cs.phhsnews.com


cs.phhsnews.com / Zde je návod, jak může útočník obejít vaši dvoufaktorovou autentizaci

Zde je návod, jak může útočník obejít vaši dvoufaktorovou autentizaci


Dvoufaktorové ověřovací systémy nejsou tak bezpečné, jak se zdá. Útočník ve skutečnosti nepotřebuje vaši fyzickou autentizační token, jestliže může vytáhnout telefonní společnost nebo samotnou zabezpečenou službu, aby ji nechala.

Další ověření je vždy užitečné. Ačkoli nic nenabízí to perfektní zabezpečení, které všichni potřebujeme, použití dvoufaktorového ověřování přináší více překážek útočníkům, kteří chtějí, aby vaše věci.

Vaše telefonní společnost je slabým spojem

SOUVISEJÍCÍ: Ověření kroků na těchto 16 webových službách

Dvoufázové systémy ověřování na mnoha webových stránkách fungují odesláním zprávy do telefonu prostřednictvím SMS, když se někdo pokusí přihlásit. Dokonce i když ve svém telefonu používáte vygenerovanou aplikaci pro generování kódů, je dobrá šance, že služba, kterou nabízíte, vám umožní nechat lidi přihlásit zasláním SMS kódu do telefonu. Nebo můžete tuto službu povolit po ověření, že máte přístup k telefonnímu číslu, které jste nakonfigurovali jako telefonní číslo pro obnovení, po odstranění ochrany dvoufaktorových ověřování.

To vše zní dobře. Máte svůj mobilní telefon a má telefonní číslo. Má v sobě fyzickou SIM kartu, která s vámi spojuje telefonní číslo s poskytovatelem mobilního telefonu. Všechno se zdá být velmi fyzické. Je však smutné, že vaše telefonní číslo není tak bezpečné, jak si myslíte.

Pokud jste někdy potřebovali přesunout stávající telefonní číslo na novou SIM kartu po ztrátě telefonu nebo jen při získání nového telefonu, víte, co můžete často dělat zcela přes telefon - nebo možná dokonce online. Všichni útočníci musí udělat telefonovat s oddělením zákaznického servisu vašeho mobilního telefonu a předstírat, že jste vy. Budou potřebovat vědět, jaké je vaše telefonní číslo a znáte některé osobní údaje o vás. Jedná se o druhy podrobností - například číslo kreditní karty, poslední čtyři číslice SSN a další - které pravidelně pronikají do velkých databází a používají se ke krádeži identity. Útočník se může pokusit přenést vaše telefonní číslo na svůj telefon.

Existují ještě snadnější způsoby. Nebo Například mohou dostat přesměrování hovorů nastavené na konci telefonní společnosti tak, aby příchozí hlasové hovory byly přesměrovány do svého telefonu a nedosáhly vašeho.

Heck, útočník nemusí mít přístup k vašemu úplnému telefonnímu číslu . Mohli by získat přístup k vaší hlasové poště, zkusit se přihlásit na webové stránky o 3:00 a poté vyzvednout ověřovací kódy z vaší hlasové schránky. Jak přesně je váš hlasový systém telefonní společnosti bezpečný? Jak bezpečný je váš kód hlasové pošty - jste dokonce nastavili? Ne každý má! A pokud máte, kolik úsilí by útočník potřeboval, aby vaše telefonní číslo pro hlasovou schránku vynulovalo voláním vaší telefonní společnosti?

S Vaším telefonním číslem je to všechno

SOUVISEJÍCÍ: Jak se vyhnout Uzamčení při použití dvoufaktorového ověření

Vaše telefonní číslo se stává slabým spojením, které umožňuje útočníkovi odstranit dvoufázové ověření z vašeho účtu - nebo obdržet dvoufázové ověřovací kódy - prostřednictvím SMS nebo hlasových hovorů. V době, kdy si uvědomíte, že je něco špatně, mohou mít přístup k těmto účtům.

To je problém prakticky pro každou službu. Online služby nechtějí, aby lidé ztratili přístup ke svým účtům, takže obecně umožňují obejít a odstranit toto dvoufaktorové ověření pomocí svého telefonního čísla. To vám pomůže, pokud jste museli vynulovat váš telefon nebo získat nový a ztratili jste dvoufaktorové ověřovací kódy - ale stále máte vaše telefonní číslo.

Teoreticky by zde měla být velká ochrana . Ve skutečnosti máte co do činění se zákaznickými službami u poskytovatelů mobilních služeb. Tyto systémy jsou často nastaveny pro efektivitu a zaměstnanec zákaznického servisu může přehlížet některé z ochranných opatření vůči zákazníkovi, který vypadá rozhněvaně, netrpělivě a má to, co se zdá být dost informací. Telefonní společnost a její oddělení pro zákazníky jsou slabým spojením ve vaší bezpečnosti.

Ochrana telefonního čísla je těžká. Realisticky by společnosti zabývající se mobilními telefony měly poskytovat více záruk, aby to méně riskantní. Ve skutečnosti pravděpodobně budete chtít něco udělat sami, místo aby čekali na velké firmy, aby opravily své zákaznické služby. Některé služby vám mohou umožnit deaktivaci obnovy nebo obnovení pomocí telefonních čísel a varovat proti němu hojně - ale pokud je to kritický systém, možná budete chtít zvolit bezpečnější resetovací postupy, jako jsou resetovací kódy, které můžete uzamknout v trezoru banky, potřebovali jste je někdy.

Další postupy obnovení

SOUVISEJÍCÍ: Zabezpečené otázky jsou nezabezpečené: Jak chránit své účty

Nejedná se pouze o telefonní číslo. Mnoho služeb vám umožňuje odstranit tuto dvoufaktorovou autentizaci jinými způsoby, pokud tvrdíte, že jste ztratili kód a potřebujete se přihlásit. Dokud znáte dostatečné osobní údaje o účtu, můžete se dostat dovnitř.

Vyzkoušejte to sami - přejděte na službu, kterou jste zabezpečili pomocí dvoufaktorové autentizace, a předstírat, že jste kód ztratili. Podívejte se, co to znamená, abyste se dostali dovnitř. Možná budete muset v nejhorším případě poskytnout osobní údaje nebo odpovědět na nejisté "bezpečnostní otázky". Záleží na tom, jak je služba nakonfigurována. Můžete ji obnovit zasláním e-mailu na jiný e-mailový účet, v takovém případě se může stát, že se tento e-mailový účet stane slabým odkazem. V ideální situaci můžete potřebovat přístup pouze k telefonnímu číslu nebo k kódům pro obnovení - a jak jsme viděli, část telefonního čísla je slabým spojem.

Zde je něco jiného děsivé: Není to jen o obejití dvou- ověření kroku. Útočník by mohl vyzkoušet podobné triky, aby zcela vynechal vaše heslo. To může fungovat, protože on-line služby chtějí zajistit, aby lidé mohli znovu získat přístup ke svým účtům, i když ztratí hesla.

Podívejte se např. Na systém pro obnovu účtu Google. Toto je poslední volba pro obnovu vašeho účtu. Pokud tvrdíte, že neznáte žádná hesla, budete nakonec požádáni o informace o vašem účtu, jako když jste jej vytvořili a koho často odesíláte. Útočník, který ví o vašem účtu dostatečně dobře, mohl teoreticky používat procedury pro obnovení hesla, jako jsou tyto, aby získal přístup k vašim účtům.

Dosud jsme neslyšeli, že proces zotavení účtu Google je zneužíván, ale Google není jedinou společností, tento. Nemohou být všichni zcela bezstarostní, zvláště pokud útočník o vás ví o tom dost.


Jakýkoli problém, účet s dvoufázovým ověřením bude vždy bezpečnější než stejný účet bez dvoufázového ověření. Ovšem dvoufaktorová autentizace není žádná stříbrná kulka, jak jsme viděli s útoky, které zneužívají největší slabý odkaz: vaše telefonní společnost.


Nejlepší nové funkce v systému iOS 10 (a jak je používat)

Nejlepší nové funkce v systému iOS 10 (a jak je používat)

IOS 10 je jednou z největších upgradů, které společnost Apple provedla v mobilním operačním systému. Pokud jste ohromeni všemi novými a upgradovanými funkcemi v iOS 10, rozhodně nejste sami - ale nemusíte se bát, hrajeme s ním po celé měsíce a rádi bychom vyzdvihli všechny skutečně skvělé funkce, které jste by měl být právě teď Uzamknout obrazovku: Tak dlouho, přetahovat, Hello Widgets Začneme s první věcí, kterou narazíte po aktualizaci: nová obrazovka zámku Když Apple představil iPhone a jeho v roce 2007 byl chytrý nástroj k odemknutí, svět byl docela ohromen.

(how-to)

OTT vysvětluje - je software pro čištění a zrychlení počítače užitečný?

OTT vysvětluje - je software pro čištění a zrychlení počítače užitečný?

Existuje několik miliard dolarových obchodů postavených na prodej softwaru pro čištění PC a Mac. Přicházejí ve všech tvarech, velikostech a cenách a vyvíjejí potřeba vyčistit, naladit a opravit váš počítač tak, aby běžel hladce a efektivně. Dokonce jsem o mnoha z těchto programů napsal sám na Help Desk Geek a Online Tech Tips.Ale opravdu potřebujete cel

(How-to)