25Aug
שני גורמים אימות מערכות אינם חסינים כפי שהם נראים.תוקף לא באמת צריך את אסימון אימות פיזי אם הם יכולים להערים על חברת הטלפון שלך או את השירות המאובטח עצמו לתת להם להיכנס.
אימות נוסף הוא תמיד מועיל.למרות ששום דבר לא מציע אבטחה מושלמת שכולנו רוצים, באמצעות אימות שני גורמים מעמיד מכשולים נוספים לתוקפים שרוצים את הדברים שלך.
חברת הטלפון שלך היא קישור חלש
מערכות האימות הדו-שלבי באתרי אינטרנט רבים פועלות על ידי שליחת הודעה לטלפון שלך באמצעות SMS כאשר מישהו מנסה להיכנס. גם אם אתה משתמש באפליקציה ייעודית בטלפון כדי ליצור קודים,סיכוי טוב השירות שלך מציע מציע לתת לאנשים להיכנס על ידי שליחת קוד ה- SMS לטלפון שלך.לחלופין, השירות עשוי לאפשר לך להסיר את ההגנה על אימות שני גורמים מחשבונך לאחר אישור הגישה למספר טלפון שהגדרת כמספר טלפון לשחזור.
כל זה נשמע בסדר.יש לך את הטלפון הסלולרי שלך, ויש לו מספר טלפון.יש לו כרטיס SIM פיזי בתוכו כי הקשרים אותו למספר הטלפון עם ספק הטלפון הסלולרי שלך.כל זה נראה פיזי מאוד.אבל, למרבה הצער, מספר הטלפון שלך הוא לא מאובטח כמו שאתה חושב.
אם אי פעם היה צורך להעביר מספר טלפון קיים כרטיס SIM חדש לאחר לאבד את הטלפון או פשוט מקבל אחד חדש, אתה יודע מה אתה יכול לעשות את זה לעתים קרובות לחלוטין בטלפון - או אולי אפילו באינטרנט.כל התוקף צריך לעשות הוא להתקשר הטלפון הסלולרי שלך שירות הלקוחות של מחלקת שירות ולהעמיד פנים שאתה.הם יצטרכו לדעת מה מספר הטלפון שלך ולדעת כמה פרטים אישיים עלייך.אלה סוגים של פרטים - לדוגמה, מספר כרטיס אשראי, ארבע ספרות אחרונות של SSN, ואחרים - כי דליפות באופן קבוע במסדי נתונים גדולים משמשים גניבת זהות.התוקף יכול לנסות להעביר את מספר הטלפון שלך לטלפון.
יש דרכים עוד יותר קל.לחלופין, לדוגמה, הם יכולים לקבל העברת שיחות להגדיר בסוף הטלפון של הטלפון, כך שיחות קוליות נכנסות מועברות הטלפון שלהם לא להגיע שלך.
, ייתכן שתוקף לא יזדקק לגישה למספר הטלפון המלא שלך.הם יוכלו לקבל גישה לדואר הקולי שלך, נסה להיכנס לאתרים בשעה 3 בבוקר, ולאחר מכן לתפוס את קודי האימות מתיבת הדואר הקולית שלך.עד כמה בטוחה מערכת הטלפון הקולי של חברת הטלפון שלך, בדיוק?איך הוא בטוח PIN הדואר הקולי שלך - יש לך אפילו להגדיר אחד?לא לכולם יש!ואם יש לך, כמה מאמץ זה ייקח לתוקף כדי לקבל את הדואר הקולי שלך PIN אפס על ידי התקשרות לחברת הטלפון שלך?
עם מספר הטלפון שלך, הכל נגמר
מספר הטלפון שלך הופך לקישור החלש, ומאפשר לתוקף שלך להסיר אימות דו-שלבי מהחשבון שלך - או לקבל קודי אימות דו-שלביים - באמצעות SMS או שיחות קוליות.כאשר אתה מבין שמשהו לא בסדר, הם יכולים לקבל גישה לאותם חשבונות.
זוהי בעיה עבור כמעט כל שירות.שירותים מקוונים אינם מעוניינים שאנשים יאבדו את הגישה לחשבונות שלהם, לכן הם בדרך כלל מאפשרים לך לעקוף ולהסיר את האימות של שני גורמים עם מספר הטלפון שלך.זה עוזר אם היית צריך לאפס את הטלפון שלך או לקבל אחד חדש ואיבדת את שני קודי אימות האימות שלך - אבל עדיין יש לך את מספר הטלפון שלך.
תיאורטית, יש כאן הרבה הגנה.למעשה, אתה מתמודד עם אנשי שירות הלקוחות של ספקי שירותים סלולריים.מערכות אלו נקבעות לעיתים קרובות ליעילות, ועובד שירות לקוחות עשוי להתעלם מחלק מהבטחים העומדים בפני לקוח שנראה כועס, חסר סבלנות, ויש לו מה שנראה כמו מידע מספיק.חברת הטלפון שלך ומחלקת שירות הלקוחות שלה הם חוליה חלשה באבטחה שלך.
הגנה על מספר הטלפון שלך קשה.באופן ריאלי, חברות הסלולר צריך לספק אמצעי הגנה נוספים כדי להפוך את זה פחות מסוכן.במציאות, אתה כנראה רוצה לעשות משהו לבד במקום לחכות לחברות גדולות כדי לתקן את הליכי שירות הלקוחות שלהם.חלק מהשירותים עשויים לאפשר לך להשבית את השחזור או לאפס באמצעות מספרי טלפון ולהזהיר אותו בשפע - אך אם מדובר במערכת קריטית למשימה, ייתכן שתרצה לבחור נהלי איפוס מאובטחים יותר, כגון קודים לאיפוס שניתן לנעול בכספת בנק במקרהאתה צריך אותם.אחר איפוס נהלים
זה לא רק לגבי מספר הטלפון שלך, או.שירותים רבים מאפשרים לך להסיר את האימות של שני גורמים בדרכים אחרות אם אתה טוען שאיבדת את הקוד ואתה צריך להיכנס. כל עוד אתה יודע פרטים אישיים מספיק על החשבון, ייתכן שתוכל להיכנס.
נסה זאת בעצמך - עבור לשירות שאיבדת עם אימות של שני גורמים והעמיד פנים שאיבדת את הקוד.ראה מה שנדרש כדי להיכנס. ייתכן שיהיה עליך לספק פרטים אישיים או לענות "לא בטוח" שאלות אבטחה בתרחיש במקרה הגרוע ביותר.זה תלוי איך השירות מוגדר.ייתכן שתוכל לאפס אותו על ידי שליחת קישור לחשבון דוא"ל אחר, ובמקרה כזה חשבון הדוא"ל עשוי להפוך לקישור חלש.במצב אידיאלי, ייתכן שתצטרך רק גישה למספר טלפון או לשחזור קוד - וכפי שראינו, חלק הטלפון הוא חוליה חלשה.
הנה עוד משהו מפחיד: זה לא רק לעקוף אימות דו-שלבי.תוקף יכול לנסות טריקים דומים כדי לעקוף את הסיסמה שלך לחלוטין.זה יכול לעבוד משום ששירותים מקוונים רוצים להבטיח שאנשים יוכלו לקבל גישה לחשבונות שלהם, גם אם הם יאבדו את הסיסמאות שלהם.
לדוגמה, עיין במערכת שחזור החשבון של Google.זוהי אפשרות אחרונה עבור שחזור החשבון שלך.אם תטען שאינך מכיר סיסמאות, תידרש בסופו של דבר לקבל מידע על החשבון שלך, כגון כאשר יצרת אותו ומי אתה שולח אליו דוא"ל לעתים קרובות.תוקף שיודע מספיק עלייך יוכל להשתמש באופן תיאורטי בהליכי איפוס סיסמה כגון אלה כדי לקבל גישה לחשבונות שלך.
מעולם לא שמענו על ניצול לרעה של תהליך שחזור החשבון של Google, אך Google אינה החברה היחידה שיש לה כלים כאלה.הם לא יכולים להיות לגמרי בטוחים לחלוטין, במיוחד אם התוקף יודע מספיק עלייך.
לא משנה מה הבעיות, חשבון עם אימות דו-שלבי תמיד יהיה מאובטח יותר מאותו חשבון ללא אימות דו-שלבי.אבל אימות שני גורמים הוא לא כדור כסף, כפי שראינו עם התקפות כי התעללות החוליה החלשה הגדולה ביותר: חברת הטלפון שלך.