Dvojfaktorové autentifikačné systémy nie súspoľahlivé, ako sa zdá. Útočník v skutočnosti nepotrebuje váš token fyzickej autentifikácie, ak môže prinútiť vašu telefónnu spoločnosť alebo samotnú zabezpečenú službu, aby ich prepustila.
Dodatočná autentifikácia je vždy užitočná. Aj keď nič neponúka takú dokonalú bezpečnosť, akú všetci chceme, použitie dvojfaktorovej autentifikácie predstavuje ďalšie prekážky pre útočníkov, ktorí chcú vaše veci.
Vaša telefónna spoločnosť je slabým odkazom
súvisiace: Zabezpečte sa pomocou dvojstupňového overenia v týchto 16 webových službách
Dvojstupňové autentifikačné systémy na mnohýchwebové stránky fungujú tak, že posielajú správu do telefónu prostredníctvom SMS, keď sa niekto pokúsi prihlásiť. Aj keď v telefóne používate špeciálnu aplikáciu na generovanie kódov, existuje veľká šanca, že vaša služba výberu ponúka, aby sa ľudia mohli prihlásiť pomocou odoslania SMS kód do telefónu. Služba vám tiež môže umožniť odstrániť dvojfaktorovú ochranu overenia z vášho účtu po potvrdení, že máte prístup k telefónnemu číslu, ktoré ste nakonfigurovali ako telefónne číslo na obnovenie.
To všetko znie dobre. Máte svoj mobilný telefón a má telefónne číslo. Má v sebe fyzickú SIM kartu, ktorá ju spája s týmto telefónnym číslom u vášho poskytovateľa mobilných telefónov. Vyzerá to veľmi fyzicky. Vaše telefónne číslo však bohužiaľ nie je také bezpečné, ako si myslíte.
Ak ste niekedy potrebovali presunúť existujúci telefónčíslo na novú SIM kartu po strate telefónu alebo po získaní nového, budete vedieť, čo často dokážete urobiť úplne po telefóne - alebo možno aj online. Útočník musí iba zavolať na oddelenie služieb zákazníkom vašej mobilnej telefónnej siete a predstierať, že ste vy. Budú musieť vedieť, aké je vaše telefónne číslo a musia o vás vedieť nejaké osobné údaje. Toto sú druhy detailov - napríklad číslo kreditnej karty, posledné štyri číslice SSN a ďalšie - ktoré pravidelne unikajú do veľkých databáz a používajú sa na krádež identity. Útočník sa môže pokúsiť presunúť vaše telefónne číslo na svoj telefón.
Existujú ešte jednoduchšie spôsoby. Alebo môžu napríklad nastaviť presmerovanie hovorov na konci telefónnej spoločnosti, aby prichádzajúce hlasové hovory boli presmerované na ich telefón a neprichádzali k vám.
Sakra, útočník nemusí potrebovať prístup k vášmucelé telefónne číslo. Mohli by získať prístup k vašej hlasovej pošte, pokúsiť sa prihlásiť na webové stránky o 3.00 hod. A potom si z hlasovej schránky vziať overovacie kódy. Aký bezpečný je systém hlasovej pošty vašej telefónnej spoločnosti? Aký bezpečný je PIN kódu vašej hlasovej pošty - nastavili ste ho dokonca? Nie každý má! A ak áno, koľko úsilia by útočníkovi vyžadovalo obnovenie kódu PIN vašej hlasovej pošty volaním telefónnej spoločnosti?
S vaším telefónnym číslom je koniec
súvisiace: Ako zabrániť uzamknutiu pri použití dvojfaktorového overovania
Vaše telefónne číslo sa tak stáva slabým spojenímsvojho útočníka, aby odstránil dvojstupňové overenie z vášho účtu - alebo dostal dvojstupňové overovacie kódy - prostredníctvom SMS alebo hlasových hovorov. Keď si uvedomíte, že niečo nie je v poriadku, môžu mať prístup k týmto účtom.
To je problém prakticky pre každú službu. Služby online nechcú, aby ľudia stratili prístup k svojim účtom, takže vám vo všeobecnosti umožňujú obísť a odstrániť túto dvojfaktorovú autentifikáciu pomocou vášho telefónneho čísla. Pomáha to, ak ste museli resetovať telefón alebo získať nový a stratili ste dvojfaktorové autentifikačné kódy - stále však máte svoje telefónne číslo.
Teoreticky je toho veľaochrana tu. V skutočnosti jednáte s ľuďmi zákazníckych služieb u poskytovateľov mobilných služieb. Tieto systémy sú často nastavené na efektívnosť a pracovník zákazníckeho servisu môže prehliadnuť niektoré záruky, ktorým čelí zákazník, ktorý sa zdá byť naštvaný, netrpezlivý a má dostatok informácií. Vaša telefónna spoločnosť a jej oddelenie služieb zákazníkom sú slabým článkom vo vašej bezpečnosti.
Ochrana vášho telefónneho čísla je tvrdá. Realisticky by spoločnosti poskytujúce mobilné telefóny mali poskytovať viac záruk na zníženie rizika. V skutočnosti pravdepodobne budete chcieť urobiť niečo pre seba, namiesto toho, aby ste čakali na veľké spoločnosti, aby opravili svoje procedúry služieb zákazníkom. Niektoré služby vám môžu zakázať obnovenie alebo resetovanie pomocou telefónnych čísel a varovať proti nemu - ale ak je to systém kritický pre misiu, môžete zvoliť bezpečnejšie postupy resetovania, ako sú resetovacie kódy, ktoré môžete zamknúť v trezore banky pre prípad, že vždy ich potrebujete.
Ďalšie postupy resetovania
súvisiace: Bezpečnostné otázky sú neisté: Ako chrániť svoje účty
Nejde iba o vaše telefónne číslo. Mnoho služieb vám umožňuje toto dvojfaktorové overenie odstrániť iným spôsobom, ak tvrdíte, že ste kód stratili a potrebujete sa prihlásiť. Pokiaľ viete o svojom účte dostatok osobných údajov, možno sa budete môcť prihlásiť.
Vyskúšajte sami - choďte na službu, ktorú mátezabezpečené dvojfaktorovým overením a predstierajte, že ste kód stratili. Zistite, čo to znamená, keď sa chcete dostať. Možno budete musieť poskytnúť osobné údaje alebo odpovedať na nezabezpečené „bezpečnostné otázky“ v najhoršom prípade. Závisí to od toho, ako je služba nakonfigurovaná. Možno ho budete môcť resetovať e-mailom s odkazom na iný e-mailový účet. V takom prípade sa tento e-mailový účet môže stať slabým odkazom. V ideálnej situácii budete možno potrebovať iba prístup k telefónnemu číslu alebo kódom na obnovenie účtu - a ako sme videli, časť s telefónnym číslom je slabým odkazom.
Tu je niečo desivé: Nejde iba o obídenie dvojstupňového overenia. Útočník by mohol vyskúšať podobné triky na úplné obídenie vášho hesla. Môže to fungovať, pretože služby online chcú zabezpečiť, aby ľudia mohli znovu získať prístup k svojim účtom, aj keď stratia svoje heslá.
Pozrite sa napríklad na účet GoogleObnova systému. Toto je posledná možnosť na obnovenie vášho účtu. Ak tvrdíte, že nepoznáte žiadne heslá, budete požiadaní o informácie o svojom účte, napríklad o tom, kedy ste ho vytvorili a komu často posielate e-maily. Útočník, ktorý o vás vie dosť, by mohol teoreticky použiť podobné postupy na obnovenie hesla, aby získal prístup k vašim účtom.
O obnovení účtu Google sme nikdy nepočuliproces zneužívania, ale spoločnosť Google nie je jedinou spoločnosťou s takýmito nástrojmi. Všetky nemôžu byť úplne spoľahlivé, najmä ak útočník o vás vie dosť.
Bez ohľadu na problémy, účet s dvoma krokminastavenie verifikácie bude vždy bezpečnejšie ako rovnaký účet bez verifikácie v dvoch krokoch. Dvojfaktorová autentifikácia však nie je striebornou guľkou, ako sme videli pri útokoch, ktoré zneužívajú najväčší slabý článok: vašu telefónnu spoločnosť.
