25Aug
I sistemi di autenticazione a due fattori non sono così infallibili come sembrano. Un utente malintenzionato non ha realmente bisogno del proprio token di autenticazione fisica se può ingannare la società telefonica o il servizio di sicurezza stesso per farlo entrare.
L'autenticazione aggiuntiva è sempre utile. Anche se nulla offre quella sicurezza perfetta che tutti noi vogliamo, l'autenticazione a due fattori mette più ostacoli agli aggressori che vogliono i tuoi contenuti.
La tua compagnia telefonica è un link debole
I sistemi di autenticazione in due passaggi su molti siti web funzionano inviando un messaggio al tuo telefono tramite SMS quando qualcuno cerca di accedere. Anche se usi un'app dedicata sul tuo telefono per generare codici, c'èuna buona possibilità che il tuo servizio di scelta offra l'accesso alle persone inviando un codice SMS al tuo telefono. In alternativa, il servizio potrebbe consentire di rimuovere la protezione dell'autenticazione a due fattori dal proprio account dopo aver confermato di avere accesso a un numero di telefono configurato come numero di telefono di ripristino.
Tutto sembra a posto. Hai il tuo cellulare e ha un numero di telefono. Ha al suo interno una scheda SIM fisica che la lega a quel numero di telefono con il tuo gestore di telefonia mobile. Sembra tutto molto fisico. Ma, purtroppo, il tuo numero di telefono non è sicuro come pensi.
Se hai mai avuto bisogno di spostare un numero di telefono esistente su una nuova scheda SIM dopo aver perso il telefono o averne appena acquistato uno nuovo, saprai cosa puoi fare spesso per telefono o forse anche online. Tutto ciò che un utente malintenzionato deve fare è chiamare il servizio clienti dell'azienda della tua compagnia telefonica e fingere di essere te stesso. Avranno bisogno di sapere qual è il tuo numero di telefono e conoscere alcuni dettagli personali su di te. Questi sono i tipi di dettagli - ad esempio il numero di carta di credito, le ultime quattro cifre di un SSN e altri - che perdono regolarmente in grandi database e vengono utilizzati per il furto di identità.L'utente malintenzionato può provare a trasferire il numero di telefono sul proprio telefono.
Ci sono modi ancora più semplici. Oppure, ad esempio, è possibile impostare la deviazione delle chiamate dall'esterno della compagnia telefonica in modo che le chiamate vocali in arrivo vengano inoltrate al proprio telefono e non vengano raggiunte dall'utente.
Heck, un utente malintenzionato potrebbe non aver bisogno di accedere al numero di telefono completo. Potrebbero accedere alla tua casella vocale, provare ad accedere ai siti Web alle 3:00 e quindi prelevare i codici di verifica dalla tua segreteria telefonica. Quanto è sicuro il sistema di posta vocale della tua compagnia telefonica, esattamente? Quanto è sicuro il tuo PIN per la casella vocale? Ne hai mai impostato uno? Non tutti hanno! E, se lo hai, quanto impegno ci vorrebbe per un utente malintenzionato per ripristinare il PIN della tua segreteria telefonica chiamando la tua compagnia telefonica?
con il tuo numero di telefono, è tutto finito
Il tuo numero di telefono diventa il collegamento debole, consentendo al tuo aggressore di rimuovere la verifica in due passaggi dal tuo account - o di ricevere codici di verifica in due passaggi - tramite SMS o chiamate vocali. Quando capisci che qualcosa non va, possono avere accesso a questi account.
Questo è un problema praticamente per ogni servizio. I servizi online non vogliono che le persone perdano l'accesso ai propri account, quindi in genere consentono di ignorare e rimuovere l'autenticazione a due fattori con il proprio numero di telefono. Ciò aiuta se hai dovuto ripristinare il telefono o averne uno nuovo e hai perso i tuoi codici di autenticazione a due fattori, ma hai ancora il tuo numero di telefono.
In teoria, ci dovrebbe essere molta protezione qui. In realtà, hai a che fare con le persone del servizio clienti presso i fornitori di servizi cellulari. Questi sistemi sono spesso impostati per l'efficienza, e un dipendente del servizio clienti può trascurare alcune delle garanzie di fronte a un cliente che sembra arrabbiato, impaziente e ha quello che sembra abbastanza informazioni. La tua compagnia telefonica e il suo servizio clienti sono un anello debole nella tua sicurezza.
Proteggere il tuo numero di telefono è difficile. Realisticamente, le compagnie telefoniche cellulari dovrebbero fornire maggiori garanzie per rendere questo meno rischioso. In realtà, probabilmente vorrai fare qualcosa da solo invece di aspettare che le grandi corporation risolvano le loro procedure di assistenza clienti. Alcuni servizi potrebbero consentire di disabilitare il ripristino o il ripristino tramite numeri di telefono e metterlo in guardia in modo profuso, ma, se si tratta di un sistema mission-critical, è possibile scegliere procedure di ripristino più sicure come i codici di reset che è possibile bloccare in un caveau di una banca nel casone hai mai avuto bisogno
Altre procedure di ripristino
Non si tratta solo del tuo numero di telefono. Molti servizi ti consentono di rimuovere l'autenticazione a due fattori in altri modi se dichiari di aver perso il codice e di dover effettuare l'accesso. Se conosci abbastanza dettagli personali sull'account, potresti riuscire ad entrare.
Provalo tu stesso: vai al servizio che hai protetto con l'autenticazione a due fattori e fai finta di aver perso il codice. Scopri cosa serve per entrare. Potrebbe essere necessario fornire dettagli personali o rispondere a "domande di sicurezza" non sicure nel peggiore dei casi. Dipende da come è configurato il servizio. Potresti essere in grado di resettarlo inviando un link a un altro account e-mail, nel qual caso l'account e-mail potrebbe diventare un link debole. In una situazione ideale, potresti semplicemente aver bisogno di accedere a un numero di telefono o ai codici di ripristino e, come abbiamo visto, la parte del numero di telefono è un collegamento debole.
Ecco qualcos'altro di spaventoso: non si tratta solo di bypassare la verifica in due passaggi. Un utente malintenzionato potrebbe provare trucchi simili per ignorare completamente la password. Questo può funzionare perché i servizi online vogliono assicurarsi che le persone possano riacquistare l'accesso ai loro account, anche se perdono le loro password.
Ad esempio, dai un'occhiata al sistema di recupero dell'account Google. Questa è l'ultima opzione per recuperare il tuo account. Se dichiari di non conoscere alcuna password, alla fine ti verranno chieste informazioni sul tuo account come quando lo hai creato e chi invii spesso email. Un utente malintenzionato che conosce abbastanza te potrebbe in teoria utilizzare procedure di reimpostazione della password come queste per ottenere l'accesso ai tuoi account.
Non abbiamo mai sentito di abusi del processo di recupero dell'account di Google, ma Google non è l'unica azienda con strumenti come questo. Non possono essere completamente infallibili, specialmente se un attaccante ne sa abbastanza di te.
Indipendentemente dai problemi, un account con la verifica in due passaggi sarà sempre più sicuro dello stesso account senza verifica in due passaggi. Ma l'autenticazione a due fattori non è una pallottola d'argento, come abbiamo visto con attacchi che sfruttano il più debole anello debole: la tua compagnia telefonica.