25Aug
Two-factor authenticatiesystemen zijn niet zo onfeilbaar als ze lijken. Een aanvaller heeft uw fysieke-authenticatietoken niet nodig als ze uw telefoonmaatschappij of de beveiligde service zelf kunnen misleiden om hen binnen te laten.
Aanvullende authenticatie is altijd nuttig. Hoewel niets die perfecte beveiliging biedt die we allemaal willen, biedt het gebruik van tweefactorauthenticatie meer obstakels voor aanvallers die je spullen willen.
Uw telefoonmaatschappij is een zwakke verbinding
De authenticatie-systemen in twee stappen op vele websites werken door een bericht naar uw telefoon te verzenden via sms wanneer iemand probeert in te loggen. Zelfs als u een speciale app op uw telefoon gebruikt om codes te genereren, is ereen goede kans dat uw service naar keuze biedt om mensen te laten inloggen door een sms-code naar uw telefoon te verzenden. Of de service kan u toestaan de authenticatiebeveiliging voor twee factoren uit uw account te verwijderen nadat u hebt bevestigd dat u toegang hebt tot een telefoonnummer dat u hebt geconfigureerd als herstelnummer.
Dit klinkt allemaal prima. U heeft uw mobiele telefoon en deze heeft een telefoonnummer. Het heeft een fysieke SIM-kaart erin die het met dat telefoonnummer verbindt met uw mobiele telefoonprovider. Het lijkt allemaal heel fysiek. Maar helaas is uw telefoonnummer niet zo veilig als u denkt.
Als u ooit een bestaand telefoonnummer naar een nieuwe SIM-kaart moet verplaatsen nadat u uw telefoon bent kwijtgeraakt of een nieuwe hebt gekregen, weet u wat u vaak kunt doen, geheel telefonisch of misschien zelfs online. Het enige wat een aanvaller hoeft te doen is de klantenservice van uw mobiele telefoonbedrijf bellen en zich voordoen als u. Ze moeten weten wat je telefoonnummer is en weten wat persoonlijke gegevens over jou zijn. Dit zijn de soorten details - bijvoorbeeld creditcardnummers, laatste vier cijfers van een SSN en andere - die regelmatig lekken in grote databases en worden gebruikt voor identiteitsdiefstal. De aanvaller kan proberen je telefoonnummer naar de telefoon te verplaatsen.
Er zijn nog eenvoudiger manieren. Of, bijvoorbeeld, ze kunnen oproepdoorschakeling instellen aan de kant van de telefoonmaatschappij, zodat inkomende spraakoproepen worden doorgeschakeld naar hun telefoon en de uwe niet bereiken.
Heck, een aanvaller heeft mogelijk geen toegang nodig tot uw volledige telefoonnummer. Ze kunnen toegang krijgen tot uw voicemail, proberen om 3 uur 's ochtends in te loggen bij websites en vervolgens de verificatiecodes uit uw voicemailbox halen. Hoe veilig is het voicemailsysteem van uw telefoonbedrijf precies? Hoe veilig is uw voicemail-PIN - heeft u er zelfs een ingesteld? Niet iedereen heeft dat gedaan! En hoeveel moeite kost een aanvaller om uw voicemail-pincode te resetten door uw telefoonmaatschappij te bellen?
met uw telefoonnummer, het is overal
Uw telefoonnummer wordt de zwakke link, waardoor uw aanvaller authenticatie in twee stappen uit uw account kan verwijderen - of tweestapsverificatiecodes kan ontvangen - via sms of spraakoproepen. Tegen de tijd dat je je realiseert dat er iets mis is, kunnen ze toegang hebben tot die accounts.
Dit is een probleem voor praktisch elke dienst. Online services willen niet dat mensen de toegang tot hun accounts verliezen, zodat ze u over het algemeen toestaan om die twee-factor-authenticatie te omzeilen en te verwijderen met uw telefoonnummer. Dit helpt als je je telefoon opnieuw moet instellen of een nieuwe hebt en je hebt je verificatiecodes voor twee factoren verloren, maar je hebt nog steeds je telefoonnummer.
In theorie zou er hier veel bescherming moeten zijn. In werkelijkheid heb je te maken met de klantenservice bij mobiele serviceproviders. Deze systemen zijn vaak ingesteld op efficiëntie en een medewerker van de klantenservice kan sommige waarborgen negeren die worden geconfronteerd met een klant die boos, ongeduldig lijkt en voldoende informatie heeft. Uw telefoonmaatschappij en haar klantenservice zijn een zwakke schakel in uw beveiliging.
Het beschermen van uw telefoonnummer is moeilijk. Realistisch gezien zouden mobiele telefoonbedrijven meer voorzorgsmaatregelen moeten nemen om dit minder riskant te maken. In werkelijkheid wil je waarschijnlijk iets alleen doen in plaats van te wachten tot grote bedrijven hun klantenserviceprocedures repareren. Sommige services kunnen u toestaan herstel of reset via telefoonnummers uit te schakelen en hiertegen te waarschuwen - maar als het een bedrijfskritisch systeem is, wilt u misschien meer veilige resetprocedures kiezen, zoals resetcodes, u kunt een bankkluis vergrendelen voor het geval uje hebt ze ooit nodig.
Andere resetprocedures
Het gaat niet alleen om je telefoonnummer. Met veel services kunt u die tweefactorauthenticatie op andere manieren verwijderen als u beweert dat u de code bent kwijtgeraakt en moet inloggen. Zolang u voldoende persoonlijke gegevens over het account kent, kunt u mogelijk binnenkomen.
Probeer het zelf - ga naar de service die u hebt beveiligd met tweefactorauthenticatie en doe alsof u de code bent kwijtgeraakt. Kijk wat er nodig is om erin te komen. Mogelijk moet u in het slechtste geval persoonlijke gegevens opgeven of onveilige 'beveiligingsvragen' beantwoorden. Dit hangt af van hoe de service is geconfigureerd. U kunt het mogelijk opnieuw instellen door een link naar een ander e-mailaccount te e-mailen. In dat geval kan dat e-mailaccount een zwakke link worden. In een ideale situatie hebt u misschien gewoon toegang nodig tot een telefoonnummer of herstelcodes - en zoals we hebben gezien, is het onderdeel telefoonnummer een zwakke schakel.
Nog iets vreemds: het gaat niet alleen om het omzeilen van authenticatie in twee stappen. Een aanvaller kan soortgelijke trucs uitproberen om uw wachtwoord volledig te omzeilen. Dit kan werken omdat online services ervoor willen zorgen dat mensen weer toegang tot hun accounts kunnen krijgen, zelfs als ze hun wachtwoorden verliezen.
Bekijk bijvoorbeeld het Google-accountherstelsysteem. Dit is een laatste optie voor het herstellen van uw account. Als u beweert geen wachtwoorden te kennen, wordt u uiteindelijk om informatie over uw account gevraagd, zoals wanneer u het heeft gemaakt en wie u vaak e-mailt. Een aanvaller die genoeg van u weet, zou in theorie dergelijke procedures voor wachtwoordherstel kunnen gebruiken om toegang te krijgen tot uw accounts.
We hebben nog nooit gehoord dat het accountherstelproces van Google wordt misbruikt, maar Google is niet het enige bedrijf met dergelijke tools. Ze kunnen niet allemaal volledig onfeilbaar zijn, vooral als een aanvaller genoeg van je weet.
Wat de problemen ook zijn, een account met tweestapsverificatie is altijd veiliger dan hetzelfde account zonder tweestapsverificatie. Maar tweefactorauthenticatie is geen wondermiddel, zoals we hebben gezien bij aanvallen die misbruik maken van de grootste zwakke schakel: uw telefoonbedrijf.
