2024 Autor: Peter John Melton | [email protected]. Naposledy změněno: 2023-12-16 04:44
Další ověřování je vždy užitečné. Přestože nic nenabízí to perfektní bezpečnost, jakou všichni chceme, pomocí dvoufaktorového ověřování se objevují další překážky pro útočníky, kteří chtějí vaše věci.
Telefonní společnost je slabým spojem
Dvoustupňové autentizační systémy na mnoha webových stránkách fungují odesláním zprávy do telefonu prostřednictvím SMS, když se někdo pokusí přihlásit. Dokonce i když ve svém telefonu používáte vygenerovanou aplikaci pro generování kódů, existuje velká šance, že služba, kterou nabízíte, nabízí nechte lidi přihlásit zasláním SMS kódu do telefonu. Nebo může služba povolit odstranění ochrany dvoufaktorových ověřování z vašeho účtu po potvrzení, že máte přístup k telefonnímu číslu, které jste nakonfigurovali jako telefonní číslo pro obnovení.
To vše zní dobře. Máte svůj mobilní telefon a má telefonní číslo. Má v sobě fyzickou SIM kartu, která s vámi spojuje telefonní číslo s poskytovatelem mobilního telefonu. Všechno se zdá být velmi fyzické. Bohužel, vaše telefonní číslo není tak bezpečné, jak si myslíte.
Pokud jste někdy potřebovali přesunout stávající telefonní číslo na novou SIM kartu po ztrátě telefonu nebo jen při získání nového telefonu, budete vědět, co to často děláte úplně přes telefon - nebo dokonce online. Všichni útočníci musí udělat telefonovat s oddělením zákaznického servisu vašeho mobilního telefonu a předstírat, že jste vy. Budou potřebovat vědět, jaké je vaše telefonní číslo a znáte některé osobní údaje o vás. Jedná se o druhy podrobností - například číslo kreditní karty, poslední čtyři číslice SSN a další - které pravidelně pronikají do velkých databází a používají se ke krádeži identity. Útočník se může pokusit přenést vaše telefonní číslo na telefon.
Existují ještě snadnější způsoby. Nebo Například mohou dostat přesměrování hovorů nastavené na konci telefonní společnosti tak, aby příchozí hlasové hovory byly přesměrovány do jejich telefonu a nedosahují vaše.
Heck, útočník nemusí potřebovat přístup k vašemu úplnému telefonnímu číslu. Mohou získat přístup k vaší hlasové poště, zkusit se přihlásit na webové stránky o 3:00 a potom vyzvednout ověřovací kódy z vaší hlasové schránky. Jak přesně je váš hlasový systém telefonní společnosti bezpečný? Jak bezpečný je váš kód hlasové pošty - jste dokonce nastavili? Ne každý má! A pokud máte, kolik úsilí by útočník potřeboval, aby vaše telefonní číslo hlasové pošty resetovalo voláním vaší telefonní společnosti?
S Vaším telefonním číslem je po všem
Vaše telefonní číslo se stává slabým spojením, které umožňuje útočníkovi odstranit ověření ze dvou kroků z vašeho účtu - nebo obdržet dvoufázové ověřovací kódy - prostřednictvím SMS nebo hlasových hovorů. Do doby, než si uvědomíte, že je něco špatně, mohou mít přístup k těmto účtům.
To je problém prakticky pro každou službu. Online služby nechtějí, aby lidé ztratili přístup ke svým účtům, takže obecně umožňují obejít a odstranit toto dvoufaktorové ověření pomocí svého telefonního čísla. To vám pomůže, pokud jste museli resetovat telefon nebo získat nový a ztratili jste dvoufaktorové ověřovací kódy - ale stále máte vaše telefonní číslo.
Teoreticky by zde měla být hodně ochrany. Ve skutečnosti máte co do činění se zákaznickými službami u poskytovatelů mobilních služeb. Tyto systémy jsou často nastaveny na efektivitu a zaměstnanec zákaznického servisu může přehlédnout některé z ochranných opatření vůči zákazníkovi, který vypadá rozhněvaně, netrpělivě a má to, co se zdá být dost informací. Telefonní společnost a oddělení zákaznického servisu jsou slabým spojením ve vaší bezpečnosti.
Chrání vaše telefonní číslo je těžké. Realisticky by společnosti zabývající se mobilními telefony měly poskytovat více záruk, aby to méně riskantní. Ve skutečnosti pravděpodobně budete chtít něco udělat sami, místo aby čekali na velké firmy, aby opravily své zákaznické služby. Některé služby vám mohou umožnit deaktivaci obnovy nebo obnovení pomocí telefonních čísel a varovat proti němu hojně - ale pokud je to kritický systém, možná budete chtít zvolit bezpečnější resetovací procedury, jako jsou resetovací kódy, které můžete uzamknout v trezoru banky, potřebujete je někdy.
Jiné postupy obnovení
Nejedná se pouze o telefonní číslo. Mnoho služeb umožňuje odstranit tuto dvoufaktorovou autentizaci jinými způsoby, pokud tvrdíte, že jste ztratili kód a potřebujete se přihlásit. Pokud znáte dostatečné osobní údaje o účtu, můžete se dostat dovnitř.
Vyzkoušejte to sami - přejděte na službu, kterou jste získali pomocí dvoufaktorového ověřování, a předstírat, že jste kód ztratili. Podívejte se, co to znamená, abyste se dostali dovnitř. Možná budete muset v nejhorším případě poskytnout osobní údaje nebo odpovědět na nejisté "bezpečnostní otázky". Záleží na tom, jak je služba nakonfigurována. Můžete ji obnovit zasláním e-mailu na jiný e-mailový účet, v takovém případě se může stát, že se tento e-mailový účet stane slabým odkazem. V ideální situaci můžete potřebovat přístup pouze k telefonnímu číslu nebo k kódům pro obnovení - a jak jsme viděli, část telefonního čísla je slabým spojem.
Ještě něco děsivé: Není to jen o obejití dvoufázového ověření.Útočník by mohl vyzkoušet podobné triky, aby zcela vynechal vaše heslo. To může fungovat, protože on-line služby chtějí zajistit, aby lidé mohli získat přístup ke svým účtům, a to i v případě, že ztratí hesla.
Přečtěte si například systém obnovení účtu Google. Toto je poslední volba pro obnovu vašeho účtu. Pokud tvrdíte, že neznáte žádná hesla, budete nakonec požádáni o informace o vašem účtu, jako když jste jej vytvořili a koho často odesíláte. Útočník, který ví o vašem účtu dostatečně dobře, mohl teoreticky použít procedury pro obnovení hesla, jako jsou tyto, aby získal přístup k vašim účtům.
Nikdy jsme neslyšeli o zneužívání procesu obnovení účtu Google, ale společnost Google není jedinou společností s takovými nástroji. Nemohou být všichni úplně bezstarostní, zvlášť pokud útočník o vás ví.
Bez ohledu na problémy bude účet s dvoufázovým ověřením nastaven vždy bezpečnější než stejný účet bez dvoufázového ověření. Ovšem dvoufaktorová autentizace není žádná stříbrná kulka, jak jsme viděli s útoky, které zneužívají největší slabé spojení: vaše telefonní společnost.
Doporučuje:
Jak používat ověřování dvou faktorů pro službu Windows Live na zařízení
Nedávno jsme vám ukázali, jak povolit dvoufaktorové ověřování na vašem účtu Windows Live. Ale to by mohlo přerušit několik aplikací, které ji zatím nepodporují - mi přichází na paměti e-mailový klient telefonu. Zde je návod, jak je opravit.
Klávesnice iPad může v iOSu 11 rychleji psát symboly: Zde je návod
IPad dostal v iOS 11 spoustu aktualizací, aby byl lepší nástroj pro produktivitu. Spolu s nadpisy, jako je například multitasking, pravděpodobně zjistíte, že klávesnice dostala opravu. Zatímco se může zdát trochu přeplněná, je to vlastně velké zlepšení. Zde je to, co se změnilo a jak ji používat.
Proč byste neměli používat SMS pro ověření dvou faktorů (a co je třeba použít)
Bezpečnostní experti doporučují použití dvoufaktorové autentizace pro zabezpečení vašich online účtů, kdykoli je to možné. Mnoho služeb je výchozí k ověření SMS a při pokusu o přihlášení odesílá kódy prostřednictvím telefonní zprávy do telefonu. Ale SMS zprávy mají mnoho bezpečnostních problémů a jsou nejméně zabezpečenou možností dvoufaktorové autentizace.
Jak nastavit Authy pro ověření dvou faktorů (a synchronizaci kódů mezi zařízeními)
Silná hesla už nestačí: doporučujeme použít vždy dvoufaktorovou autentizaci. V ideálním případě to znamená použití aplikace, která generuje ověřovací kódy v telefonu nebo token fyzického hardwaru. Upřednostňujeme Authy, pokud jde o autentizační aplikace - je kompatibilní se všemi weby, které používají Google Authenticator, ale je výkonnější a pohodlnější.
PSA: Ujistěte se, že máte zálohu pro ověření dvou faktorů
Ověřování dvou faktorů (2FA) je obecně skvělý bezpečnostní nástroj. Pokud však máte zapnutou funkci v účtech Apple nebo Google, mohlo by to opravdu přijít k tomu, abyste vás nejvíce zaškrtili. Zde je to, co potřebujete vědět.