25Aug
Os sistemas de autenticação de dois fatores não são tão infalíveis quanto parecem. Um invasor na verdade não precisa de seu token de autenticação física se eles puderem enganar a sua empresa de telefonia ou o próprio serviço seguro para deixá-los entrar.
Autenticação adicional é sempre útil. Embora nada ofereça essa segurança perfeita que todos queremos, o uso de autenticação de dois fatores coloca mais obstáculos para os atacantes que desejam suas coisas.
A sua empresa de telefonia é um link fraco
Os sistemas de autenticação de dois passos em muitos sites funcionam enviando uma mensagem para o seu telefone via SMS quando alguém tenta fazer login. Mesmo que você use uma aplicação dedicada no seu telefone para gerar códigos, existeuma boa chance de seu serviço de escolha oferecer para permitir que as pessoas façam login enviando um código SMS para o seu telefone. Ou, o serviço pode permitir que você remova a proteção de autenticação de dois fatores de sua conta depois de confirmar que você tenha acesso a um número de telefone que você configurou como um número de telefone de recuperação.
Isso parece bem. Você tem o seu telefone celular e tem um número de telefone. Tem um cartão SIM físico dentro dele que o liga a esse número de telefone com seu provedor de celular. Tudo parece muito físico. Mas, infelizmente, seu número de telefone não é tão seguro quanto você pensa.
Se você já precisou mover um número de telefone existente para um novo cartão SIM depois de perder o telefone ou apenas receber um novo, você saberá o que você pode fazer com o telefone por completo - ou talvez até on-line. Tudo o que um atacante tem a fazer é chamar o departamento de atendimento ao cliente da sua empresa de telefonia celular e fingir ser você.Eles precisarão saber qual é seu número de telefone e conhecer alguns detalhes pessoais sobre você.Estes são os tipos de detalhes - por exemplo, número de cartão de crédito, últimos quatro dígitos de um SSN e outros - que regularmente vazam em grandes bancos de dados e são usados para roubo de identidade. O invasor pode tentar obter seu número de telefone movido para o telefone.
Existem maneiras ainda mais fáceis. Ou, por exemplo, eles podem obter o encaminhamento de chamadas configurado no final da empresa do telefone para que as chamadas de voz recebidas sejam encaminhadas para o telefone e não atinjam o seu.
Heck, um invasor pode não precisar de acesso ao seu número de telefone completo. Eles poderiam ter acesso ao seu correio de voz, tentar fazer login nos sites às 3 da manhã e, em seguida, pegue os códigos de verificação da sua caixa de correio de voz. Quão seguro é o sistema de correio de voz da sua companhia de telefone, exatamente? Quão seguro é seu PIN de correio de voz - você mesmo configurou um? Nem todos tem! E, se você tiver, quanto esforço levaria para um invasor obter o PIN do seu correio de voz redefinido, ligando para a sua companhia de telefone?
Com o seu número de telefone, está todo o
O seu número de telefone se torna o link fraco, permitindo que seu invasor remova a verificação em duas etapas de sua conta - ou receba códigos de verificação em duas etapas - via SMS ou chamadas de voz. Quando você perceber que algo está errado, eles podem ter acesso a essas contas.
Este é um problema para praticamente todos os serviços. Os serviços on-line não querem que as pessoas percam o acesso às suas contas, portanto, geralmente permitem que você ignore e remova essa autenticação de dois fatores com seu número de telefone. Isso ajuda se você teve que redefinir seu telefone ou obter um novo e você perdeu seus códigos de autenticação de dois fatores - mas você ainda possui seu número de telefone.
Teoricamente, deve haver muita proteção aqui. Na realidade, você está lidando com as pessoas do serviço ao cliente em provedores de serviços de celular. Esses sistemas geralmente são criados para eficiência, e um funcionário do serviço ao cliente pode ignorar algumas das salvaguardas enfrentadas com um cliente que parece irritado, impaciente e tem o que parece ser uma informação suficiente. Sua empresa de telefonia e seu departamento de atendimento ao cliente são um link fraco na sua segurança.
Proteger seu número de telefone é difícil. Realisticamente, as empresas de telefonia celular devem fornecer mais salvaguardas para tornar isso menos arriscado. Na realidade, você provavelmente quer fazer algo por conta própria em vez de esperar que grandes corporações consertem seus procedimentos de atendimento ao cliente. Alguns serviços podem permitir que você desabilite a recuperação ou a redefinição por meio de números de telefone e avise contra isso de forma profítima - mas, se for um sistema de missão crítica, você pode querer escolher procedimentos de redefinição mais seguros, como redefinir os códigos que você pode bloquear em um cofre do banco no casovocê sempre precisa deles.
Outros Procedimentos de Reposição
Também não é apenas sobre o seu número de telefone. Muitos serviços permitem que você remova essa autenticação de dois fatores de outras maneiras, se você reivindicar que perdeu o código e precisa fazer login. Enquanto você conhecer informações pessoais suficientes sobre a conta, você poderá entrar.
Experimente você mesmo - acesse o serviço que você assegurou com a autenticação de dois fatos e finja que você perdeu o código. Veja o que é preciso para entrar. Você pode ter que fornecer detalhes pessoais ou responder a "perguntas de segurança" inseguras no pior dos casos. Depende de como o serviço está configurado. Você pode reativá-lo enviando um link para uma outra conta de e-mail, caso em que essa conta de e-mail pode se tornar um link fraco. Em uma situação ideal, você só precisa ter acesso a um número de telefone ou códigos de recuperação - e, como já vimos, a parte do número de telefone é um link fraco.
Aqui está algo mais assustador: não se trata apenas de ignorar a verificação em duas etapas. Um invasor pode tentar truques semelhantes para ignorar sua senha inteiramente. Isso pode funcionar porque os serviços on-line querem garantir que as pessoas possam recuperar o acesso às suas contas, mesmo que elas percam suas senhas.
Por exemplo, veja o sistema de Recuperação de Conta do Google. Esta é uma opção de última hora para recuperar sua conta. Se você reivindicar não conhecer senhas, você será eventualmente solicitado informações sobre sua conta, como quando você a criou e quem freqüentemente o e-mail. Um invasor que sabe o suficiente sobre você poderia teoricamente usar procedimentos de redefinição de senha como esses para ter acesso às suas contas.
Nunca ouvimos falar do processo de Recuperação de Conta do Google sendo abusado, mas o Google não é a única empresa com ferramentas como esta. Não podem ser inteiramente infalíveis, especialmente se um invasor sabe o suficiente sobre você.
Independentemente dos problemas, uma conta com configuração de verificação em duas etapas sempre será mais segura do que a mesma conta sem verificação em duas etapas. Mas a autenticação de dois fatores não é uma bala de prata, como vimos com ataques que abusam do maior elo fraco: sua companhia de telefone.