Täiendav autentimine on alati kasulik. Kuigi midagi ei paku täiuslikku turvalisust, mida me kõik tahame, on kaheteguriline autentimise kasutamine rohkem takistusi ründajatele, kes tahavad teie kraami.
Teie telefonifirma on nõrk seos
Paljudel veebisaitidel töötavad kaheastmelised autentimissüsteemid SMS-i saatmisega SMS-i kaudu, kui keegi proovib sisse logida. Isegi kui kasutate koodi genereerides telefoni spetsiaalset rakendust, on teie jaoks hea võimalus pakkuda teile valikut lasta inimestel sisse logida, saates SMS-i oma telefoni. Või teenus võib lubada teil kahekordse autentimise kaitse eemaldada oma kontolt, kui olete kinnitanud, et teil on juurdepääs telefoninumbrile, mille konfigureerisite taastetelefoninumbri.
See kõik kõlab hästi. Teil on oma mobiiltelefon ja tal on telefoninumber. Sellel on füüsiline SIM-kaart, mis seob selle mobiiltelefoni pakkujaga selle telefoninumbri. See kõik tundub väga füüsiline. Kahjuks ei ole teie telefoninumber nii turvaline kui arvad.
Kui teil on kunagi vaja olemasolevat telefoninumbrit uuele SIM-kaardile teisaldada pärast telefoni kaotamist või lihtsalt uue saamist, siis teate, mida saate sageli teha telefoni kaudu - või isegi veebis. Kõik, mida ründaja peab tegema, on helistada oma mobiiltelefoni ettevõtte klienditeenindusele ja teeselda, et olete teiega. Nad peavad teadma, mis on teie telefoninumber, ja tean sinu kohta teatavaid isikuandmeid. Need on üksikasjad (näiteks krediitkaardi number, SSNi neli viimast numbrit ja muud), mis levivad regulaarselt suurtes andmebaasides ja mida kasutatakse identiteedivarguste jaoks. Ründaja võib proovida oma telefoninumbrit oma telefoni teisaldada.
On isegi lihtsamaid viise. Või Näiteks saavad nad telefonikõnede edastamise seadeid seadistada telefoni ettevõtte lõpus, nii et sissetulevad häälkõned edastatakse telefoni ja ei jõua sinu oma.
Heck, ründaja ei pruugi vaja juurdepääsu teie täielikule telefoninumbrile. Nad said juurdepääsu teie kõnepostile, proovisid veebisaitidesse sisse logida kell 3 ja seejärel hangitage kinnituskoodid oma kõnepostist. Kui turvaline on teie telefoni ettevõtte kõneposti süsteem, täpselt? Kui turvaline on teie kõneposti PIN-kood - kas olete isegi selle määranud? Mitte igaühel pole! Ja kui teil on, siis kui palju ründaja võtab teie häälposti PIN-koodi lähtestamiseks oma telefoniühingu poole helistamiseks?
Teie telefoninumbriga on kõik läbi
Teie telefoninumber muutub nõrgaks linkiks, mis lubab teie ründajal eemaldada oma kontolt kaheastmeline kinnitamine või saada kaheastmelisi kinnituskoode SMSi või häälkõne kaudu. Selleks ajaks, kui mõistate, et midagi on valesti, võib neil olla juurdepääs nendele kontodele.
See on probleem peaaegu kõikidele teenustele. Interneti-teenused ei soovi, et inimesed kaotaksid juurdepääsu oma kontodele, seega võimaldavad nad üldjuhul teie telefoninumbril seda kaheteguri autentimist mööda minna ja eemaldada. See aitab, kui peate oma telefoni lähtestama või uue telefoni saama ja kaotanud oma kaheteguri autentimiskoodid - aga teil on veel teie telefoninumber.
Teoreetiliselt peaks seal olema palju kaitset. Tegelikult tegelete mobiilsideoperaatorite klienditeenindusega. Need süsteemid on sageli efektiivsuse jaoks loodud ja klienditeenindaja võib jätta tähelepanuta mõned kliendi kaitsemeetmed, kes näevad vihast, kannatamatut ja millel on piisavalt teavet. Teie telefonifirma ja klienditeenindus on teie turvalisuse nõrk lüli.
Telefoninumbri kaitsmine on raske. Reaalajas peaks mobiiltelefonide ettevõtted pakkuma rohkem kaitsemeetmeid, et muuta see vähem riskantseks. Tegelikult sooviksite tõenäoliselt ise midagi teha, mitte oodata, et suured ettevõtted saaksid oma klienditeeninduse protseduure parandada. Mõned teenused võivad lubada teil taastada või lähtestada telefoninumbrite kaudu ja hoiatada selle eest tohutult - aga kui see on missioonikriitiline süsteem, võite soovida valida turvalisemate lähtestamisprotseduuride, näiteks koodide lähtestamise, mida saate lukustada pangahoidlat juhul sa pead neid kunagi vaeva nägema.
Muud Lähtesta protseduurid
Kas see on ka teie telefoninumber. Paljud teenused võimaldavad teil kahendfunktsionaalset autentimist teistel viisidel eemaldada, kui väidate, et olete koodi kaotanud ja peate sisse logima. Nii kaua, kui teate konto kohta piisavalt üksikasjalikke andmeid, võite selle sisse saada.
Proovige seda ennast - minge teenusele, mille olete taganud kahetegurilise autentimisega ja teestate, et olete koodi kaotanud. Vaadake, mis sissetulevad on. Võimalik, et peate esitama isikuandmeid või vastama ebakindlatele turvaküsimustele halvima stsenaariumi korral. See sõltub sellest, kuidas teenus on konfigureeritud. Võimalik, et saate selle lähtestada, saates e-kirja linki teise e-posti kontole, mille puhul e-posti konto võib olla nõrk lüli. Ideaalses olukorras võite vajada lihtsalt juurdepääsu telefoninumbrile või taastekoodidele - ja nagu me nägime, on telefoninumbri osa nõrk lüli.
Siin on midagi muud hirmutav: see ei tähenda ainult kaheastmelise kinnitamise möödu mist.Ründaja võib proovida sarnaseid trikke, et teie parool oleks täielikult välistatud. See võib toimida, sest veebiteenused soovivad tagada, et inimesed saaksid oma kontodele juurdepääsu tagasi, isegi kui nad kaotavad oma paroolid.
Näiteks tutvuge Google'i konto taastamise süsteemiga. See on teie konto taaskasutamise viimane samm. Kui te väidate, et ei tea ühtegi parooli, peate lõpuks paluma teavet teie konto kohta, näiteks selle loomisel ja kellele me tihti meilisõnumi saatke. Ründaja, kes teab piisavalt teie kohta, võiks teoreetiliselt kasutada nende paroolide lähtestamise protseduure, mis võimaldaksid juurdepääsu teie kontodele.
Me pole kunagi kuulnud Google'i konto taastamise protsessi kuritarvitamisest, kuid Google ei ole ainus ettevõte, kellel on sellised tööriistad. Nad ei pruugi olla täiesti lollikindlad, eriti kui ründaja teab sind piisavalt.
Ükskõik probleemidest, kaheastmelise kinnitamise konto on kaheastmelise kinnitamise korral alati turvalisem kui sama konto. Kuid kaheteguriline autentimine ei ole hõbetüüp, nagu oleme näinud rünnakutega, mis kuritarvitavad suurimat nõrkat seost: teie telefonifirma.
