25Aug

İşte bir Attacker, İki Faktörlü Kimlik Doğrulamanızı Atlayabilir

İki faktörlü kimlik doğrulama sistemleri göründükleri kadar kusursuz değildirler. Aslında bir saldırganın, telefon şirketinizi veya güvenli hizmetin kendisini kandırmasına izin veriyorsa, fiziksel kimlik doğrulama işaretçinize ihtiyaç duymaz.

Ek kimlik doğrulama her zaman yardımcı olur. Hepimizin istediği mükemmel bir güvenlik sunacak hiçbir şey sunmamakla birlikte, iki unsurlu kimlik doğrulamayı kullanmak, eşyalarınızı isteyen saldırganlara engel getiriyor.

Telefon Şirketiniz Zayıf Bağlantısı

Birçok web sitesinde bulunan iki aşamalı kimlik doğrulama sistemleri, birisi oturum açmaya çalıştığında telefonunuza SMS ile mesaj göndererek çalışır. Kod üretmek için telefonunuza özel bir uygulama kullansanız bileseçtiğiniz hizmetin, telefonunuza bir SMS kodu göndererek kişilerin oturum açmasına izin vermek için iyi bir şans. Veya hizmet, bir kurtarma telefon numarası olarak yapılandırdığınız bir telefon numarasına eriştiğinizi doğruladıktan sonra, iki faktörlü kimlik doğrulama korumasını hesabınızdan kaldırmanıza izin verebilir.

Bu sesler iyi. Cep telefonun var ve bir telefon numarası var. Cep telefon sağlayıcınızla birlikte bu telefon numarasına bağlayan fiziksel bir SIM kartınız var. Her şey çok fiziksel görünüyor. Ancak maalesef telefon numaranız düşündüğünüz kadar güvenli değil.

Telefonunuzu kaybettikten sonra varolan bir telefon numarasını yeni bir SIM karta taşımak veya yeni bir SIM karta geçmek zorunda kaldıysanız, neyi sıklıkla telefonla yapabileceğinizi ya da belki de çevrimiçi olabileceğinizi bileceksiniz. Bir saldırganın yapması gereken şey, cep telefonu şirketinin müşteri hizmetleri departmanını arayıp, sizin gibi davranmaktır. Telefon numaranızın ne olduğunu öğrenmeleri ve sizinle ilgili bazı kişisel bilgileri bilmeleri gerekecek. Bunlar, kredi kartı numarası, bir SSN'nin son dört basamağı ve diğerleri gibi - büyük veritabanlarında düzenli olarak sızıntı yapan ve kimlik hırsızlığı için kullanılan ayrıntı türleri. Saldırgan, telefon numaranızın telefona taşınmasını sağlamayı deneyebilir.

Daha da kolay yollar var. Veya örneğin, telefon şirketinin ucunda arama yönlendirme alabilirler, böylece gelen sesli çağrıları telefona iletir ve sizinkine ulaşmazlar.

Heck, bir saldırganın telefon numaranızın tamamına erişmesi gerekmeyebilir. Sesli postanıza erişebilir, saat 03.00'da web sitelerine giriş yapabilir ve daha sonra doğrulama kodlarını telesekreterinizden kaldırabilirler. Telefon şirketinizin telesekreter sistemi ne kadar güvendedir? Sesli posta PIN kodunuz ne kadar güvenli? Herkesin elinde yok! Varsa, bir saldırganın telefon şirketinizi arayıp telesekreter PIN'inizi sıfırlamasının ne kadar çaba göstereceğini mi düşünüyorsunuz? Telefon Numaranız

Telefon Numaranız Bitti

Telefon numaranız zayıf bağlantı haline gelir ve saldırganın SMS veya sesli çağrılar yoluyla iki adımlı doğrulamayı hesabınızdan kaldırmasına veya iki adımlı doğrulama kodları almasına izin verir. Bir şeylerin yanlış olduğunu fark ettiğiniz zaman, bu hesaplara erişebilirler.

Bu hemen hemen her hizmet için bir sorundur.Çevrimiçi hizmetler, kişilerin hesaplarına erişimini kaybetmesini istemez; bu nedenle genelde telefon numaranızla bu iki faktörlü kimlik doğrulamayı atlayıp kaldırmanıza izin veriyorlar. Telefonunuzu sıfırlamak zorunda kaldıysanız veya yenisini almak zorunda kaldıysanız ve iki faktörlü kimlik doğrulama kodlarınızı kaybettiyseniz bu yardımcı olur - ancak telefon numaranız hala var.

Teorik olarak, burada çok fazla koruma olması gerekiyor. Gerçekte, hücresel servis sağlayıcılarındaki müşteri hizmetleri kişileri ile uğraşıyorsunuz. Bu sistemler çoğunlukla verimlilik için ayarlanır ve bir müşteri hizmetleri çalışanı öfkeli, sabırsız ve yeterli bilgi gibi görünen bir müşteriyle karşılaşmış bazı önlemleri gözden kaçırabilir. Telefon şirketiniz ve müşteri hizmetleri departmanı, güvenliğiniz açısından zayıf bir bağlantıdır.

Telefon numaranızı korumak zor. Gerçekçi olarak, cep telefonu şirketleri bunu daha az riskli hale getirmek için daha fazla güvenlik önlemi sağlamalıdır. Aslında, büyük şirketlerin müşteri hizmetleri prosedürlerini düzeltmesini beklemek yerine kendi başına bir şeyler yapmak isteyeceksinizdir. Bazı hizmetler, kurtarma işlemini devre dışı bırakmanıza veya telefon numaraları üzerinden sıfırlamanıza ve bunlara karşı çok fazla uyarı vermenize izin verebilir - ancak kritik bir sistemse, durumda bir banka kasasına kilitleyebileceğiniz sıfırlama kodları gibi daha güvenli sıfırlama prosedürlerini seçmek isteyebilirsinizsen hiç onlara ihtiyacın var.

Diğer Sıfırlama Prosedürleri

Sadece telefon numaranızla ilgili değil. Pek çok hizmet, kodu kaybettiğinizi ve oturum açmanız gerektiğini iddia ediyorsanız, iki faktörlü kimlik doğrulamayı başka şekillerde kaldırmanıza izin verir. Hesap hakkında yeterince kişisel ayrıntıyı bildiğiniz sürece, içeri girmek mümkün olabilir.

Kendiniz deneyin - iki faktörlü kimlik denetimi ile güvence altına aldığınız servise gidin ve kodu kaybettiğinizi yapın. En kötü senaryoda kişisel bilgilerinizi vermeniz veya güvensiz "güvenlik soruları" yanıtlamanız gerekebilir. Hizmetin nasıl yapılandırıldığına bağlıdır. Başka bir e-posta hesabına bir bağlantı göndererek sıfırlayabilirsiniz, bu durumda e-posta hesabının zayıf bir bağlantısı olabilir.İdeal bir durumda, bir telefon numarasına veya kurtarma kodlarına erişmeniz yeterlidir - gördüğümüz gibi, telefon numarası bölümü zayıf bir bağlantıdır.

İşte korkunç başka bir şey var: Sadece iki adımlı doğrulamayı atlamak değil. Bir saldırgan, parolanızı tamamen atlamak için benzer numaralar deneyebilir.Çevrimiçi hizmetler, kişilerin şifrelerini kaybetseler bile hesaplarına erişebilmelerini sağlamak istemektedir, çünkü bu durum işe yarayabilir.

Örneğin, Google Hesap Kurtarma sistemine göz atın. Bu, hesabınızı kurtarmak için son bir seçenektir. Hiçbir şifre bilmediğinizi iddia ederseniz, hesabınızı oluşturduğunuzda ve sıklıkla e-posta gönderdiğiniz gibi hesabınız hakkında bilgi almak için en sonunda sizden istenirsiniz. Hakkınızda yeterli bilgi sahibi olan bir saldırgan, teorik olarak hesaplarınıza erişmek için bu gibi şifre sıfırlama prosedürlerini kullanabilir.

Google'ın Hesap Kurtarma sürecinin kötüye kullanıldığını hiç duymadık, ancak Google bunun gibi araçlara sahip tek şirket değil.Özellikle saldırganın sizin hakkınızda yeterince şey biliyorsa, hepsi tamamen kusursuz olamaz.

Sorunlar ne olursa olsun, iki adımlı doğrulama kurulumuna sahip bir hesap, her zaman iki adımlı doğrulama olmadan aynı hesaptan daha güvenlidir. Ancak, iki faktörlü kimlik doğrulama, en büyük zayıf bağlantıyı kötüye kullanılan saldırılarda gördüğümüz gibi, gümüş mermi değildir: telefon şirketiniz.