25Aug
Dvokanalni sistemi za preverjanje pristnosti niso tako varni, kot se zdijo. Napadalec dejansko ne potrebuje vašega fizičnega žetona za preverjanje pristnosti, če lahko preusmeri vaše telefonsko podjetje ali varno storitev, da jih pusti vanj.
Dodatna overitev je vedno v pomoč.Čeprav nič ne ponuja popolne varnosti, ki jo vsi želimo, z dvokomponentno avtentifikacijo postavlja več ovir za napadalce, ki si želijo svoje stvari.
Telefonska družba je slaba povezava
Dvostopenjski sistemi za preverjanje pristnosti na številnih spletnih mestih delujejo tako, da pošljejo sporočilo v telefon prek SMS-a, ko se nekdo poskuša prijaviti. Tudi če v telefonu uporabljate namensko aplikacijo za ustvarjanje kod, obstajadobra priložnost, da vaša storitev izbire omogoča, da se ljudje prijavijo, tako da pošljejo SMS kodo v svoj telefon. Storitev vam lahko dovoljuje, da odstranite dvosmerno zaščito za avtentikacijo iz računa, potem ko potrdite, da imate dostop do telefonske številke, ki ste jo nastavili kot telefonsko številko za obnovitev.
Vse to dobro sliši. Imate svoj mobilni telefon in ima telefonsko številko. Ima fizično kartico SIM znotraj nje, ki jo povezuje s to številko telefona pri svojem ponudniku mobilnih telefonov. Vse se zdi zelo fizično. Toda žalostna številka telefona ni tako varna, kot si mislite.
Če ste kdaj morali premakniti obstoječo telefonsko številko na novo kartico SIM, potem ko ste izgubili telefon ali pa samo dobili novega, boste vedeli, kaj pogosto lahko to storite povsem po telefonu - ali morda celo na spletu. Vsi napadalci morajo storiti, da pokličete službo za stranke podjetja mobilni telefon in se pretvarjate, da ste vi. Morali bodo vedeti, kakšna je vaša telefonska številka, in poznate nekatere osebne podatke o sebi. To so vrste podrobnosti - na primer številka kreditne kartice, zadnje štiri številke SSN in druge - ki redno uhajajo v velike zbirke podatkov in se uporabljajo za krajo identitete. Napadalec lahko poskusi, da se vaša telefonska številka premakne v svoj telefon.
Obstajajo še lažji načini. Lahko pa na primer preusmerijo klic, ki je nastavljen na koncu telefonskega podjetja, tako da se dohodni govorni klici pošljejo v telefon in ne dosežejo vašega.
Heck, napadalcu morda ne bo treba dostopati do vaše polne telefonske številke. Lahko bi imeli dostop do vaše glasovne pošte, se poskusite prijaviti na spletne strani ob 3 uri, nato pa prevzeti kode za preverjanje iz svojega telefonskega predala. Kako varen je glasovni sistem vašega telefonskega podjetja, točno? Kako varen je vaš PIN za glasovno pošto - ali ste ga celo nastavili? Ni vsakdo! In, če imate, koliko napora bi bilo treba, da bi napadalec dobil ponastavitev PIN-ja za glasovno pošto tako, da pokliče telefonsko podjetje?
S svojo telefonsko številko, vsepovsod je
Vaša telefonska številka postane šibka povezava, ki omogoča, da vaš napadalec v svojem računu odstrani preverjanje v dveh korakih - ali prejema dvostopenjske kod za preverjanje - prek SMS ali glasovnih klicev. Do trenutka, ko ugotovite, da je nekaj narobe, imajo lahko dostop do teh računov.
To je težava za praktično vsako storitev. Spletne storitve ne želijo, da bi ljudje izgubili dostop do svojih računov, zato vam na splošno omogočajo, da obdržite in odstranite to dvosmerno preverjanje pristnosti s svojo telefonsko številko. To vam pomaga, če ste morali ponastaviti telefon ali pridobiti novo, izgubili pa ste dvomestne kode za preverjanje pristnosti - vendar imate še vedno svojo telefonsko številko.
Teoretično bi bilo treba tukaj veliko zaščite. V resnici se ukvarjate s storitvami za stranke s ponudniki mobilnih storitev. Ti sistemi so pogosto vzpostavljeni za učinkovitost, zaposleni v službi za stranke pa lahko spregledajo nekatere zaščitne ukrepe, s katerimi se sooča stranka, ki se zdi jezna, nestrpna in ima tisto, kar se zdi dovolj informacij. Telefonska družba in služba za pomoč uporabnikom sta šibka povezava v vaši varnosti.
Zaščita telefonske številke je težka. Realno bi morala podjetja mobilne telefonije zagotoviti več zaščitnih ukrepov, da bi to postalo manj tvegano. V resnici verjetno želite narediti nekaj samega, namesto da čakate na velike korporacije, da določijo svoje postopke za stranke. Nekatere storitve vam omogočajo, da onemogočite obnovitev ali ponastavitev prek telefonskih številk in opozorite na to obilo - vendar, če je to kritični sistem, boste morda želeli izbrati varnejše postopke ponastavitve, kot so ponastavitvene kode, ki jih lahko zaklenete v bančni sef v primeruSi jih kdaj potreboval.
Drugi postopki ponastavitve
Ne gre samo za svojo telefonsko številko. Mnoge storitve vam omogočajo, da to dvosmerno preverjanje pristnosti odstranite na druge načine, če trdite, da ste izgubili kodo in se morate prijaviti. Dokler poznate dovolj osebnih podatkov o računu, boste morda lahko vstopili.
Poskusite sami - pojdite na storitev, ki ste jo zagotovili z dvotaktnim preverjanjem pristnosti in se pretvarjate, da ste izgubili kodo. Oglejte si, kaj je potrebno za vstop. Morda boste morali v najslabšem primeru morda poslati osebne podatke ali odgovoriti na nezanesljiva "varnostna vprašanja".Odvisno od tega, kako je storitev konfigurirana. Morda ga boste lahko ponastavili tako, da pošljete povezavo na drug e-poštni račun, v tem primeru lahko ta e-poštni račun postane šibka povezava. V idealnem primeru boste morda potrebovali dostop do telefonske številke ali kode za obnovitev - in, kot smo videli, je del telefonske številke šibka povezava.
Tukaj je nekaj drugega strašnega: ne gre samo za obhod dvostopenjskega preverjanja. Napadalec lahko poskusi podobne trike, da v celoti obide vaše geslo. To lahko deluje, ker spletne storitve želijo zagotoviti, da lahko ljudje ponovno pridobijo dostop do svojih računov, tudi če izgubijo gesla.
Na primer, si oglejte sistem za obnovitev računa Google. To je zadnja možnost za obnovitev računa.Če trdite, da ne poznate nobenih gesel, boste sčasoma pozvani k podatkom o vašem računu, ko ste ga ustvarili in koga pogosto pošiljate v e-pošto. Napadalec, ki ve dovolj o vas, lahko teoretično uporabi postopke za ponastavitev gesel, kot so ti, da bi dobili dostop do vaših računov.
Nikoli še nisva slišala, da je bil zlorabljen Googlov proces obnovitve računa, vendar Google ni edino podjetje z orodji, kot je ta. Vsi ne morejo biti popolnoma varni, še posebej, če napadalec ve dovolj o tebi.
Ne glede na težave je račun z dvostopenjskim preverjanjem vedno varnejši od istega računa brez dvostopenjskega preverjanja. Toda dvofaktorna avtentikacija ni srebrna krogla, kot smo videli pri napadih, ki zlorabljajo največjo šibko povezavo: telefonsko podjetje.