İki faktörlü kimlik doğrulama sistemleri şu şekilde değildirgöründüğü gibi kusursuz. Bir saldırgan, telefon şirketinizi veya güvenli servisin kendisini girmesine izin vermeleri için kandırabilecekse, fiziksel kimlik doğrulama belirtecinize gerçekten ihtiyaç duymaz.
Ek kimlik doğrulaması her zaman yardımcı olur. Hiçbir şey hepimizin istediği mükemmel güvenliği sunmasa da, iki faktörlü kimlik doğrulamasını kullanmak eşyalarınızı isteyen saldırganlara daha fazla engel koyar.
Telefon Şirketiniz Zayıf Bir Bağlantıdır
İLGİLİ: Bu 16 Web Hizmetinde İki Adımlı Doğrulamayı Kullanarak Kendinizi Koruyun
Çok sayıda iki aşamalı kimlik doğrulama sistemleriweb siteleri, birisi giriş yapmaya çalıştığında telefonunuza SMS yoluyla bir mesaj göndererek çalışır. Telefonunuzda kodlar oluşturmak için özel bir uygulama kullanıyor olsanız bile, kişilerin SMS göndererek giriş yapmalarını sağlamak için tercih ettiğiniz hizmetin iyi bir şansı vardır. telefonunuza kod verin. Veya, hizmet, kurtarma telefon numarası olarak yapılandırdığınız bir telefon numarasına erişiminiz olduğunu doğruladıktan sonra, iki faktörlü kimlik doğrulama korumasını hesabınızdan kaldırmanıza izin verebilir.
Bunların hepsi kulağa hoş geliyor. Cep telefonun var ve bir telefon numarası var. İçinde cep telefonu sağlayıcınızla o telefon numarasına bağlayan fiziksel bir SIM kartı var. Hepsi çok fiziksel görünüyor. Ama ne yazık ki, telefon numaranız sandığınız kadar güvenli değil.
Mevcut bir telefonu başka bir yere taşımanız gerekirseTelefonunuzu kaybettikten veya yeni bir telefon numarası aldıktan sonra yeni bir SIM kartın numarasını tuşlayın, bunu tamamen telefon üzerinden ne yapabileceğinizi bilirsiniz - hatta belki çevrimiçi. Bir saldırganın tek yapması gereken, cep telefonu şirketinizin müşteri hizmetleri bölümünü aramak ve sizmiş gibi davranmak. Telefon numaranızın ne olduğunu ve sizinle ilgili bazı kişisel bilgileri bilmeleri gerekir. Bunlar, düzenli aralıklarla büyük veritabanlarında sızıntı yapan ve kimlik hırsızlığı için kullanılan kredi kartı numarası, SSN'nin son dört hanesi ve diğerleri. Saldırgan, telefon numaranızın telefonuna taşınmasını sağlayabilir.
Daha kolay yollar var. Veya Örneğin, telefon şirketinin sonunda ayarlanmış arama yönlendirme alabilir, böylece gelen sesli aramalar telefonlarına iletilir ve size ulaşmaz.
Heck, bir saldırganın telefonunuza erişmesi gerekmeyebilirTam telefon numarası Sesli postanıza erişebilirler, saat 3'te web sitelerine giriş yapmayı deneyebilirler ve ardından doğrulama kodlarını telesekreterinizden alabilirsiniz. Telefon şirketinizin sesli posta sistemi tam olarak ne kadar güvenli? Sesli posta PIN kodunuz ne kadar güvenli - bir tane bile ayarladınız mı? Herkesin değil! Ve varsa, bir saldırganın telefon şirketinizi arayarak sesli posta PIN kodunuzu sıfırlaması için ne kadar çaba harcarsınız?
Telefon Numaranız İle Her Şey
İLGİLİ: İki Faktörlü Kimlik Doğrulamayı Kullanırken Kilitlenmekten Kaçının
Telefon numaranız zayıfsaldırganınız, hesabınızdan iki adımlı doğrulamayı kaldırmak için - veya iki adımlı doğrulama kodlarını almak için - SMS veya sesli çağrılar yoluyla. Bir şeyin yanlış olduğunu fark ettiğinizde, bu hesaplara erişebilirler.
Bu hemen hemen her hizmet için bir sorundur. Çevrimiçi hizmetler, kişilerin hesaplarına erişimini kaybetmesini istemez, bu nedenle genellikle telefon numaranızla bu iki faktörlü kimlik doğrulamasını atlamanıza ve kaldırmanıza izin verir. Bu, telefonunuzu sıfırlamak veya yenisini almak zorunda kaldıysanız ve iki faktörlü kimlik doğrulama kodlarınızı kaybettiyseniz - ancak telefon numaranız hala varsa, yardımcı olur.
Teorik olarak, çok fazla olması gerekiyorduburada koruma. Gerçekte, hücresel servis sağlayıcılardaki müşteri servisi insanlarıyla iş yapıyorsunuzdur. Bu sistemler genellikle verimlilik için kurulur ve bir müşteri hizmetleri çalışanı, öfkeli, sabırsız görünen ve yeterli bilgi gibi görünen bir müşteriyle karşı karşıya olan bazı önlemleri görmezden gelebilir. Telefon şirketiniz ve müşteri hizmetleri departmanı güvenliğinizde zayıf bir bağdır.
Telefon numaranızı korumak zordur. Gerçekçi olarak, cep telefonu şirketleri bunu daha az riskli hale getirmek için daha fazla koruma sağlamalıdır. Gerçekte, büyük şirketlerin müşteri hizmet prosedürlerini düzeltmelerini beklemek yerine muhtemelen kendi başınıza bir şeyler yapmak istersiniz. Bazı servisler telefon numaralarıyla kurtarmayı devre dışı bırakmanıza veya sıfırlamanıza izin verebilir ve buna karşı bolca uyarırsınız - ancak kritik bir sistemse, banka kasasına kilitleyebileceğiniz sıfırlama kodları gibi daha güvenli sıfırlama prosedürleri seçmek isteyebilirsiniz. onlara hiç ihtiyacın var.
Diğer Sıfırlama İşlemleri
İLGİLİ: Güvenlik Soruları Güvensiz: Hesaplarınızı Nasıl Korursunuz?
Sadece telefon numaranla da ilgili değil. Hizmetlerin çoğu, kodu kaybettiyseniz ve giriş yapmanız gerektiğine karar verirseniz, bu iki faktörlü kimlik doğrulamasını başka şekillerde kaldırmanıza izin verir. Hesap hakkında yeterli kişisel bilgi bildiğiniz sürece, giriş yapabilirsiniz.
Kendiniz deneyin - Gittiğiniz servise gidin.İki faktörlü kimlik doğrulaması ile güvence altına alın ve kodu kaybetmiş gibi yapın. İçeri girmenin ne olduğunu görün. En kötü senaryoda kişisel bilgilerinizi vermeniz veya güvensiz “güvenlik sorularını” yanıtlamanız gerekebilir. Hizmetin nasıl yapılandırıldığına bağlıdır. Başka bir e-posta hesabına bir e-posta göndererek sıfırlayabilirsiniz, bu durumda e-posta hesabı zayıf bir bağlantı olabilir. İdeal bir durumda, bir telefon numarasına veya kurtarma kodlarına erişmeniz gerekebilir - ve gördüğümüz gibi, telefon numarası kısmı zayıf bir bağlantıdır.
İşte başka korkunç bir şey: Sadece iki aşamalı doğrulamayı atlamakla ilgili değil. Bir saldırgan şifrenizi tamamen atlamak için benzer numaralar deneyebilir. Bu işe yarayabilir çünkü çevrimiçi hizmetler, şifrelerini kaybetseler bile kişilerin hesaplarına yeniden erişebilmelerini sağlamak ister.
Örneğin, Google Hesabına bir göz atınKurtarma sistemi. Bu, hesabınızı kurtarmak için son bir seçenek. Herhangi bir şifre bilmediğinizi iddia ederseniz, sonunda, hesabınızı oluşturduğunuzda ve kime e-postayla gönderdiğiniz gibi, sizden bilgi istenir. Sizi yeterince tanıyan bir saldırgan teorik olarak hesaplarınıza erişmek için bu gibi şifre sıfırlama prosedürlerini kullanabilir.
Google’ın Hesap Kurtarmasını hiç duymadıkİşlemin kötüye kullanılması, ancak Google, bunun gibi araçlara sahip tek şirket değil. Özellikle bir saldırgan sizin hakkınızda yeterince şey biliyorsa, tamamen kusursuz olamazlar.
Sorunlar ne olursa olsun, iki adımlı bir hesapdoğrulama ayarları, iki adımlı doğrulama olmadan her zaman aynı hesaptan daha güvenli olacaktır. Ancak, iki faktörlü kimlik doğrulaması gümüş mermi değildir, çünkü en büyük zayıf bağlantıyı kötüye kullanan saldırılarda görüldüğü gibi: telefon şirketiniz.
