25Aug
Системи за потврђивање идентитета са два фактора нису толико сигурни како изгледају.Нападачу заправо није потребан токен вашег физичког аутентификовања ако могу да преваре вашу телефонску компанију или саму сигурну услугу да их пусте унутра.
Додатна аутентикација је увек корисна.Иако ништа не нуди ту савршену сигурност коју сви желимо, кориштењем двоструке аутентикације стављамо више препрека нападачима који желе своје ствари.
Телефонска компанија је слаба веза
Двостепени системи за аутентификацију на многим веб локацијама раде тако што шаљу поруку на свој телефон путем СМС-а када неко покуша да се пријављује. Чак и ако користите наменску апликацију на вашем телефону за генерисање кодова,добра шанса да ваша услуга избора омогућава да се људи пријављују слањем СМС кода на свој телефон.Или, услуга вам може дозволити да уклоните двоструку заштиту за аутентичност са вашег налога након што потврдите да имате приступ телефонском броју који сте конфигурисали као број телефона за опоравак.
Све ово звучи добро.Имате свој мобилни телефон и има телефонски број.У себи има физичку СИМ картицу која је повезана са том телефонским бројем са својим провајдером мобилног телефона.Све изгледа веома физичко.Али, нажалост, ваш број телефона није толико сигуран колико мислите.
Ако сте икада морали да преместите постојећи број телефона на нову СИМ картицу након што изгубите телефон или само набавите нову, знате шта често можете радити у потпуности преко телефона - или чак и преко интернета.Сви нападачи морају да зову службу службе за купце компаније мобилне телефоније и претварају се да сте ви.Морају знати који је ваш број телефона и знају неке личне податке о вама.То су врсте детаља - на пример, број кредитне картице, последње четири цифре ССН-а и други - који редовно излазе у велике базе података и користе се за крађу идентитета.Нападач може покушати да број вашег телефона пребаци на свој телефон.
Постоје још једноставнији начини.Или, На примјер, они могу да добију прослеђивање позива постављеним на крају телефонске компаније, тако да се долазни говорни позиви прослеђују на свој телефон и не додју до вас.
Хецк, нападач можда неће требати приступ вашем пуном телефонском броју.Они могу добити приступ вашој гласовној пошти, покушати да се пријавите на веб локације у 3 а.м., а затим зграбите кодове за верификацију из своје говорне поште.Колико је сигуран систем гласовне поште вашег телефонског предузећа, тачно?Колико је безбедан ваш ПИН говорне поште - да ли сте га поставили?Не сви имају!И, ако имате, колико ће напора бити потребно да нападач добије поништавање ПИН-а за гласовно пошту позивањем ваше телефонске компаније?
Са вашим телефоном, све је превише
Ваш број телефона постаје слаба веза, дозвољавајући нападачу да уклони потврду у два корака са вашег налога - или да прими двостепене кодове за верификацију - преко СМС или гласовних позива.До тренутка када схватите да нешто није у реду, они могу имати приступ тим рачунима.
Ово је проблем за практично сваку услугу.Онлине услуге не желе људе да изгубе приступ својим рачунима, тако да вам уопште омогућавају да заобиђете и уклоните ову двоструку аутентичност са вашим бројем телефона.Ово вам помаже да сте морали да ресетујете свој телефон или да набавите нову верзију и изгубили сте своје кодове за потврду идентитета са два фактора - али ипак имате телефонски број.
Теоретски, овде би требало бити пуно заштите.У стварности, бавите се људима са корисничким сервисима на пружатељима мобилних услуга.Ови системи се често постављају на ефикасност, а запослени у служби корисничког сервиса могу занемарити неке од заштитних мјера које се суочавају са клијентом који изгледа љутит, нестрпљив и има оно што изгледа као довољно информација.Телефонска компанија и служба за корисничке услуге су слаба веза у вашој сигурности.
Заштита вашег броја телефона је тешка.Реално, компаније мобилних телефона треба да обезбеде више заштитних мера како би ово постало мање ризично.У стварности, вероватно желите да урадите нешто самостално уместо да чекате велике корпорације да поправљају своје поступке корисничких услуга.Неке услуге могу вам омогућити да онемогућите опоравак или ресетовање путем телефонских бројева и упозорите га против њега - али ако је то критичан систем, можда ћете желети да изаберете сигурније процедуре ресетовања као што су ресет кодови које можете закључати у трезору банке у случајуда ли вам је икада потребна.
Остали ресет процедуре
Не ради се само о вашем телефонском броју.Многе услуге вам омогућавају да уклоните ту двоструку аутентификацију на друге начине ако тврдите да сте изгубили код и морате се пријавити. Докле год имате довољно личних података о рачуну, можда ћете моћи да се укључите.
Пробајте сами - идите на услугу коју сте осигурали двокомпонентном аутентикацијом и претварате се да сте изгубили код.Погледајте шта је потребно да уђете. Можда ћете морати да пружите личне податке или да одговорите на несигурна "безбедносна питања" у најгорем случају.Зависи од тога како је услуга конфигурисана.Можда ћете моћи да га ресетујете тако што ћете послати везу на други налог е-поште, у ком случају тај е-маил налог може постати слаба веза.У идеалној ситуацији вам је можда потребан приступ телефонском броју или коду за опоравак - и, као што смо видели, део броја телефона је слаба веза.
Ево нешто друго страшно: Не ради се само о мјерењу двостепене верификације.Нападач може покушати сличне трикове у потпуности заобићи своју лозинку.Ово може да функционише зато што онлине услуге желе да осигурају да људи могу повратити приступ својим рачунима, чак и ако изгубе своје лозинке.
На пример, погледајте систем за опоравак Гоогле налога.Ово је последња опција за опоравак вашег налога.Ако тврдите да не знате никакве лозинке, на крају ћете бити упитани за информације о вашем налогу као када сте је креирали и кога често пошаљете путем е-поште.Нападач који довољно зна о вама може теоретски користити процедуре за ресетовање лозинке, као што су ове, како бисте добили приступ својим рачунима.
Никада нисмо чули за злоупотребу Гоогле-овог процеса опоравка налога, али Гоогле није једина компанија са оваквим алатима.Не могу сви бити потпуно беспрекорни, поготово ако нападач зна довољно о теби.
Без обзира на проблеме, налог са двостепеном подешавањима верификације увек ће бити сигурнији од истог налога без потврде у два корака.Али двофакторна аутентикација није сребрни метак, као што смо видели са нападима који злоупотребљавају највећу слабу везу: телефонска компанија.
