To-faktor-autentificeringssystemer er ikke så idiotsikker, som de ser ud. En hacker har faktisk ikke brug for dit fysiske godkendelsestoken, hvis de kan narre din telefonselskab eller den sikre tjeneste selv til at lade dem komme ind.
Yderligere godkendelse er altid nyttigt. Selvom intet tilbyder den perfekte sikkerhed, som vi alle vil have, udgør brug af tofaktorautentificering flere forhindringer for angribere, der ønsker dine ting.
Dit telefonselskab er et svagt link
RELATEREDE: Sikre dig selv ved hjælp af totrinsbekræftelse på disse 16 webtjenester
Det totrins autentificeringssystemer på mange websteder arbejde ved at sende en besked til din telefon via SMS, når nogen prøver at logge ind. Selvom du bruger en dedikeret app på din telefon til at generere koder, er der en god chance for, at din valgfri tjeneste tilbyder at lade folk logge ind ved at sende en SMS-kode til din telefon. Eller tjenesten muligvis tillader dig at fjerne tofaktors godkendelsesbeskyttelse fra din konto efter at have bekræftet, at du har adgang til et telefonnummer, du har konfigureret som et gendannelsestelefonnummer.
Alt dette lyder fint. Du har din mobiltelefon, og den har et telefonnummer. Det har et fysisk SIM-kort indeni, der binder det til dette telefonnummer med din mobiltelefonudbyder. Det hele virker meget fysisk. Desværre er dit telefonnummer ikke så sikkert som du tror.
Hvis du nogensinde har haft brug for at flytte et eksisterende telefonnummer til et nyt SIM-kort efter at have mistet din telefon eller bare har fået et nyt, ved du, hvad du ofte kan gøre det helt over telefonen - eller måske endda online. Alt, hvad en hacker skal gøre, er at ringe til din mobiltelefonselskabs kundeserviceafdeling og lade som om du er. De bliver nødt til at vide, hvad dit telefonnummer er, og kende nogle personlige oplysninger om dig. Dette er de slags detaljer - for eksempel kreditkortnummer, sidste fire cifre i et SSN og andre - der regelmæssigt lækker i store databaser og bruges til identitetstyveri. Angriberen kan prøve at få dit telefonnummer flyttet til deres telefon.
Der er endnu lettere måder. Eller for eksempel kan de få viderestilling af opkald konfigureret i telefonfirmaets ende, så indgående taleopkald viderestilles til deres telefon og ikke når din.
Heck, en angriber har muligvis ikke brug for adgang til dit fulde telefonnummer. De kunne få adgang til din telefonsvarer, forsøge at logge ind på websteder klokken 3 og derefter hente bekræftelseskoderne fra din telefonsvarer. Hvor sikkert er dit telefonselskabs telefonsvarersystem nøjagtigt? Hvor sikker er din telefonsvarer til PIN-kode - har du endda angivet en? Ikke alle har det! Og hvis du har, hvor meget indsats ville det tage for en hacker at få din PIN-kode til telefonsvarer nulstillet ved at ringe til dit telefonselskab?
Med dit telefonnummer er det slut
RELATEREDE: Sådan undgår du at blive låst ud, når du bruger tofaktorautentificering
Dit telefonnummer bliver det svage led, så din hacker kan fjern totrinsbekræftelse fra din konto - eller modtag totrinsbekræftelseskoder - via SMS eller taleopkald. Når du er klar over, at noget er galt, kan de få adgang til disse konti.
Dette er et problem for næsten alle tjenester. Onlinetjenester ønsker ikke, at folk mister adgang til deres konti, så de giver dig generelt mulighed for at omgå og fjerne den tofaktorautentificering med dit telefonnummer. Dette hjælper, hvis du har været nødt til at nulstille din telefon eller få en ny, og du har mistet dine tofaktorautentificeringskoder - men du har stadig dit telefonnummer.
Teoretisk set skulle der være meget beskyttelse her. I virkeligheden har du at gøre med kundeservicemedarbejderne hos mobiltjenesteudbydere. Disse systemer er ofte indstillet til effektivitet, og en kundeservicemedarbejder kan overse nogle af de sikkerhedsforanstaltninger, der står over for en kunde, der virker vred, utålmodig og har, hvad der ser ud til at være nok information. Dit telefonselskab og dets kundeserviceafdeling er et svagt led i din sikkerhed.
Det er svært at beskytte dit telefonnummer. Realistisk set bør mobiltelefonvirksomheder give mere sikkerhed for at gøre dette mindre risikabelt. I virkeligheden vil du sandsynligvis gøre noget på egen hånd i stedet for at vente på, at store virksomheder ordner deres kundeserviceprocedurer. Nogle tjenester tillader dig muligvis at deaktivere gendannelse eller nulstilling via telefonnumre og advare meget om det - men hvis det er et missionskritisk system, kan du vælge mere sikre nulstillingsprocedurer som nulstillingskoder, du kan låse i en bankhvælv i tilfælde af du nogensinde har brug for dem.
Andre nulstillingsprocedurer
RELATEREDE: Sikkerhedsspørgsmål er usikre: Sådan beskyttes dine konti
Det handler heller ikke kun om dit telefonnummer. Mange tjenester giver dig mulighed for at fjerne denne tofaktorautentificering på andre måder, hvis du hævder, at du har mistet koden og har brug for at logge ind. Så længe du kender nok personlige oplysninger om kontoen, kan du muligvis komme ind.
Prøv det selv - gå til den tjeneste, du har sikret med tofaktorautentificering, og lad som om du har mistet koden. Se hvad der kræves for at komme ind. Det kan være nødvendigt at du angiver personlige oplysninger eller svar usikre "sikkerhedsspørgsmål" i værste fald. Det afhænger af, hvordan tjenesten er konfigureret. Du kan muligvis nulstille det ved at sende et link til en anden e-mail-konto, i hvilket tilfælde den e-mail-konto kan blive et svagt link. I en ideel situation har du muligvis bare brug for adgang til et telefonnummer eller gendannelseskoder - og som vi har set, er telefonnummeret et svagt led.
Her er noget andet skræmmende: Det handler ikke kun om at omgå totrinsbekræftelse. En hacker kan prøve lignende tricks for at omgå din adgangskode helt. Dette kan fungere, fordi onlinetjenester vil sikre, at folk kan få adgang til deres konti, selvom de mister deres adgangskoder.
Se f.eks. På Gendannelse af Google-konto system. Dette er en sidste mulighed for at gendanne din konto. Hvis du hævder, at du ikke kender nogen adgangskoder, bliver du til sidst bedt om oplysninger om din konto, som når du oprettede den, og hvem du ofte sender e-mail til. En hacker, der ved nok om dig, kunne teoretisk bruge procedurer til nulstilling af adgangskode som disse for at få adgang til dine konti.
Vi har aldrig hørt om Googles kontogendannelsesproces misbrugt, men Google er ikke den eneste virksomhed med værktøjer som denne. De kan ikke alle være helt idiotsikre, især hvis en angriber ved nok om dig.
Uanset problemerne er en konto med totrinsbekræftelse oprettet altid mere sikker end den samme konto uden totrinsbekræftelse. Men tofaktorautentificering er ingen sølvkugle, som vi har set med en spor der misbruger det største svage led : dit telefonselskab.
