Zde je návod, jak může útočník obejít ověření ze dvou faktorů

Obsah:

Video: Zde je návod, jak může útočník obejít ověření ze dvou faktorů

Video: Zde je návod, jak může útočník obejít ověření ze dvou faktorů
Video: Jak OBNOVIT ZAPOMENUTÉ HESLO pomocí SEKUNDÁRNÍHO EMAILU pro váš GOOGLE ÚČET | Návod | GOOGLE / PC 2024, Březen
Zde je návod, jak může útočník obejít ověření ze dvou faktorů
Zde je návod, jak může útočník obejít ověření ze dvou faktorů
Anonim
Dvoufaktorové autentizační systémy nejsou tak hluboké, jak se zdá. Útočník ve skutečnosti nepotřebuje vaši fyzickou autentizační token, pokud by mohl své telefonní společnost nebo samotnou zabezpečenou službu popudit, aby je dovolil.
Dvoufaktorové autentizační systémy nejsou tak hluboké, jak se zdá. Útočník ve skutečnosti nepotřebuje vaši fyzickou autentizační token, pokud by mohl své telefonní společnost nebo samotnou zabezpečenou službu popudit, aby je dovolil.

Další ověřování je vždy užitečné. Přestože nic nenabízí to perfektní bezpečnost, jakou všichni chceme, pomocí dvoufaktorového ověřování se objevují další překážky pro útočníky, kteří chtějí vaše věci.

Telefonní společnost je slabým spojem

Dvoustupňové autentizační systémy na mnoha webových stránkách fungují odesláním zprávy do telefonu prostřednictvím SMS, když se někdo pokusí přihlásit. Dokonce i když ve svém telefonu používáte vygenerovanou aplikaci pro generování kódů, existuje velká šance, že služba, kterou nabízíte, nabízí nechte lidi přihlásit zasláním SMS kódu do telefonu. Nebo může služba povolit odstranění ochrany dvoufaktorových ověřování z vašeho účtu po potvrzení, že máte přístup k telefonnímu číslu, které jste nakonfigurovali jako telefonní číslo pro obnovení.

To vše zní dobře. Máte svůj mobilní telefon a má telefonní číslo. Má v sobě fyzickou SIM kartu, která s vámi spojuje telefonní číslo s poskytovatelem mobilního telefonu. Všechno se zdá být velmi fyzické. Bohužel, vaše telefonní číslo není tak bezpečné, jak si myslíte.

Pokud jste někdy potřebovali přesunout stávající telefonní číslo na novou SIM kartu po ztrátě telefonu nebo jen při získání nového telefonu, budete vědět, co to často děláte úplně přes telefon - nebo dokonce online. Všichni útočníci musí udělat telefonovat s oddělením zákaznického servisu vašeho mobilního telefonu a předstírat, že jste vy. Budou potřebovat vědět, jaké je vaše telefonní číslo a znáte některé osobní údaje o vás. Jedná se o druhy podrobností - například číslo kreditní karty, poslední čtyři číslice SSN a další - které pravidelně pronikají do velkých databází a používají se ke krádeži identity. Útočník se může pokusit přenést vaše telefonní číslo na telefon.

Existují ještě snadnější způsoby. Nebo Například mohou dostat přesměrování hovorů nastavené na konci telefonní společnosti tak, aby příchozí hlasové hovory byly přesměrovány do jejich telefonu a nedosahují vaše.

Heck, útočník nemusí potřebovat přístup k vašemu úplnému telefonnímu číslu. Mohou získat přístup k vaší hlasové poště, zkusit se přihlásit na webové stránky o 3:00 a potom vyzvednout ověřovací kódy z vaší hlasové schránky. Jak přesně je váš hlasový systém telefonní společnosti bezpečný? Jak bezpečný je váš kód hlasové pošty - jste dokonce nastavili? Ne každý má! A pokud máte, kolik úsilí by útočník potřeboval, aby vaše telefonní číslo hlasové pošty resetovalo voláním vaší telefonní společnosti?

Image
Image

S Vaším telefonním číslem je po všem

Vaše telefonní číslo se stává slabým spojením, které umožňuje útočníkovi odstranit ověření ze dvou kroků z vašeho účtu - nebo obdržet dvoufázové ověřovací kódy - prostřednictvím SMS nebo hlasových hovorů. Do doby, než si uvědomíte, že je něco špatně, mohou mít přístup k těmto účtům.

To je problém prakticky pro každou službu. Online služby nechtějí, aby lidé ztratili přístup ke svým účtům, takže obecně umožňují obejít a odstranit toto dvoufaktorové ověření pomocí svého telefonního čísla. To vám pomůže, pokud jste museli resetovat telefon nebo získat nový a ztratili jste dvoufaktorové ověřovací kódy - ale stále máte vaše telefonní číslo.

Teoreticky by zde měla být hodně ochrany. Ve skutečnosti máte co do činění se zákaznickými službami u poskytovatelů mobilních služeb. Tyto systémy jsou často nastaveny na efektivitu a zaměstnanec zákaznického servisu může přehlédnout některé z ochranných opatření vůči zákazníkovi, který vypadá rozhněvaně, netrpělivě a má to, co se zdá být dost informací. Telefonní společnost a oddělení zákaznického servisu jsou slabým spojením ve vaší bezpečnosti.

Chrání vaše telefonní číslo je těžké. Realisticky by společnosti zabývající se mobilními telefony měly poskytovat více záruk, aby to méně riskantní. Ve skutečnosti pravděpodobně budete chtít něco udělat sami, místo aby čekali na velké firmy, aby opravily své zákaznické služby. Některé služby vám mohou umožnit deaktivaci obnovy nebo obnovení pomocí telefonních čísel a varovat proti němu hojně - ale pokud je to kritický systém, možná budete chtít zvolit bezpečnější resetovací procedury, jako jsou resetovací kódy, které můžete uzamknout v trezoru banky, potřebujete je někdy.

Image
Image

Jiné postupy obnovení

Nejedná se pouze o telefonní číslo. Mnoho služeb umožňuje odstranit tuto dvoufaktorovou autentizaci jinými způsoby, pokud tvrdíte, že jste ztratili kód a potřebujete se přihlásit. Pokud znáte dostatečné osobní údaje o účtu, můžete se dostat dovnitř.

Vyzkoušejte to sami - přejděte na službu, kterou jste získali pomocí dvoufaktorového ověřování, a předstírat, že jste kód ztratili. Podívejte se, co to znamená, abyste se dostali dovnitř. Možná budete muset v nejhorším případě poskytnout osobní údaje nebo odpovědět na nejisté "bezpečnostní otázky". Záleží na tom, jak je služba nakonfigurována. Můžete ji obnovit zasláním e-mailu na jiný e-mailový účet, v takovém případě se může stát, že se tento e-mailový účet stane slabým odkazem. V ideální situaci můžete potřebovat přístup pouze k telefonnímu číslu nebo k kódům pro obnovení - a jak jsme viděli, část telefonního čísla je slabým spojem.

Ještě něco děsivé: Není to jen o obejití dvoufázového ověření.Útočník by mohl vyzkoušet podobné triky, aby zcela vynechal vaše heslo. To může fungovat, protože on-line služby chtějí zajistit, aby lidé mohli získat přístup ke svým účtům, a to i v případě, že ztratí hesla.

Přečtěte si například systém obnovení účtu Google. Toto je poslední volba pro obnovu vašeho účtu. Pokud tvrdíte, že neznáte žádná hesla, budete nakonec požádáni o informace o vašem účtu, jako když jste jej vytvořili a koho často odesíláte. Útočník, který ví o vašem účtu dostatečně dobře, mohl teoreticky použít procedury pro obnovení hesla, jako jsou tyto, aby získal přístup k vašim účtům.

Nikdy jsme neslyšeli o zneužívání procesu obnovení účtu Google, ale společnost Google není jedinou společností s takovými nástroji. Nemohou být všichni úplně bezstarostní, zvlášť pokud útočník o vás ví.

Image
Image

Bez ohledu na problémy bude účet s dvoufázovým ověřením nastaven vždy bezpečnější než stejný účet bez dvoufázového ověření. Ovšem dvoufaktorová autentizace není žádná stříbrná kulka, jak jsme viděli s útoky, které zneužívají největší slabé spojení: vaše telefonní společnost.

Doporučuje: