Papildoma autentifikacija visada yra naudinga. Nors niekas neprilygsta tobulam saugumui, kurio visi norime, taikant dviejų faktorių autentifikavimą, užpuolikai, kurie nori jūsų daiktų, kelia daugiau kliūčių.
Jūsų telefono kompanija yra silpna nuoroda
Dviejų žingsnių autentifikavimo sistemos daugelyje svetainių dirba siunčiant SMS žinutę į savo telefoną, kai kas nors bando prisijungti. Net jei naudojate specialią programą telefone, kad sugeneruotumėte kodus, yra didelė tikimybė, kad jūsų pasirinkta paslauga gali pasiūlyti leiskite žmonėms prisijungti, išsiųsdami SMS kodą į savo telefoną. Arba paslauga gali leisti pašalinti dviejų veiksnių autentifikavimo apsaugą iš paskyros, kai patvirtinate, kad turite prieigą prie telefono numerio, kurį sukonfigūravote kaip atkūrimo telefono numerį.
Tai viskas skamba gerai. Turite savo mobilųjį telefoną ir turi telefono numerį. Joje yra fizinė SIM kortelė, kuri susieja ją su šiuo mobiliojo telefono paslaugų teikėjo telefono numeriu. Viskas atrodo labai fiziškai. Deja, jūsų telefono numeris nėra toks saugus, kaip manote.
Jei kada nors reikėjote perkelti esamą telefono numerį į naują SIM kortelę, kai prarandate telefoną arba tiesiog gaunate naują, jūs sužinosite, ką dažnai galite tai padaryti visame telefone - ar net internete. Visi užpuolikai turi tai padaryti, tai paskambinti savo mobiliojo telefono kompanijos klientų aptarnavimo skyriui ir apsimesti, kad esate jūs. Jie turės žinoti, kas yra jūsų telefono numeris, ir sužinoti apie jūsų asmeninę informaciją. Tai yra išsami informacija (pvz., Kredito kortelės numeris, paskutiniai keturi SSN skaitmeniai ir kiti), kurie reguliariai skleidžiasi didelėse duomenų bazėse ir naudojami tapatybės vagystėms. Užpuolikas gali bandyti gauti savo telefono numerį į savo telefoną.
Yra net lengvesni būdai. Arba, pavyzdžiui, jie gali nustatyti skambučių persiuntimą telefono ryšio įmonės pabaigoje, kad įeinantys balso skambučiai būtų perduodami į savo telefoną ir nepasiektų jūsų.
Heck, užpuolikas gali neturėti prieigos prie viso telefono numerio. Jie galėjo gauti prieigą prie jūsų balso pašto, pabandyti prisijungti prie tinklalapių 3 val., O tada pasiimti patvirtinimo kodus iš savo balso pašto dėžutės. Ar saugu yra jūsų telefono kompanijos balso pašto sistema, tiksliai? Kaip saugus jūsų balso pašto PIN kodas - ar net jį nustatėte? Ne visi turi! Ir, jei turite, kiek pastangų užpuolėjui reikės iš naujo nustatyti savo balso pašto PIN kodą, skambindami savo telefono kompanijai?
Su savo telefono numeriu viskas baigta
Jūsų telefono numeris tampa silpna, leidžiantis užpuolėjui pašalinti dviem veiksmais atliktą patvirtinimą iš savo paskyros arba gauti patvirtinimo dvejetainius kodus per SMS arba balso skambučius. Tuo metu, kai suprantate, kad kažkas yra negerai, jie gali turėti prieigą prie tų sąskaitų.
Tai problema praktiškai kiekvienai paslaugai. Interneto paslaugos nenori, kad žmonės prarastų prieigą prie savo paskyrų, todėl paprastai jie leidžia apeiti ir pašalinti tą dviejų veiksnių autentifikavimą su jūsų telefono numeriu. Tai padeda, jei turėtumėte iš naujo nustatyti telefoną arba gauti naują, o jūs praradote dviejų faktorių autentifikavimo kodus, tačiau vis tiek turite savo telefono numerį.
Teoriškai čia turėtų būti daug apsaugos. Iš tikrųjų jūs kalbate su klientų aptarnavimo darbuotojais mobiliojo ryšio paslaugų teikėjose. Šios sistemos dažnai yra nustatytos siekiant efektyvumo, o klientų aptarnavimo darbuotojas gali nepastebėti kai kurių apsaugos priemonių, su kuriomis susiduria klientas, kuris, regis, yra piktas, nekantrus ir turi tai, kas atrodo pakankamai informacijos. Jūsų telefono kompanija ir jos klientų aptarnavimo skyrius yra silpna jūsų saugumo nuoroda.
Jūsų telefono numerio apsauga yra sunki. Iš tiesų, mobiliojo ryšio bendrovės turėtų suteikti daugiau garantijų, kad tai būtų mažiau rizikinga. Tikrovėje jūs tikriausiai norite kažką daryti atskirai, o ne laukti, kol didelės korporacijos nustatytų savo klientų aptarnavimo procedūras. Kai kurios paslaugos gali leisti jums išjungti atkūrimą arba iš naujo nustatyti telefono numerius ir įspėti apie tai gausiai - tačiau, jei tai misija kritinė sistema, galbūt norėsite pasirinkti saugesnes atkūrimo procedūras, pvz., Iš naujo nustatyti kodus, kuriuos galite užrakinti banko saugykloje jums kada nors jų reikia.
Kitos iš naujo nustatytos procedūros
Taip pat yra ne tik jūsų telefono numeris. Daugelis paslaugų leidžia pašalinti tą dvifazį autentifikavimą kitais būdais, jei teigiate, kad praradote kodą ir turite prisijungti. Jei žinote pakankamai asmeninių duomenų apie paskyrą, galite įeiti.
Išbandykite patys - eikite į paslaugą, kurią užtikrinsite dviejų faktorių autentifikavimu, ir apsimestumėte, kad praradote kodą. Sužinokite, ko reikia, kad įeitumėte. Galbūt turėsite pateikti asmeninę informaciją arba atsakyti į nesaugius "saugumo klausimus" blogiausiu atveju. Tai priklauso nuo to, kaip sukonfigūruota paslauga. Galite jį iš naujo nustatyti atsiųsdami nuorodą į kitą el. Pašto paskyrą, tokiu atveju ši el. Pašto paskyra gali tapti silpna. Idealioje situacijoje jums gali prireikti prieigos prie telefono numerio arba atkūrimo kodų. Kaip matėme, telefono numerio dalis yra silpna.
Štai dar kažkas baisu: tai ne tik apeina patvirtinimą dviem etapais.Užpuolikas gali išbandyti panašius triukus, kad visiškai išvengtų jūsų slaptažodžio. Tai gali būti naudinga, nes interneto paslaugos nori užtikrinti, kad žmonės galėtų susigrąžinti prieigą prie savo paskyros, net jei jie praranda savo slaptažodžius.
Pavyzdžiui, pažvelkite į "Google" paskyros atkūrimo sistemą. Tai paskutinis kanalas, skirtas susigrąžinti paskyrą. Jei teigiate, kad nežinote jokių slaptažodžių, galų gale jūsų paprašys informacijos apie jūsų paskyrą, pvz., Kai ją sukūrėte ir kam dažnai atsiųsite el. Laišką. Užpuolikas, kuris pakankamai žino apie jus, teoriškai galėtų naudoti slaptažodžių atkūrimo procedūras, pvz., Gauti prieigą prie jūsų paskyrų.
Mes niekada negirdėjome, kad "Google" paskyros atkūrimo procesas yra piktnaudžiaujama, tačiau "Google" nėra vienintelė įmonė, turinti tokius įrankius. Ne visi gali būti visiškai apgaulingi, ypač jei užpuolikas pakankamai žino apie jus.
Kad ir kokios būtų problemos, sąranka su patvirtinimu dviem veiksmais visada bus saugesnė nei ta pati sąskaita, be dviem veiksmais atliktos patikros. Tačiau dviejų veiksnių autentifikavimas nėra sidabro kulka, kaip mes matėme atakų, kurie piktnaudžiauja didžiausia silpna nuoroda: jūsų telefono kompanija.
