25Aug
dviejų faktorių autentifikavimo sistemos nėra tokios kvailios, kokios atrodo. Užpuolikas iš tikrųjų nereikalauja jūsų fizinio autentifikavimo žetono, jei jis gali apgauti jūsų telefono įmonę ar pačią saugią paslaugą, kad ją išleistų.
Papildoma autentifikacija visada yra naudinga. Nors niekas neprilygsta tobulam saugumui, kurio visi norime, taikant dviejų faktorių autentifikavimą, užpuolikai, kurie nori jūsų daiktų, kelia daugiau kliūčių.
Jūsų telefono kompanija yra silpna linija
Dviejų pakopų autentifikavimo sistemos daugelyje svetainių veikia siunčiant SMS žinutę, kai kas nors bando prisijungti, net jei naudojate specialią programą savo telefone, kad sugeneruotumėte kodus.gera proga jūsų pasirinkta paslauga leidžia žmonėms prisijungti, išsiųsdami SMS žinutę į savo telefoną.Arba paslauga gali leisti pašalinti dviejų veiksnių autentifikavimo apsaugą iš paskyros, kai patvirtinate, kad turite prieigą prie telefono numerio, kurį sukonfigūravote kaip atkūrimo telefono numerį.
Tai viskas skamba gerai. Turite savo mobilųjį telefoną ir turi telefono numerį.Joje yra fizinė SIM kortelė, kuri susieja ją su šiuo mobiliojo telefono paslaugų teikėjo telefono numeriu. Viskas atrodo labai fiziškai. Deja, jūsų telefono numeris nėra toks saugus, kaip manote.
Jei kada nors reikės persikelti esamą telefono numerį į naują SIM kortelę, kai prarandate telefoną arba tiesiog gaunate naują, jūs žinote, ką dažnai galite tai padaryti telefonu, ar net internete. Visi užpuolikai turi tai padaryti, tai paskambinti savo mobiliojo telefono kompanijos klientų aptarnavimo skyriui ir apsimesti, kad esate jūs. Jie turės žinoti, kas yra jūsų telefono numeris, ir sužinoti apie jūsų asmeninę informaciją.Tai yra išsami informacija( pvz., Kredito kortelės numeris, paskutiniai keturi SSN skaitmeniai ir kiti), kurie reguliariai skleidžiasi didelėse duomenų bazėse ir naudojami tapatybės vagystėms. Užpuolikas gali bandyti gauti savo telefono numerį į savo telefoną.
Yra dar lengvesni būdai. Arba, pavyzdžiui, jie gali nustatyti skambučių persiuntimą telefono ryšio įmonės pabaigoje, kad įeinantys balso skambučiai būtų perduodami į savo telefoną ir nepasiektų jūsų.
Heck, užpuolikas gali nereikalauti prieigos prie viso telefono numerio. Jie galėjo gauti prieigą prie jūsų balso pašto, pabandyti prisijungti prie svetainių 3 val., O tada paimk patvirtinimo kodus iš savo balso pašto dėžutės. Ar saugu yra jūsų telefono kompanijos balso pašto sistema, tiksliai? Kaip saugus jūsų balso pašto PIN kodas - ar net jį nustatėte? Ne visi turi! Ir, jei turite, kiek pastangų užpuolėjui reikės iš naujo nustatyti savo balso pašto PIN kodą, skambindami savo telefono kompanijai?
su savo telefono numeriu, viskas per
. Jūsų telefono numeris tampa silpna linkme, leidžiantis jūsų užpuolėjui pašalinti dviem veiksmais patvirtinimą iš savo paskyros arba gauti patvirtinimo kodus dviem veiksmais per SMS arba balso skambučius. Tuo metu, kai suprantate kažką negerai, jie gali turėti prieigą prie tų sąskaitų.
Tai problema praktiškai kiekvienai paslaugai. Interneto paslaugos nenori, kad žmonės prarastų prieigą prie savo paskyrų, todėl paprastai jie leidžia apeiti ir pašalinti tą dviejų veiksnių autentifikavimą su jūsų telefono numeriu. Tai padeda, jei turėtumėte iš naujo nustatyti telefoną arba gauti naują, o jūs praradote dviejų faktorių autentifikavimo kodus, tačiau vis tiek turite savo telefono numerį.
Teoriškai čia turėtų būti daug apsaugos. Iš tikrųjų jūs kalbate su klientų aptarnavimo darbuotojais mobiliojo ryšio paslaugų teikėjose.Šios sistemos dažnai yra skirtos veiksmingumui, o klientų aptarnavimo darbuotojas gali ignoruoti kai kurias apsaugos priemones, su kuriomis susiduria klientas, kuris, regis, yra piktas, nekantrus ir turi tai, kas atrodo pakankamai informacijos. Jūsų telefono kompanija ir jos klientų aptarnavimo skyrius yra silpna jūsų saugumo nuoroda.
Jūsų telefono numerio apsauga yra sunki. Iš tiesų, mobiliojo ryšio bendrovės turėtų suteikti daugiau garantijų, kad tai būtų mažiau rizikinga. Tikrovėje jūs tikriausiai norite kažką daryti atskirai, o ne laukti, kol didelės korporacijos nustatytų savo klientų aptarnavimo procedūras. Kai kurios paslaugos gali leisti jums išjungti atkūrimą arba iš naujo nustatyti telefono numerius ir įspėti apie tai gausiai - tačiau, jei tai misija kritinė sistema, galbūt norėsite pasirinkti saugesnes atkūrimo procedūras, pvz., Iš naujo nustatyti kodus, kuriuos galite užrakinti banko saugyklojejums kada nors jų reikia.
Kitos atkūrimo procedūros
Taip pat yra ne tik jūsų telefono numeris. Daugelis paslaugų leidžia jums pašalinti šį dviejų veiksnių autentifikavimą kitais būdais, jei teigiate, kad praradote kodą ir turite prisijungti. Kol bus pakankamai informacijos apie paskyrą, galite įeiti.
Išbandykite patys - eikite į paslaugą, kurią užtikrinsite dviejų faktorių autentifikavimu, ir apsimestumėte, kad praradote kodą.Sužinokite, ko reikia, kad įeitumėte. Galbūt turėsite pateikti asmeninę informaciją arba atsakyti į nesaugius "saugumo klausimus" blogiausiu atveju. Tai priklauso nuo to, kaip sukonfigūruota paslauga. Galite jį iš naujo nustatyti atsiųsdami nuorodą į kitą el. Pašto paskyrą, tokiu atveju ši el. Pašto paskyra gali tapti silpna. Idealioje situacijoje jums gali prireikti prieigos prie telefono numerio arba atkūrimo kodų. Kaip matėme, telefono numerio dalis yra silpna.
Čia dar kažkas baisi: tai ne tik apeina dviejų žingsnių patvirtinimą.Užpuolikas gali išbandyti panašius triukus, kad visiškai išvengtų jūsų slaptažodžio. Tai gali būti naudinga, nes interneto paslaugos nori užtikrinti, kad žmonės galėtų susigrąžinti prieigą prie savo paskyros, net jei jie praranda savo slaptažodžius.
Pavyzdžiui, pažvelk į "Google" paskyros atkūrimo sistemą.Tai paskutinis kanalas, skirtas susigrąžinti paskyrą.Jei teigiate, kad nežinote jokių slaptažodžių, galų gale jūsų paprašys informacijos apie jūsų paskyrą, pvz., Kai ją sukūrėte ir kam dažnai atsiųsite el. Laišką.Užpuolikas, kuris pakankamai žino apie jus, teoriškai galėtų naudoti slaptažodžių atkūrimo procedūras, pvz., Gauti prieigą prie jūsų paskyrų.
Mes niekada negirdėjome, kad "Google" paskyros atkūrimo procesas yra piktnaudžiaujamas, tačiau "Google" nėra vienintelė bendrovė, turinti tokius įrankius. Ne visi gali būti visiškai apgaulingi, ypač jei užpuolikas pakankamai žino apie jus.
Nesvarbu, kokios problemos, sąranka su patvirtinimu dviem veiksmais visada bus saugesnė nei ta pati sąskaita be patvirtinimo dviem etapais. Tačiau dviejų veiksnių autentifikavimas nėra sidabro kulka, kaip mes matėme atakų, kurie piktnaudžiauja didžiausia silpna nuoroda: jūsų telefono kompanija.