25Aug
Dvojfaktorové autentifikačné systémy nie sú tak bezchybné, ako sa zdajú.Útočník v skutočnosti nepotrebuje váš fyzický autentifikačný token, ak môže telekomunikačnú spoločnosť alebo samotnú zabezpečenú službu vytrhnúť, aby ju dovolil.
Dodatočná autentifikácia je vždy užitočná.Aj keď nič neposkytuje dokonalú bezpečnosť, ktorú všetci chceme, používanie dvojfaktorového overovania vytvára viac prekážok pre útočníkov, ktorí chcú vaše veci.
Spoločnosť vo vašom telefóne je slabou linkou
Dvojstupňové autentifikačné systémy na mnohých webových stránkach pracujú tak, že odosielajú správu do telefónu prostredníctvom SMS, keď sa niekto pokúša prihlásiť. Dokonca aj keď v kóde používate vyhradenú aplikáciu na generovanie kódov, je tudobrá šanca, že vaša služba ponúka možnosť nechať ľudí prihlásiť zaslaním SMS kódu do telefónu. Alebo vám môže služba povoliť odstránenie ochrany s dvojfaktorovým overovaním z vášho účtu po potvrdení, že máte prístup k telefónnemu číslu, ktoré ste nakonfigurovali ako telefónne číslo na obnovenie.
Toto všetko je v poriadku. Máte svoj mobilný telefón a telefónne číslo. Má v sebe fyzickú SIM kartu, ktorá ju spája s týmto poskytovateľom mobilného telefónu. Všetko sa zdá byť veľmi fyzické.Váš telefónny telefón však bohužiaľ nie je taký bezpečný, ako si myslíte.
Ak ste niekedy potrebovali presunúť existujúce telefónne číslo na novú kartu SIM po strate telefónu alebo len pri získavaní nového telefónu, budete vedieť, čo to často môžete robiť úplne cez telefón - alebo dokonca online. Všetko, čo útočník musí urobiť, je zavolať zákaznícky servis vášho mobilného operátora a predstierať, že ste vy. Budú potrebovať vedieť, aké je vaše telefónne číslo a poznať niektoré osobné údaje o vás. Jedná sa o druhy podrobností - napríklad číslo kreditnej karty, posledné štyri číslice SSN a iné - ktoré pravidelne úniku do veľkých databáz a používajú sa na krádež identity.Útočník sa môže pokúsiť presunúť vaše telefónne číslo do svojho telefónu.
Existujú ešte jednoduchšie spôsoby. Alebo Napríklad môžu dostať presmerovanie hovorov nastavené na konci telefónnej spoločnosti tak, aby prichádzajúce hlasové volania boli postúpené do svojho telefónu a nedosiahli vaše.
Heck, útočník nemusí mať prístup k vášmu úplnému telefónnemu číslu. Môžu získať prístup k vašej hlasovej pošte, pokúsiť sa prihlásiť na webové stránky o 3:00 a potom vytiahnuť overovacie kódy z vašej hlasovej schránky. Ako presne je bezpečný systém hlasovej pošty vo vašej telefónnej spoločnosti? Ako bezpečný je váš kód hlasovej schránky - dokonca ste nastavili jeden? Nie každý má!A ak máte, koľko úsilia by útočník potreboval na to, aby dostal vašu hlasovú schránku na číslo PIN prostredníctvom telefonickej spoločnosti?
S Vaším telefónnym číslom je všetko cez
Vaše telefónne číslo sa stáva slabým odkazom, čo umožňuje útočníkovi odstrániť verifikáciu v dvoch krokoch z vášho účtu - alebo získať dvojstupňové verifikačné kódy - prostredníctvom SMS alebo hlasových hovorov. V čase, keď si uvedomíte, že niečo nie je zlé, môžu mať prístup k týmto účtom.
Toto je problém prakticky pre každú službu. Online služby nechcú, aby ľudia stratili prístup k svojim účtom, takže vo všeobecnosti vám umožňujú obísť a odstrániť toto dvojfaktorové overenie pomocou svojho telefónneho čísla. Pomôže to, keby ste museli vynulovať telefón alebo získať nový telefón a vy ste stratili dvojfaktorové autentifikačné kódy - ale stále máte svoje telefónne číslo.
Teoreticky by tu mala byť veľa ochrany. V skutočnosti sa zaoberáte zákazníckymi službami u poskytovateľov mobilných služieb. Tieto systémy sú často nastavené na efektívnosť a zamestnanec zákazníckych služieb môže prehliadať niektoré bezpečnostné opatrenia voči zákazníkovi, ktorý sa zdá nahnevaný, netrpezlivý a má to, čo sa zdá byť dostatkom informácií.Vaša telefónna spoločnosť a jej oddelenie služieb zákazníkom sú slabým odkazom vo vašej bezpečnosti.
Ochrana vášho telefónneho čísla je ťažká.Realisticky by spoločnosti poskytujúce mobilné telefóny mali poskytnúť viac záruk, aby sa to stalo menej riskantným. V skutočnosti pravdepodobne chcete niečo urobiť sami, namiesto čakania na veľké korporácie, aby opravili svoje zákaznícke postupy. Niektoré služby vám môžu umožniť zakázať obnovu alebo obnovenie prostredníctvom telefónnych čísel a varovať proti nemu hlboko - ale ak je to kritický systém, možno budete chcieť vybrať si bezpečnejšie resetovacie postupy ako sú resetovacie kódy, ktoré môžete zamknúť v trezore banky v prípadeste niekedy potrebovali.
Ďalšie procedúry resetovania
Nie je to len o vašom telefónnom čísle. Mnohé služby vám umožňujú odstrániť túto dvojfaktorovú autentifikáciu inými spôsobmi, ak tvrdíte, že ste stratili kód a potrebujete sa prihlásiť. Pokiaľ poznáte dostatok osobných údajov o účte, môžete sa dostať dovnútra.
Skúste to sami - prejdite na službu, ktorú ste zabezpečili pomocou dvojfaktorového overovania a predstierajte, že ste kód stratili. Pozrite sa, čo je potrebné na to, aby ste sa dostali dovnútra. Možno budete musieť poskytnúť osobné údaje alebo odpovedať na neisté "bezpečnostné otázky" v najhoršom prípade. Záleží na spôsobe konfigurácie služby. Môžete ju obnoviť e-mailom na odkaz na iný e-mailový účet, v takom prípade sa môže tento e-mailový účet stať slabým odkazom. V ideálnej situácii môžete potrebovať prístup iba k telefónnemu číslu alebo k kódom na obnovenie - a ako sme videli, časť telefónneho čísla je slabým odkazom.
Tu je niečo iné strašidelné: Nie je to len o obchádzaní dvojstupňového overenia.Útočník by mohol vyskúšať podobné triky, aby úplne obišiel vaše heslo. Môže to fungovať, pretože on-line služby chcú zabezpečiť, aby ľudia mohli opäť získať prístup k svojim účtom, a to aj vtedy, ak stratia svoje heslá.
Pozrite sa napríklad na systém obnovenia účtu Google. Toto je posledná voľba pre obnovu vášho účtu. Ak si myslíte, že nepoznáte žiadne heslá, budete nakoniec požiadaní o informácie o svojom účte, ako keď ste ho vytvorili a koho často posielate e-mailom.Útočník, ktorý vie o vás dosť, by mohol teoreticky použiť procedúry na obnovenie hesla, ako sú tieto, aby získali prístup k vašim účtom.
Nikdy sme nepočuli o zneužívaní procesu obnovy účtu Google, ale spoločnosť Google nie je jedinou spoločnosťou s takými nástrojmi. Nemôžu byť úplne bezpečné, najmä ak útočník o vás vie dosť.
Bez ohľadu na problémy, nastavenie účtu s dvojstupňovým overovaním bude vždy bez overovania v dvoch krokoch bezpečnejšie ako ten istý účet. Ale dvojfaktorová autentizácia nie je žiadna strieborná guľka, ako sme videli s útokmi, ktoré zneužívajú najväčšie slabé spojenie: vaša telefónna spoločnosť.