Papildu autentifikācija vienmēr ir noderīga. Kaut arī nekas nepalīdz, ka mums ir ideāls drošība, divfaktoru autentifikācijas izmantošana rada vairāk šķēršļu uzbrucējiem, kuri vēlas jūsu sīkumus.
Jūsu telefona kompānija ir vāja saikne
Divu soļu autentifikācijas sistēmas daudzās vietnēs darbojas, nosūtot īsziņu uz jūsu tālruni, izmantojot īsziņu, kad kāds mēģina pieteikties. Pat ja jūs savā mobilajā telefonā izmantojat īpašu lietotni, lai ģenerētu kodus, ir labas izredzes, ka jūsu piedāvātais pakalpojums piedāvā Ļaujiet lietotājiem piesakieties, nosūtot īsziņu uz savu tālruni. Vai arī pakalpojums var ļaut noņemt sava konta divu faktoru autentifikācijas aizsardzību pēc apstiprinājuma, ka jums ir piekļuve tālruņa numuram, kuru konfigurējāt kā atkopšanas tālruņa numuru.
Tas viss izklausās labi. Jums ir jūsu mobilais tālrunis, un tam ir tālruņa numurs. Tajā ir fiziska SIM karte tajā, kas saistās ar šo tālruņa numuru ar jūsu mobilā telefona pakalpojumu sniedzēju. Tas viss šķiet fiziski. Diemžēl jūsu tālruņa numurs nav tik drošs kā jūs domājat.
Ja jums kādreiz vajadzēja pārvietot esošu tālruņa numuru uz jaunu SIM karti pēc tālruņa pazaudēšanas vai vienkārši iegūt jaunu, jūs zināt, ko jūs to bieži varat darīt pa tālruni - vai varbūt pat tiešsaistē. Visam uzbrucējam ir jādara, ir zvanīt uz savu mobilā tālruņa uzņēmuma klientu apkalpošanas nodaļu un izlikties par jums. Viņiem būs jāzina, kas ir jūsu tālruņa numurs, un uzzināsiet dažus personiskos datus par tevi. Tie ir datu veidi (piemēram, kredītkartes numurs, SSN pēdējie četri cipari un citi), kas regulāri tiek noplūstas lielās datu bāzēs un tiek izmantotas identitātes zādzībai. Uzbrucējs var mēģināt iegūt tālruņa numuru savā tālrunī.
Ir vēl vieglāk veidi. Vai arī, piemēram, tie var saņemt zvanu pāradresāciju tālruņa kompānijas galā, lai ienākošie balss zvani tiek pārsūtīti uz viņu tālruni un nesasniedz jūsu.
Heck, uzbrucējam var nebūt nepieciešama piekļuve pilnam tālruņa numuram. Viņi varētu piekļūt jūsu balss pastam, mēģināt pieteikties tīmekļa vietnēs plkst. 3:00 un pēc tam paņemt no balss pastkastes verifikācijas kodus. Cik droša ir jūsu tālruņa uzņēmuma balss pasta sistēma, tieši tā? Cik drošs ir jūsu balss pasta PIN - vai jūs to esat pat iestatījis? Ne visi ir! Un, ja jums ir, cik daudz pūļu uzbrucējam vajadzēs, lai jūsu balss pasta PIN atiestatītu, zvanot uz tālruņa uzņēmumu?
Ar jūsu tālruņa numuru tas viss ir beidzies
Jūsu tālruņa numurs kļūst par vāju saiti, kas ļauj jūsu uzbrucējam noņemt sava konta divpakāpju verifikāciju vai saņemt divpakāpju verifikācijas kodus, izmantojot SMS vai balss zvanus. Līdz tam laikam, kad jūs saprotat, ka kaut kas noticis nepareizi, viņiem var būt piekļuve šiem kontiem.
Šī ir problēma praktiski visiem pakalpojumiem. Tiešsaistes pakalpojumi nevēlas, lai cilvēki zaudē piekļuvi saviem kontiem, tāpēc parasti tie ļauj jums apiet un noņemt šo divu faktoru autentifikāciju ar jūsu tālruņa numuru. Tas palīdz, ja jums ir bijis jānomaina tālrunis vai jāiegūst jauns, un esat pazaudējis divu faktoru autentifikācijas kodus, taču jums joprojām ir jūsu tālruņa numurs.
Teorētiski šeit ir jābūt lielai aizsardzībai. Patiesībā, jūs sazināties ar klientu apkalpošanas cilvēkiem mobilo pakalpojumu sniedzējiem. Šīs sistēmas bieži ir izveidotas efektivitātei, un klientu apkalpošanas darbinieki var aizmirst dažus drošības pasākumus, ar kuriem saskaras klients, kurš, šķiet, ir dusmīgs un nepacietīgs, un ir tas, kas šķiet kā pietiekami daudz informācijas. Jūsu tālruņa uzņēmums un tā klientu apkalpošanas nodaļa ir vāja saikne ar jūsu drošību.
Jūsu tālruņa numura aizsardzība ir grūti. Reāli mobilo tālruņu kompānijām vajadzētu nodrošināt vairāk garantiju, lai padarītu to mazāk riskantu. Patiesībā jūs, iespējams, vēlētos kaut ko darīt savā vietā, nevis gaidīt lielās korporācijas, lai noteiktu viņu klientu apkalpošanas procedūras. Daži pakalpojumi var ļaut jums atspējot atkopšanu vai atiestatīt pa tālruņu numuriem un brīdināt par to bagātīgi, bet, ja tā ir misijai būtiska sistēma, jūs, iespējams, vēlēsities izvēlēties drošākas atiestatīšanas procedūras, piemēram, atiestatīt kodus, kurus var bloķēt bankas vaultā gadījumā jums tie ir vajadzīgi.
Citas atiestatīšanas procedūras
Vai nu tas attiecas ne tikai uz jūsu tālruņa numuru. Daudzi pakalpojumi ļauj jums noņemt šo divu faktoru autentifikāciju citos veidos, ja jūs apgalvojat, ka esat pazaudējis šo kodu un jāpiesakās. Ja jūs zināt, ka ir pietiekami daudz personas datu par kontu, iespējams, jūs varat piekļūt.
Izmēģiniet pats - pārejiet uz pakalpojumu, kuru esat nodrošinājis ar divu faktoru autentifikāciju, un izliekoties, ka esat pazaudējis kodu. Skatiet, kas nepieciešams, lai iekļūtu. Sliktākajā gadījumā jums var nākties sniegt personiskas ziņas vai atbildēt uz nedrošiem "drošības jautājumiem". Tas ir atkarīgs no tā, kā pakalpojums ir konfigurēts. Iespējams, to varēsit atiestatīt, nosūtiet saiti uz citu e-pasta kontu, un šādā gadījumā šis e-pasta konts var kļūt par vāju saiti. Ideālā situācijā jums var būt nepieciešama tikai piekļuve tālruņa numuram vai atkopšanas kodam - un, kā mēs redzējām, tālruņa numura daļa ir vāja saite.
Šeit ir kaut kas cits drausmīgs: tas nav tikai apiet divpakāpju verifikāciju.Uzbrucējs varētu izmēģināt līdzīgus trikus, lai pilnībā apietu jūsu paroli. Tas var darboties, jo tiešsaistes pakalpojumi vēlas, lai cilvēki varētu atgūt piekļuvi saviem kontiem, pat ja viņi zaudē savas paroles.
Piemēram, ieskatieties Google konta atkopšanas sistēmā. Šī ir pēdējā grāvja iespēja, kā atgūt savu kontu. Ja jūs apgalvojat, ka nezināt nevienu paroli, galu galā jums tiks lūgts sniegt informāciju par jūsu kontu, piemēram, kad jūs izveidojāt to un ko jūs bieži e-pastu. Uzbrucējs, kurš pietiekami zina par tevi, teorētiski var izmantot paroles atiestatīšanas procedūras, piemēram, šīs, lai piekļūtu saviem kontiem.
Mēs nekad neesam dzirdējuši par to, ka Google konta atkopšanas process tiek ļaunprātīgi izmantots, taču Google nav vienīgais uzņēmums ar šādiem rīkiem. Viņi visi nevar būt pilnīgi neprātīgi, it īpaši, ja uzbrucējs pietiekami daudz zina par tevi.
Neatkarīgi no problēmām, divpakāpju verifikācijas konta iestatīšana vienmēr būs drošāka nekā tas pats konts bez divpakāpju verifikācijas. Bet divfaktoru autentifikācija nav sudraba lodīte, kā mēs esam redzējuši ar uzbrukumiem, kas ļaunprātīgi izmanto lielāko vājo saiti: jūsu tālruņa uzņēmums.
