25Aug

Seuraavassa kerrotaan, kuinka hyökkääjä voi ohittaa kaksitekijän todentamisen

Kaksitekstinen todentamisjärjestelmä ei ole niin helppoa kuin ne näyttävät. Hyökkääjä ei tosiasiallisesti tarvita fyysistä todennusmerkkiäsi, jos he voivat huijata puhelinyhtiöltä tai suojatusta palvelusta itseään antamalla heidät sisään.

Lisätodennukset ovat aina hyödyllisiä.Vaikka mikään ei tarjoa täydellistä turvallisuutta, jota me kaikki haluamme, kahden tekijän todennus lisää esteitä hyökkääjille, jotka haluavat sinun tavaraa.

Puhelimen yritys on heikko linkki

Monien sivustojen kaksivaiheinen todennustekniikka toimivat lähettämällä viestin puhelimeesi tekstiviestillä, kun joku yrittää kirjautua sisään. Vaikka käytät puhelimessa omia sovelluksia koodien luomiseen, on olemassahyvät mahdollisuudet, että valintasi palvelu antaa ihmisille kirjautumisen lähettämällä tekstiviestikoodin puhelimeesi. Tai palvelu saattaa sallia, että poistat kaksitasoisen todennustosuojauksen tililtäsi, kun olet vahvistanut, että sinulla on käyttöoikeus puhelinnumeroon, jonka olet määrittänyt takaisinottopuhelinnumeroksi.

Tämä kaikki kuulostaa hyvältä.Sinulla on matkapuhelin, ja siinä on puhelinnumero. Siinä on fyysinen SIM-kortti, joka sitoo sen puhelinnumeroon matkapuhelinoperaattorilla. Kaikki tuntuu hyvin fyysiseltä.Valitettavasti puhelinnumerosi ei ole niin turvallinen kuin luulet.

Jos olet joskus halunnut siirtää olemassa olevan puhelinnumeron uuteen SIM-korttiin puhelun menettämisen tai uuden puhelun saamisen jälkeen, tiedät, mitä voit tehdä usein puhelimella - tai ehkä jopa verkossa. Kaikki hyökkääjän täytyy tehdä soittamalla matkapuhelinyrityksen asiakaspalveluosastolle ja teeskentelemällä olevan sinä.Heidän on tiedettävä, mikä puhelinnumerosi on ja tietää joitain henkilökohtaisia ​​tietoja sinusta. Nämä ovat erilaisia ​​yksityiskohtia - esimerkiksi luottokortin numeroa, SSN: n neljää viimeistä numeroa ja muita - jotka vuotavat säännöllisesti suurissa tietokannoissa ja joita käytetään henkilöllisyyden varastamiseen. Hyökkääjä voi yrittää saada puhelinnumerosi siirtymään puhelimeen.

On vielä helpompi tapoja. Tai he esimerkiksi saavat puhelunvälityksen, joka on asetettu puhelimen yrityksen päähän, jotta saapuvat äänipuhelut siirretään puhelimeensa eivätkä pääse sinun.

Heck, hyökkääjä ei välttämättä tarvitse koko puhelinnumerosi. He voisivat käyttää puhepostia, yrittää kirjautua verkkosivustoihin klo 3 ja tarttua vahvistuskoodeihin vastaajapalvelusta. Kuinka turvallinen on puhelinyhtiön vastaajaviestijärjestelmä, tarkalleen? Kuinka turvallinen on puhepostin PIN-koodi - oletko edes määrittänyt yhden? Kaikki eivät ole! Ja jos sinulla on, kuinka paljon vaivaa, jotta hyökkääjä voisi saada puhepostin PIN-koodin nollauksen soittamalla puhelinyhtiölle?

Puhelinnumerosi on koko ajan

Puhelinnumerosi on heikko linkki, joten hyökkääjä voi poistaa kaksivaiheisen vahvistuksen tilistäsi - tai vastaanottaa kaksivaiheisen vahvistuskoodin - tekstiviestillä tai äänipuheluilla. Aikana, kun huomaat jotain vääristä, hänellä on pääsy näihin tileihin.

Tämä ongelma on käytännössä jokaiselle palvelulle. Verkkopalvelut eivät halua, että ihmiset menettävät käyttöoikeudet tileihinsä, joten he yleensä sallivat sinun ohittaa ja poistaa kaksitasoisen todennuksen puhelinnumerosi kanssa. Tämä auttaa, jos sinun on nollattava puhelimesi tai hankittava uusi, ja olet menettänyt kaksitieteiset tunnistuskoodit - mutta sinulla on edelleen puhelinnumerosi.

Teoriassa on tarkoitus olla paljon suojaa täällä.Todellisuudessa olet tekemisissä asiakaspalvelun kanssa matkapuhelinpalvelujen tarjoajien kanssa. Nämä järjestelmät perustuvat usein tehokkuuteen, ja asiakaspalvelutyöntekijä voi jättää huomiotta joitain suojatoimenpiteitä, jotka kohdistuvat asiakkaalta, joka on vihainen, kärsimätön ja jolla on tarpeeksi tietoa. Puhelinyritys ja sen asiakaspalveluosasto ovat heikko linkki tietoturvaasi.

Puhelinnumerosi suojaaminen on vaikeaa. Realistisesti matkapuhelinyhtiöiden pitäisi tarjota enemmän suojatoimia, jotta tämä olisi vähemmän riskialtista. Todellisuudessa sinä luultavasti haluat tehdä jotain itsellesi, eikä odottaa suuryrityksiä korjaamaan asiakaspalvelumenetelmää.Jotkin palvelut saattavat sallia palautuksen tai palauttaa puhelinnumerosi ja varoittaa sitä voimakkaasti - mutta jos se on kriittinen järjestelmä, voit halutessasi valita turvallisempia nollausproseduureja, kuten nollakoodeja, jotka voit lukita pankkisahassa, jostarvitset niitä.

Muut nollausmenetelmät

Se ei ole vain puhelinnumerosi. Monien palveluiden avulla voit poistaa tämän kaksitasoisen todennuksen muilla tavoilla, jos olet vaatinut, että olet kadottanut koodin ja kirjaudut sisään. Niin kauan kuin tunnet tilistäsi tarpeeksi henkilökohtaisia ​​tietoja, saatat päästä sisään.

Kokeile itseäsi - siirry palveluun, jonka olet varmistanut kaksitasoisella todennuksella ja näytä, että olet menettänyt koodin. Katso, mitä se vaatii. Sinun on ehkä annettava henkilökohtaisia ​​tietoja tai vastattava epävarmoissa "turvallisuuskysymyksissä" pahimmassa tapauksessa. Se riippuu siitä, miten palvelu on määritetty. Voit ehkä nollata sen lähettämällä linkin toiseen sähköposti-tiliin, jolloin kyseinen sähköpostiosoite voi olla heikko linkki. Ihanteellisessa tilanteessa saatat tarvita vain puhelinnumeroa tai palautuskoodeja - ja kuten olemme nähneet, puhelinnumeroosa on heikko linkki.

Tässä on jotain muuta pelottavaa: ei ole kyse vain kaksivaiheisen vahvistuksen ohittamisesta. Hyökkääjä voi kokeilla samankaltaisia ​​temppuja ohittamalla salasanasi kokonaan. Tämä voi toimia, koska verkkopalvelut haluavat varmistaa, että ihmiset voivat palauttaa tilinsa, vaikka he menettäisivät salasanansa.

Tutustu esimerkiksi Google-tilien palautusjärjestelmään. Tämä on viimeinen ovela-asetus tilin palauttamiseksi. Jos väität, ettet tiedä mitään salasanoja, saat lopulta tietoja tilistäsi, kuten luodessasi ja keneltä lähetät usein sähköpostia. Hyökkääjä, joka tuntee sinusta tarpeeksi, voi teoriassa käyttää näiden salasanojen palautusmenettelyjä, jotta pääset käsiksi tileihisi.

Emme ole koskaan kuullut, että Googlen tilien palautusprosessi on väärin, mutta Google ei ole ainoa yritys, jolla on tällaisia ​​työkaluja. Kaikki eivät välttämättä ole täysin luotettavia, varsinkin jos hyökkääjä tietää tarpeeksi sinusta.

Riippumatta ongelmista, tili, jossa kaksivaiheinen vahvistus on luotu, on aina turvallisempi kuin sama tili ilman kaksivaiheista vahvistusta. Mutta kahden tekijän todennus ei ole hopea luoti, kuten olemme nähneet hyökkäyksillä, jotka käyttävät väärin suurinta heikkoa linkkiä: puhelinyhtiö.