25Aug
A kétfokozatú hitelesítési rendszerek nem annyira egyszerűek, mint amilyennek tűnnek. A támadónak valójában nincs szüksége a fizikai hitelesítési tokenjére, ha trükkje lehet a telefonvállalat vagy a biztonságos szolgáltatás számára, hogy engedélyezze őket.
A további hitelesítés mindig hasznos. Bár semmi sem kínálja azt a tökéletes biztonságot, amit mindannyian szeretnénk, a kétszeres hitelesítés használatával több akadály állhat a támadók számára, akik szeretnék a dolgokat.
A telefonvállalat gyenge link
A kétlépcsős hitelesítési rendszerek számos webhelyen működnek, ha SMS-ben üzenetet küldenek telefonjára, amikor valaki be szeretne jelentkezni. Még akkor is, ha telefonján egy dedikált alkalmazást használ a kódok létrehozásához.jó esély arra, hogy a választott szolgáltatásai lehetővé teszik az embereknek, hogy SMS-kódot küldjenek telefonjára. Vagy a szolgáltatás lehetővé teheti, hogy távolítsa el a kétütemű hitelesítési védelmet a fiókjából, miután megerősítette, hogy hozzáférést kap egy visszaigazoló telefonszámhoz konfigurált telefonszámhoz.
Ez jól hangzik. Van mobiltelefonod, és van egy telefonszáma. Egy fizikai SIM-kártya van benne, amely összekapcsolja azt a telefonszámot mobiltelefon-szolgáltatójával. Minden nagyon fizikai. De sajnos a telefonszáma nem olyan biztonságos, mint gondolná.
Ha valaha szüksége volt egy meglévő telefonszám áthelyezésére egy új SIM-kártyára, miután elvesztette a telefont, vagy csak egy újat kapott, akkor tudni fogja, hogy mit tehet a telefonon - vagy akár az interneten is. Minden támadónak meg kell tennie, hogy hívja a mobiltelefon-vállalatának ügyfélszolgálatát, és úgy tesz, mintha te lennél. Meg kell tudniuk, hogy mi a telefonszáma, és tud róla néhány személyes adatot. Ezek a részletek - például a hitelkártya száma, az SSN utolsó négy számjegye és mások -, amelyek rendszeresen kiszivárognak nagy adatbázisokban, és személyazonosság-lopáshoz használják őket. A támadó megpróbálhatja átvenni a telefonszámát a telefonjára.
Még könnyebb utak is vannak. Vagy például telefonhívás-továbbítást hozhatnak létre a telefonvállalat végén, hogy a bejövő hanghívásokat továbbítsák a telefonjukra, és ne érjék el a tiédet.
Heck, a támadó nem feltétlenül fér hozzá a teljes telefonszámához. Hozzáférhettek a hangpostájához, próbálkozzon a weboldalakon bejelentkezni 3:00 órakor, majd megragadhatja az ellenőrző kódokat a hangpostafiókjából. Pontosan milyen biztonságos a telefonvállalat hangposta-rendszere? Mennyire biztonságos a hangposta PIN-kódja - még meg is állítottad? Nem mindenkinek van!És ha van ilyen, mennyi erőfeszítést igényel a támadó, hogy a hangposta PIN-kódját alaphelyzetbe állítsa, ha felhívja a telefonvállalatot?
Az Ön telefonszáma alatt ez az egész
A telefonszám gyenge link, és lehetővé teszi, hogy a támadó kétlépcsős azonosítást távolítson el a fiókjából - vagy fogadjon kétlépcsős azonosítókódokat - SMS vagy hanghívások útján. Abban az időben, amikor rájössz, hogy valami baj van, hozzáférhetnek ezekhez a számlákhoz.
Ez gyakorlatilag minden szolgáltatás problémája. Az online szolgáltatások nem szeretnék, hogy az emberek elveszítsék fiókjaikhoz való hozzáférést, ezért általában lehetővé teszik, hogy megkerüljék és eltávolítsák a kétszámjegyű hitelesítést a telefonszámával. Ez segít abban, hogy újra be kell állítania a telefont, vagy újat kell kapnia, és elvesztette a kétütemű hitelesítési kódokat - de még mindig rendelkezik telefonszámával.
Elméletileg sok védelemre lenne szükség. A valóságban az ügyfélszolgálati emberekkel foglalkozik a mobilszolgáltatóknál. Ezeket a rendszereket gyakran a hatékonyság érdekében hozták létre, és az ügyfélszolgálati alkalmazottak figyelmen kívül hagyhatják az ügyfelekkel szembeni olyan óvintézkedéseket, amelyek dühösnek, türelmetlennek tűnnek, és elég információnak tűnnek. A telefonvállalat és az ügyfélszolgálat gyenge link a biztonságban.
Telefonszámának védelme kemény. Reálisan, a mobiltelefon-cégeknek több biztosítékot kell biztosítaniuk ahhoz, hogy ez kevésbé kockázatos legyen. A valóságban valószínűleg valamit akarsz magadon tenni, nem pedig arra vársz, hogy a nagyvállalatok megszerezzék az ügyfélszolgálati eljárásokat. Egyes szolgáltatások lehetővé tehetik a helyreállítás vagy a telefonszámok visszaállítását, és bőkezűen figyelmeztetik rá a figyelmeztetést - de ha ez egy kritikus fontosságú rendszer, akkor érdemes több biztonságos újraindítási eljárást választani, például a bankszekrénybe zárolható visszaállítási kódokatValaha szüksége van rájuk.
Egyéb Reset Procedures
Nem csak a telefonszámodról van szó.Számos szolgáltatás lehetővé teszi, hogy más módon távolítsa el ezt a két tényezőjű hitelesítést, ha azt állítja, hogy elvesztette a kódot, és be kell jelentkeznie. Ha ismered a személyre vonatkozó személyes adatokat, akkor lehet, hogy bejutsz.
Próbálja ki önmagát - menjen a kétfunkciós hitelesítéssel biztosított szolgáltatáshoz, és úgy tegye, mintha elvesztené a kódot. Nézze meg, hogy mi kell ahhoz, hogy bejusson. Előfordulhat, hogy a legrosszabb esetekben személyes adatokat kell megadnia vagy bizonytalan "biztonsági kérdéseket" válaszol. Attól függ, hogy a szolgáltatás hogyan van beállítva. Lehet, hogy visszaállíthatja azt egy másik e-mail fiókra mutató hivatkozással, amely esetben az e-mail fiók gyenge kapcsolatot jelenthet. Ideális helyzetben csak telefonszámra vagy helyreállítási kódokra van szüksége - és ahogy láttuk, a telefonszám gyenge link.
Itt van valami más ijesztő: nem csak a kétlépcsős azonosítás elkerülése. A támadó hasonló trükköket próbálhat ki a teljes jelszó megkerülésére. Ez azért is működhet, mert az online szolgáltatások azt szeretnék biztosítani, hogy az emberek újra hozzáférhessenek fiókjaikhoz, még akkor is, ha elveszítik jelszavukat.
Például, nézze meg a Google Fiók helyreállítási rendszert. Ez egy utolsó csatorna lehetőség a fiók helyreállításához. Ha azt állítja, hogy nem ismeri fel a jelszavakat, akkor végül a fiókjával kapcsolatos információkra lesz szükséged, például a létrehozásakor és az e-mailek gyakran. Az a támadó, aki ismeri Önt eléggé, elméletileg elméletileg a jelszó-visszaállítási eljárásokat is felhasználhatja fiókjainak eléréséhez.
Soha nem hallottunk arról, hogy a Google Fiókhelyreállítási folyamatát visszaéltek, de a Google nem az egyetlen ilyen eszközzel rendelkező eszköz. Nem biztos, hogy mindannyian kifogásolhatóak lennének, különösen, ha a támadó eléggé tud rólad.
Bármi legyen is a probléma, egy kétlépcsős azonosítási fiók létrehozása mindig biztonságosabb lesz, mint ugyanazon fiók kétlépcsős azonosítás nélkül. De a kétfaktoros hitelesítés nem ezüstös golyó, mint láttuk olyan támadásokkal, amelyek visszaélnek a legnagyobb gyenge kapcsolattal: a telefonszolgáltatója.