أنظمة المصادقة ثنائية العوامل ليست كذلكمضمونة كما يبدو. لا يحتاج المهاجم فعليًا إلى رمز المصادقة المادي الخاص بك إذا كان بإمكانه خداع شركة الهاتف أو الخدمة الآمنة نفسها للسماح لها بالدخول.
المصادقة الإضافية مفيدة دائمًا. على الرغم من أن لا شيء يوفر هذا الأمان المثالي الذي نريده جميعًا ، إلا أن استخدام المصادقة ثنائية العوامل يضع عقبات أمام المهاجمين الذين يريدون الأشياء الخاصة بك.
شركة هاتفك هي رابط ضعيف
ذات صلة: تأمين نفسك باستخدام التحقق من خطوتين على هذه 16 خدمات ويب
أنظمة المصادقة من خطوتين على العديدتعمل مواقع الويب عن طريق إرسال رسالة إلى هاتفك عبر رسالة نصية قصيرة عندما يحاول شخص ما تسجيل الدخول. حتى لو كنت تستخدم تطبيقًا مخصصًا على هاتفك لإنشاء رموز ، فهناك فرصة جيدة تتيح لك الخدمة التي تختارها للسماح للأشخاص بتسجيل الدخول عن طريق إرسال رسالة قصيرة رمز لهاتفك. أو ، قد تسمح لك الخدمة بإزالة حماية المصادقة ثنائية العوامل من حسابك بعد التأكد من أن لديك إمكانية الوصول إلى رقم هاتف قمت بتكوينه كرقم هاتف استرداد.
كل هذا يبدو جيدا. لديك هاتفك الخلوي وله رقم هاتف. تحتوي على بطاقة SIM مادية بداخلها تربطها برقم الهاتف مع مزود الهاتف الخليوي الخاص بك. كل شيء يبدو جسديا جدا. ولكن للأسف ، رقم هاتفك ليس آمنًا كما تعتقد.
إذا كنت بحاجة إلى نقل هاتف موجودالرقم إلى بطاقة SIM جديدة بعد فقدان هاتفك أو مجرد الحصول على واحدة جديدة ، ستعرف ما يمكنك القيام به في كثير من الأحيان بالكامل عبر الهاتف - أو حتى عبر الإنترنت. كل ما على المهاجم فعله هو الاتصال بقسم خدمة العملاء في شركة الهاتف الخليوي والتظاهر بأنه أنت. سيتعين عليهم معرفة رقم هاتفك ومعرفة بعض التفاصيل الشخصية عنك. هذه هي أنواع التفاصيل - على سبيل المثال ، رقم بطاقة الائتمان ، والأرقام الأربعة الأخيرة من شبكة الأمان الاجتماعي ، وغيرها - التي تتسرب بانتظام في قواعد البيانات الكبيرة وتستخدم لسرقة الهوية. يمكن للمهاجم محاولة نقل رقم هاتفك إلى هواتفهم.
هناك طرق أسهل. أو ، على سبيل المثال ، يمكنهم الحصول على إعادة توجيه المكالمات في نهاية شركة الهاتف بحيث يتم إعادة توجيه المكالمات الصوتية الواردة إلى هواتفهم ولا تصل إلى مكالماتك.
هيك ، قد لا يحتاج المهاجم إلى الوصول إلىرقم الهاتف الكامل. يمكنهم الوصول إلى بريدك الصوتي ، ومحاولة تسجيل الدخول إلى مواقع الويب في الساعة 3 صباحًا ، ثم الحصول على رموز التحقق من صندوق البريد الصوتي. ما مدى أمان نظام البريد الصوتي الخاص بشركة هاتفك ، بالضبط؟ ما مدى أمان رقم التعريف الشخصي للبريد الصوتي - هل قمت حتى بتعيين واحد؟ ليس الجميع لديه! وإذا كان لديك ، ما هو مقدار الجهد الذي سيستغرقه المهاجم لإعادة تعيين رقم التعريف الشخصي للبريد الصوتي عن طريق الاتصال بشركة هاتفك؟
مع رقم هاتفك ، انتهى كل شيء
ذات صلة: كيفية تجنب الحصول على تأمين عند استخدام مصادقة ثنائية
رقم هاتفك يصبح الرابط الضعيف ، مما يسمحالمهاجم الخاص بك لإزالة التحقق من خطوتين من حسابك - أو تلقي رموز التحقق من خطوتين - عبر الرسائل القصيرة أو المكالمات الصوتية. بحلول الوقت الذي تدرك فيه وجود خطأ ما ، يمكن أن يتمكنوا من الوصول إلى هذه الحسابات.
هذه مشكلة لكل خدمة تقريبًا. لا تريد الخدمات عبر الإنترنت أن يفقد الأشخاص إمكانية الوصول إلى حساباتهم ، لذا فهي تسمح لك عمومًا بتجاوز المصادقة الثنائية هذه وإزالتها برقم هاتفك. يساعدك ذلك إذا اضطررت إلى إعادة ضبط هاتفك أو الحصول على هاتف جديد وفقدت رموز المصادقة ثنائية العوامل الخاصة بك - ولكن لا يزال لديك رقم هاتفك.
من الناحية النظرية ، من المفترض أن يكون هناك الكثيرالحماية هنا. في الواقع ، أنت تتعامل مع موظفي خدمة العملاء في مزودي الخدمة الخلوية. غالبًا ما يتم إعداد هذه الأنظمة لتحقيق الكفاءة ، وقد يتجاهل موظف خدمة العملاء بعض الإجراءات الوقائية التي يواجهها العميل الذي يبدو غاضبًا ونفاد الصبر ولديه معلومات كافية. تعد شركة الهاتف وقسم خدمة العملاء الخاص بها حلقة ضعيفة في أمانك.
حماية رقم هاتفك أمر صعب. واقعيا ، يتعين على شركات الهاتف الخلوي توفير المزيد من الضمانات لجعل هذا أقل خطورة. في الواقع ، ربما تريد أن تفعل شيئًا بمفردك بدلاً من انتظار الشركات الكبرى لإصلاح إجراءات خدمة العملاء الخاصة بها. قد تسمح لك بعض الخدمات بتعطيل الاسترداد أو إعادة التعيين عبر أرقام الهواتف والتحذير من ذلك بغزارة - ولكن إذا كان نظامًا مهمًا للمهمة ، فقد ترغب في اختيار إجراءات إعادة تعيين أكثر أمانًا مثل رموز إعادة التعيين ، فيمكنك قفل خزينة بنكية في حالة أنت في حاجة إليها من أي وقت مضى.
إعادة تعيين الإجراءات الأخرى
ذات صلة: أسئلة الأمان غير آمنة: كيفية حماية حساباتك
لا يتعلق الأمر برقم هاتفك فقط. تتيح لك العديد من الخدمات إزالة المصادقة الثنائية بطرق أخرى إذا ادعيت أنك فقدت الرمز وتحتاج إلى تسجيل الدخول. طالما أنك تعرف تفاصيل شخصية كافية عن الحساب ، فقد تتمكن من الدخول.
جرب ذلك بنفسك - انتقل إلى الخدمة التي لديكمحمي بمصادقة ثنائية وتظاهر أنك فقدت الرمز. راجع ما يلزم للوصول. قد تضطر إلى تقديم تفاصيل شخصية أو الإجابة عن "أسئلة الأمان" غير الآمنة في أسوأ سيناريو. ذلك يعتمد على كيفية تكوين الخدمة. قد تتمكن من إعادة تعيينه عن طريق إرسال رابط إلى حساب بريد إلكتروني آخر ، وفي هذه الحالة قد يصبح حساب البريد الإلكتروني هذا رابطًا ضعيفًا. في الحالة المثالية ، قد تحتاج فقط إلى الوصول إلى رقم الهاتف أو رموز الاسترداد - وكما رأينا ، فإن جزء رقم الهاتف هو رابط ضعيف.
إليك شيء مخيف آخر: الأمر لا يتعلق فقط بتجاوز التحقق بخطوتين. يمكن للمهاجم تجربة حيل مشابهة لتجاوز كلمة المرور بالكامل. قد ينجح هذا لأن الخدمات عبر الإنترنت تريد ضمان أن يتمكن الأشخاص من استعادة الوصول إلى حساباتهم ، حتى إذا فقدوا كلمات المرور الخاصة بهم.
على سبيل المثال ، ألقِ نظرة على حساب Googleنظام الاسترداد. هذا هو الخيار الأخير لاستعادة حسابك. إذا كنت تدعي أنك لا تعرف أي كلمات مرور ، فسيُطلب منك في النهاية الحصول على معلومات حول حسابك مثل متى قمت بإنشائه ومن أرسلته كثيرًا عبر البريد الإلكتروني. يمكن للمهاجم الذي يعرف ما يكفي عنك من الناحية النظرية استخدام إجراءات إعادة تعيين كلمة المرور مثل هذه للوصول إلى حساباتك.
لم نسمع أبدًا عن استرداد حساب Googleيجري إساءة استخدام العملية ، لكن Google ليست الشركة الوحيدة التي لديها أدوات مثل هذه. لا يمكن أن تكون جميعها مضمونة تمامًا ، خاصةً إذا كان المهاجم يعرف ما يكفي عنك.
أيا كانت المشاكل ، حساب مع خطوتينسيكون إعداد التحقق دائمًا أكثر أمانًا من الحساب نفسه دون التحقق من خطوتين. لكن المصادقة ثنائية العامل ليست رصاصة فضية ، كما رأينا في الهجمات التي تسيء إلى أكبر رابط ضعيف: شركة هاتفك.
