Dvoufaktorové autentizační systémy nejsou tak spolehlivé, jak se zdá. Útočník ve skutečnosti nepotřebuje váš token fyzického ověřování, pokud může oklamat vaši telefonní společnost nebo samotnou zabezpečenou službu, aby je do něj pustil.
Dodatečné ověřování je vždy užitečné. Ačkoli nic nenabízí takové dokonalé zabezpečení, které všichni chceme, použití dvoufaktorového ověřování staví útočníkům, kteří chtějí vaše věci, více překážek.
Vaše telefonní společnost je slabým článkem
PŘÍBUZNÝ: Zabezpečte se pomocí dvoustupňového ověření na těchto 16 webových službách
The dvoustupňové ověřovací systémy na mnoha webových stránkách pracujte tak, že pošlete zprávu do telefonu prostřednictvím SMS, když se někdo pokusí přihlásit. I když ke generování kódů používáte v telefonu speciální aplikaci, existuje velká šance, že vaše vybraná služba nabízí lidem možnost přihlásit se zasláním SMS kódu do telefonu. Nebo vám služba může umožnit odebrat ochranu dvoufaktorového ověřování z vašeho účtu po potvrzení, že máte přístup k telefonnímu číslu, které jste nakonfigurovali jako telefonní číslo pro obnovení.
To vše zní dobře. Máte svůj mobilní telefon a má telefonní číslo. Má fyzickou SIM kartu, která ji spojuje s tímto telefonním číslem s vaším poskytovatelem mobilních telefonů. Všechno to vypadá velmi fyzicky. Bohužel vaše telefonní číslo není tak bezpečné, jak si myslíte.
Pokud jste někdy potřebovali přesunout stávající telefonní číslo na novou SIM kartu po ztrátě telefonu nebo po získání nového, budete vědět, co můžete často udělat úplně po telefonu - nebo dokonce i online. Útočník musí zavolat na zákaznické servisní oddělení vaší mobilní společnosti a předstírat, že jste vy. Budou potřebovat vědět, jaké je vaše telefonní číslo, a znát nějaké osobní údaje o vás. Jedná se o druhy podrobností - například číslo kreditní karty, poslední čtyři číslice SSN a další -, které pravidelně unikají ve velkých databázích a používají se ke krádeži identity. Útočník se může pokusit přesunout vaše telefonní číslo na svůj telefon.
Existují ještě jednodušší způsoby. Nebo si například mohou nastavit přesměrování hovorů na konci telefonní společnosti, takže příchozí hlasové hovory budou přesměrovány na jejich telefon a nebudou přesahovat váš.
Sakra, útočník nemusí potřebovat přístup k vašemu úplnému telefonnímu číslu. Mohli získat přístup k vaší hlasové schránce, zkusit se přihlásit na webové stránky ve 3 hodiny ráno a poté popadnout ověřovací kódy z vaší hlasové schránky. Jak přesně je zabezpečený systém hlasové pošty vaší telefonní společnosti? Jak bezpečný je kód PIN vaší hlasové pošty - nastavili jste si jej dokonce? Ne každý má! A pokud máte, kolik úsilí by útočníkovi vyžadovalo resetování kódu PIN hlasové pošty voláním vaší telefonní společnosti?
S vaším telefonním číslem je po všem
PŘÍBUZNÝ: Jak se vyhnout blokování při použití dvoufaktorového ověřování
Vaše telefonní číslo se stane slabým článkem, což útočníkovi umožní odeberte ze svého účtu dvoufázové ověření - nebo přijímat dvoustupňové ověřovací kódy - prostřednictvím SMS nebo hlasových hovorů. Než si uvědomíte, že něco není v pořádku, mohou mít k těmto účtům přístup.
To je problém prakticky pro každou službu. Online služby nechtějí, aby lidé ztratili přístup ke svým účtům, takže vám obecně umožňují obejít a odstranit toto dvoufaktorové ověřování pomocí vašeho telefonního čísla. To vám pomůže, pokud jste museli resetovat telefon nebo získat nový a ztratili jste dvoufaktorové ověřovací kódy - ale stále máte své telefonní číslo.
Teoreticky by zde měla být velká ochrana. Ve skutečnosti jednáte s lidmi služeb zákazníkům u poskytovatelů mobilních služeb. Tyto systémy jsou často nastaveny pro efektivitu a zaměstnanec zákaznického servisu může přehlédnout některá ochranná opatření, jimž čelí zákazník, který se zdá být naštvaný, netrpělivý a má dostatek informací. Vaše telefonní společnost a její oddělení zákaznických služeb jsou slabým článkem ve vaší bezpečnosti.
Ochrana vašeho telefonního čísla je těžká. Realisticky by společnosti poskytující mobilní telefony měly poskytovat více ochranných opatření, aby to bylo méně riskantní. Ve skutečnosti pravděpodobně budete chtít něco udělat sami, místo toho, abyste čekali, až velké korporace napraví své postupy služeb zákazníkům. Některé služby vám mohou umožnit deaktivovat obnovení nebo resetovat pomocí telefonních čísel a bohatě před ním varovat - ale pokud se jedná o kritický systém, možná budete chtít zvolit bezpečnější postupy resetování, jako jsou resetovací kódy, které můžete v případě potřeby zamknout v bankovním trezoru někdy je potřebuješ.
Další postupy resetování
PŘÍBUZNÝ: Bezpečnostní otázky nejsou bezpečné: Jak chránit své účty
Nejde jen o vaše telefonní číslo. Mnoho služeb vám umožňuje odstranit toto dvoufaktorové ověřování jinými způsoby, pokud tvrdíte, že jste ztratili kód a potřebujete se přihlásit. Pokud znáte dostatek osobních údajů o účtu, možná se budete moci přihlásit.
Vyzkoušejte sami - přejděte do služby, kterou jste zabezpečili pomocí dvoufaktorového ověřování, a předstírejte, že jste kód ztratili. Podívejte se, co to znamená, abyste se dostali dovnitř. Možná budete muset uvést osobní údaje nebo odpovědět nejisté „bezpečnostní otázky“ v nejhorším případě. Záleží na tom, jak je služba nakonfigurována. Možná jej budete moci obnovit zasláním odkazu na jiný e-mailový účet e-mailem. V takovém případě se tento e-mailový účet může stát slabým odkazem. V ideálním případě možná budete potřebovat přístup k telefonnímu číslu nebo obnovovacím kódům - a jak jsme viděli, část s telefonním číslem je slabým článkem.
Tady je něco strašidelného: Není to jen o obejití dvoufázového ověření. Útočník by mohl vyzkoušet podobné triky, aby úplně obešel vaše heslo. To může fungovat, protože online služby chtějí zajistit, aby lidé mohli znovu získat přístup ke svým účtům, i když ztratí svá hesla.
Například se podívejte na Obnovení účtu Google Systém. Toto je poslední možnost obnovení vašeho účtu. Pokud tvrdíte, že neznáte žádná hesla, budete nakonec požádáni o informace o svém účtu, jako když jste jej vytvořili a komu často posíláte e-maily. Útočník, který o vás ví dost, by teoreticky mohl použít přístup k vašim účtům pomocí postupů pro resetování hesla, jako jsou tyto.
Nikdy jsme neslyšeli o zneužití procesu obnovení účtu Google, ale Google není jediná společnost s takovými nástroji. Nemohou být úplně spolehliví, zvláště pokud o vás útočník ví dost.
Bez ohledu na problémy bude účet s nastaveným dvoufázovým ověřením vždy bezpečnější než stejný účet bez dvoufázového ověření. Ale dvoufaktorové ověřování není žádná stříbrná kulka, jak jsme viděli u stopy, které zneužívají největší slabý článek : vaše telefonní společnost.
