuele SIM-kaardile teisaldada, kui telefon on telefoni kaotanud või on just uus, saate teada, mida saate sageli telefoni kaudu teha - või isegi veebis. Kõik, mida ründaja peab tegema, on helistada oma mobiiltelefoni ettevõtte klienditeenindusele ja teeselda, et olete teiega. Nad peavad teadma, mis on teie telefoninumber, ja tean sinu kohta teatavaid isikuandmeid. Need on üksikasjad( näiteks krediitkaardi number, SSNi neli viimast numbrit ja muud), mis levivad regulaarselt suurtes andmebaasides ja mida kasutatakse identiteedivarguste jaoks. Ründaja võib proovida oma telefoninumbrit oma telefoni teisaldada.
On isegi lihtsamaid viise. Või Näiteks saavad nad telefonikõnede edastamise seadeid seadistada telefoni ettevõtte lõpus, nii et sissetulevad häälkõned edastatakse telefoni ja ei jõua sinu oma.
Heck, ründajal ei pruugi vaja kogu teie telefoninumbrit. Nad said juurdepääsu teie kõnepostile, proovisid veebisaitidesse sisse logida kell 3 ja seejärel hangitage kinnituskoodid oma kõnepostist. Kui turvaline on teie telefoni ettevõtte kõneposti süsteem, täpselt? Kui turvaline on teie kõneposti PIN-kood - kas olete isegi selle määranud? Mitte igaühel pole! Ja kui teil on, siis kui palju ründaja võtab teie häälposti PIN-koodi lähtestamiseks oma telefoniühingu poole helistamiseks?
teie telefoninumbriga, see on kõik üle
. Teie telefoninumber muutub nõrgaks linkiks, mis võimaldab teie ründajal eemaldada oma kontolt kaheastmeline kinnitamine või saada kaheastmelisi kinnituskoode SMSi või häälkõnede kaudu. Selleks ajaks, kui mõistate, et midagi on valesti, võib neil olla juurdepääs nendele kontodele.
See probleem on praktiliselt igas teenuses. Interneti-teenused ei soovi, et inimesed kaotaksid juurdepääsu oma kontodele, seega võimaldavad nad üldjuhul teie telefoninumbril seda kaheteguri autentimist mööda minna ja eemaldada. See aitab, kui peate oma telefoni lähtestama või uue telefoni saama ja kaotanud oma kaheteguri autentimiskoodid - aga teil on veel teie telefoninumber.
Teoreetiliselt peaks seal siin olema palju kaitset. Tegelikult tegelete mobiilsideoperaatorite klienditeenindusega. Need süsteemid on sageli efektiivsuse jaoks loodud ja klienditeenindaja võib jätta tähelepanuta mõned kliendi kaitsemeetmed, kes näevad vihast, kannatamatut ja millel on piisavalt teavet. Teie telefonifirma ja klienditeenindus on teie turvalisuse nõrk lüli.
Telefoninumbri kaitsmine on raske. Reaalajas peaks mobiiltelefonide ettevõtted pakkuma rohkem kaitsemeetmeid, et muuta see vähem riskantseks. Tegelikult sooviksite tõenäoliselt ise midagi teha, mitte oodata, et suured ettevõtted saaksid oma klienditeeninduse protseduure parandada. Mõned teenused võivad lubada teil taastada või lähtestada telefoninumbrite kaudu ja hoiatada selle eest tohutult - aga kui see on missioonikriitiline süsteem, võite soovida valida turvalisemate lähtestamisprotseduuride nagu koodide lähtestamine, mida saate lukustada pangahoovastikus juhulsa pead neid kunagi vaeva nägema.
muud reset menetlused
See pole mitte ainult teie telefoninumber. Paljud teenused võimaldavad teil kahendfunktsionaalset autentimist teistel viisidel eemaldada, kui väidate, et olete koodi kaotanud ja peate sisse logima. Nii kaua, kui te teate kontol piisavalt isiklikke andmeid, võib teil olla võimalus siseneda.
Proovige seda ennast - minge teenusele, mille olete taganud kahetegurilise autentimisega ja teestate, et olete koodi kaotanud. Vaadake, mis sissetulevad on. Võimalik, et peate esitama isikuandmeid või vastama ebakindlatele turvaküsimustele halvima stsenaariumi korral. See sõltub sellest, kuidas teenus on konfigureeritud. Võimalik, et saate selle lähtestada, saates e-kirja linki teise e-posti kontole, mille puhul e-posti konto võib olla nõrk lüli. Ideaalses olukorras võite vajada lihtsalt juurdepääsu telefoninumbrile või taastekoodidele - ja nagu me nägime, on telefoninumbri osa nõrk lüli.
Siin on midagi muud hirmutavat: see ei tähenda lihtsalt kaheastmelise kinnitamise möödu mist. Ründaja võib proovida sarnaseid trikke, et teie parool oleks täielikult välistatud. See võib toimida, sest veebiteenused soovivad tagada, et inimesed saaksid oma kontodele juurdepääsu tagasi, isegi kui nad kaotavad oma paroolid.
Näiteks tutvuge Google'i konto taastamise süsteemiga. See on teie konto taaskasutamise viimane samm. Kui te väidate, et ei tea ühtegi parooli, peate lõpuks paluma teavet teie konto kohta, näiteks selle loomisel ja kellele me tihti meilisõnumi saatke. Ründaja, kes teab piisavalt teie kohta, võiks teoreetiliselt kasutada nende paroolide lähtestamise protseduure, mis võimaldaksid juurdepääsu teie kontodele.
Me ei ole kunagi kuulnud Google'i konto taastamise protsessi kuritarvitamisest, kuid Google pole ainus ettevõte, kellel on sellised tööriistad. Nad ei pruugi olla täiesti lollikindlad, eriti kui ründaja teab sind piisavalt.
Kõigi probleemide korral on kaheastmelise kinnitamise konto ka edaspidi turvalisem kui sama konto ilma kaheastmelise kinnitamiseta. Kuid kaheteguriline autentimine ei ole hõbetüüp, nagu oleme näinud rünnakutega, mis kuritarvitavad suurimat nõrkat seost: teie telefonifirma.