25Aug
Sistemele de autentificare cu două factori nu sunt la fel de bine cum arată.Un atacator nu are de fapt nevoie de token-ul dvs. de autentificare fizică dacă poate să-și păcălească compania de telefonie sau serviciul securizat în sine pentru a le permite să intre.
Autentificarea suplimentară este întotdeauna de ajutor. Deși nimic nu oferă siguranța perfectă pe care o dorim cu toții, folosirea autentificării cu două factori pune mai multe obstacole în calea atacatorilor care vor lucrurile tale.
Compania dvs. de telefonie este o legătură slabă
Sistemele de autentificare în două etape de pe mai multe site-uri web funcționează prin trimiterea unui mesaj către telefon prin SMS atunci când cineva încearcă să se conecteze. Chiar dacă utilizați o aplicație dedicată pe telefon pentru a genera coduri,o șansă bună oferită de serviciul dvs. de alegere pentru a permite utilizatorilor să se conecteze prin trimiterea unui cod SMS pe telefon. De asemenea, serviciul vă poate permite să eliminați protecția de autentificare cu două factori din contul dvs. după ce confirmați că aveți acces la un număr de telefon pe care l-ați configurat ca număr de telefon de recuperare.
Toate acestea suna bine. Aveți telefonul mobil și are un număr de telefon. Are o cartelă SIM fizică în interiorul telefonului care o leagă de numărul dvs. de telefon cu furnizorul tău de telefonie mobilă.Totul pare foarte fizic. Dar, din păcate, numărul dvs. de telefon nu este la fel de sigur pe cât credeți.
Dacă ați avut nevoie vreodată să mutați un număr de telefon existent pe o nouă cartelă SIM după ce ați pierdut telefonul sau ați obținut unul nou, veți ști ce puteți face de multe ori prin telefon - sau chiar online. Tot ce trebuie să faceți un atacator este să sunați la departamentul de servicii pentru clienți al companiei dvs. de telefonie mobilă și să vă prefaceți că sunteți voi. Vor avea nevoie să știe ce este numărul dvs. de telefon și să știe câteva detalii personale despre dvs. Acestea sunt tipurile de detalii - de exemplu, numărul cărții de credit, ultimele patru cifre ale unui SSN și altele - care scurg în mod regulat în bazele de date mari și sunt folosite pentru furtul de identitate. Atacatorul poate încerca să-și transfere numărul de telefon la telefon.
Există și modalități mai ușoare. Sau, De exemplu, pot primi redirecționarea apelurilor la sfârșitul companiei telefonice, astfel încât apelurile vocale primite să fie trimise la telefon și să nu ajungă la a ta.
Heck, un atacator ar putea să nu aibă nevoie de acces la numărul dvs. complet de telefon. Acestea ar putea obține acces la mesageria vocală, încercați să vă conectați la site-uri web la ora 3 a.m., și apoi să luați codurile de verificare din căsuța poștală vocală.Cât de sigur este sistemul de mesagerie vocală al companiei dvs. de telefon, exact? Cât de sigur este PIN-ul dvs. de mesagerie vocală - ați setat chiar și unul? Nu toată lumea are!Și, dacă aveți, cât de mult ar fi nevoie de un atacator pentru a vă reinițializa PIN-ul de voce prin apelarea companiei dvs. de telefonie?
cu numărul dvs. de telefon, este peste tot
Numărul dvs. de telefon devine o legătură slabă, permițând atacatorului dvs. să elimine verificarea în doi pași din contul dvs. sau să primească coduri de verificare în doi pași prin apeluri SMS sau vocale.În momentul în care realizați că ceva nu este în regulă, ei pot avea acces la acele conturi.
Aceasta este o problemă pentru practic orice serviciu. Serviciile online nu doresc ca oamenii să piardă accesul la conturile lor, astfel încât, în general, vă permit să ocoliți și să eliminați autentificarea cu două factori împreună cu numărul dvs. de telefon. Acest lucru vă ajută dacă ați fost nevoit să resetați telefonul sau să-l primiți unul nou și ați pierdut codurile dvs. de autentificare cu două factori - dar totuși aveți numărul dvs. de telefon.
Teoretic, trebuie să existe multă protecție aici.În realitate, aveți de-a face cu oamenii de servicii pentru clienți la furnizorii de servicii celulare. Aceste sisteme sunt adesea create pentru eficiență, iar un angajat al serviciului de relații cu clienții poate ignora unele dintre garanțiile cu care se confruntă un client care pare furios, nerăbdător și are ceea ce pare a fi suficientă informație. Compania dvs. de telefonie și departamentul de servicii pentru clienți reprezintă o legătură slabă în securitatea dvs.
Protejarea numărului dvs. de telefon este greu. Realist, companiile de telefonie celulară ar trebui să ofere mai multe măsuri de protecție pentru a face acest lucru mai puțin riscant.În realitate, probabil că doriți să faceți ceva pe cont propriu, în loc să așteptați ca marile corporații să își fixeze procedurile de servicii pentru clienți. Unele servicii vă pot permite să dezactivați recuperarea sau să resetați prin intermediul numerelor de telefon și avertizați-le profund - dar, dacă este un sistem critic de misiune, vă recomandăm să alegeți proceduri de restabilire mai sigure, cum ar fi codurile de resetare pe care le puteți închide într-o seifă bancarăaveți vreodată nevoie de ele.
Alte proceduri de resetare
Nu este vorba despre numărul dvs. de telefon. Multe servicii vă permit să eliminați autentificarea cu două factori în alte moduri, dacă susțineți că ați pierdut codul și trebuie să vă conectați. Atâta timp cât cunoașteți suficiente detalii personale despre cont, este posibil să puteți intra.
Încercați-vă singur - mergeți la serviciul pe care l-ați asigurat cu autentificare cu două factori și pretindeți că ați pierdut codul. Vedeți ce este necesar pentru a intra. Este posibil să trebuiască să furnizați detalii personale sau să răspundeți la întrebări de securitate nesigure în cel mai rău caz. Depinde de modul în care este configurat serviciul. Este posibil să o puteți reseta prin trimiterea unui e-mail către un alt e-mail, în care caz contul de e-mail poate deveni un link slab.Într-o situație ideală, este posibil să aveți nevoie doar de acces la un număr de telefon sau la coduri de recuperare - și, așa cum am văzut, partea de număr de telefon este o legătură slabă.
Iată ceva altceva înfricoșător: nu este vorba doar de ocolirea verificării în doi pași. Un atacator ar putea încerca trucuri similare pentru a-ți ocoli complet parola. Acest lucru poate funcționa deoarece serviciile online doresc să se asigure că oamenii își pot recupera accesul la conturile lor, chiar dacă își pierd parolele.
De exemplu, aruncăm o privire la sistemul de recuperare a contului Google. Aceasta este o ultimă opțiune pentru recuperarea contului. Dacă pretind că nu cunoașteți parole, vi se va cere în cele din urmă informații despre contul dvs., cum ar fi atunci când l-ați creat și pe care îi trimiteți frecvent prin e-mail. Un atacator care știe suficient despre dvs. ar putea, teoretic, să utilizeze proceduri de resetare a parolelor ca acestea pentru a avea acces la conturile dvs.
N-am auzit niciodată că procesul de recuperare a contului Google a fost abuzat, dar Google nu este singura companie cu astfel de instrumente. Nu pot fi cu toții în siguranță, mai ales dacă un atacator știe suficient despre tine.
Oricare ar fi problemele, un cont cu configurare de verificare în doi pași va fi întotdeauna mai sigur decât același cont fără verificarea în doi pași.Însă autentificarea cu două factori nu este un glonț de argint, așa cum am văzut cu atacurile care abuză cel mai mare link slab: compania dvs. de telefonie.
