Zwei-Faktor-Authentifizierungssysteme sind nicht so kinderleicht, wie sie scheinen. Ein Angreifer benötigt Ihr physisches Authentifizierungstoken nicht, wenn er Ihre Telefongesellschaft oder den sicheren Dienst selbst dazu verleiten kann, sie einzulassen.
Eine zusätzliche Authentifizierung ist immer hilfreich. Obwohl nichts die perfekte Sicherheit bietet, die wir uns alle wünschen, stellt die Verwendung der Zwei-Faktor-Authentifizierung Angreifer, die Ihre Daten benötigen, vor weitere Hindernisse.
Ihre Telefongesellschaft ist eine schwache Verbindung
VERBUNDEN: Sichern Sie sich durch zweistufige Überprüfung dieser 16 Webdienste
Das zweistufige Authentifizierungssysteme auf vielen Websites Senden Sie eine Nachricht per SMS an Ihr Telefon, wenn jemand versucht, sich anzumelden. Selbst wenn Sie eine dedizierte App auf Ihrem Telefon verwenden, um Codes zu generieren, besteht eine gute Chance, dass Ihr bevorzugter Dienst die Anmeldung von Personen durch Senden eines SMS-Codes ermöglicht zu Ihrem Telefon. Mit dem Dienst können Sie möglicherweise den Zwei-Faktor-Authentifizierungsschutz von Ihrem Konto entfernen, nachdem Sie bestätigt haben, dass Sie Zugriff auf eine Telefonnummer haben, die Sie als Wiederherstellungstelefonnummer konfiguriert haben.
Das klingt alles gut. Sie haben Ihr Handy und es hat eine Telefonnummer. Darin befindet sich eine physische SIM-Karte, die sie mit dieser Telefonnummer Ihres Mobilfunkanbieters verbindet. Es scheint alles sehr körperlich. Leider ist Ihre Telefonnummer nicht so sicher, wie Sie denken.
Wenn Sie jemals eine vorhandene Telefonnummer auf eine neue SIM-Karte verschieben mussten, nachdem Sie Ihr Telefon verloren haben oder nur eine neue erhalten haben, wissen Sie, was Sie häufig vollständig über das Telefon tun können - oder vielleicht sogar online. Ein Angreifer muss lediglich die Kundendienstabteilung Ihres Mobilfunkunternehmens anrufen und sich als Sie ausgeben. Sie müssen wissen, wie Ihre Telefonnummer lautet, und einige persönliche Daten über Sie wissen. Dies sind die Arten von Details - zum Beispiel die Kreditkartennummer, die letzten vier Ziffern einer SSN und andere -, die regelmäßig in großen Datenbanken verloren gehen und für Identitätsdiebstahl verwendet werden. Der Angreifer kann versuchen, Ihre Telefonnummer auf sein Telefon zu verschieben.
Es gibt noch einfachere Wege. Sie können beispielsweise die Anrufweiterleitung am Ende der Telefongesellschaft einrichten, sodass eingehende Sprachanrufe an ihr Telefon weitergeleitet werden und Ihr Telefon nicht erreichen.
Ein Angreifer benötigt möglicherweise keinen Zugriff auf Ihre vollständige Telefonnummer. Sie könnten Zugriff auf Ihre Voicemail erhalten, versuchen, sich um 3 Uhr morgens auf Websites anzumelden, und dann die Bestätigungscodes aus Ihrer Voicemailbox abrufen. Wie sicher ist das Voicemail-System Ihrer Telefongesellschaft genau? Wie sicher ist Ihre Voicemail-PIN - haben Sie sogar eine festgelegt? Nicht jeder hat! Und wenn ja, wie viel Aufwand würde ein Angreifer benötigen, um Ihre Voicemail-PIN durch einen Anruf bei Ihrer Telefongesellschaft zurückzusetzen?
Mit Ihrer Telefonnummer ist alles vorbei
VERBUNDEN: So vermeiden Sie, dass Sie bei Verwendung der Zwei-Faktor-Authentifizierung gesperrt werden
Ihre Telefonnummer wird zum schwachen Glied, sodass Ihr Angreifer dies tun kann Entfernen Sie die Bestätigung in zwei Schritten von Ihrem Konto - oder erhalten Sie zweistufige Bestätigungscodes - per SMS oder Sprachanruf. Wenn Sie feststellen, dass etwas nicht stimmt, können sie auf diese Konten zugreifen.
Dies ist ein Problem für praktisch jeden Dienst. Online-Dienste möchten nicht, dass Benutzer den Zugriff auf ihre Konten verlieren. Daher können Sie diese Zwei-Faktor-Authentifizierung im Allgemeinen mit Ihrer Telefonnummer umgehen und entfernen. Dies ist hilfreich, wenn Sie Ihr Telefon zurücksetzen oder ein neues erwerben mussten und Ihre Zwei-Faktor-Authentifizierungscodes verloren haben - aber Sie haben immer noch Ihre Telefonnummer.
Theoretisch soll es hier viel Schutz geben. In Wirklichkeit haben Sie es mit den Kundendienstmitarbeitern von Mobilfunkanbietern zu tun. Diese Systeme sind häufig auf Effizienz ausgelegt, und ein Kundendienstmitarbeiter kann einige der Sicherheitsvorkehrungen übersehen, denen sich ein Kunde gegenübersieht, der wütend und ungeduldig erscheint und über genügend Informationen verfügt. Ihre Telefongesellschaft und ihre Kundendienstabteilung sind ein schwaches Glied in Ihrer Sicherheit.
Der Schutz Ihrer Telefonnummer ist schwierig. Realistisch gesehen sollten Mobilfunkunternehmen mehr Sicherheitsvorkehrungen treffen, um dies weniger riskant zu machen. In Wirklichkeit möchten Sie wahrscheinlich etwas selbst tun, anstatt darauf zu warten, dass große Unternehmen ihre Kundendienstverfahren reparieren. Bei einigen Diensten können Sie möglicherweise die Wiederherstellung deaktivieren oder über Telefonnummern zurücksetzen und ausführlich davor warnen. Wenn es sich jedoch um ein geschäftskritisches System handelt, möchten Sie möglicherweise sicherere Rücksetzverfahren wie Rücksetzcodes auswählen, die Sie für den Fall in einem Banktresor sperren können du brauchst sie jemals.
Andere Rücksetzverfahren
VERBUNDEN: Sicherheitsfragen sind unsicher: So schützen Sie Ihre Konten
Es geht auch nicht nur um Ihre Telefonnummer. Bei vielen Diensten können Sie diese Zwei-Faktor-Authentifizierung auf andere Weise entfernen, wenn Sie behaupten, den Code verloren zu haben und sich anmelden zu müssen. Solange Sie über genügend persönliche Daten zum Konto verfügen, können Sie möglicherweise einsteigen.
Probieren Sie es selbst aus - gehen Sie zu dem Dienst, den Sie mit Zwei-Faktor-Authentifizierung gesichert haben, und tun Sie so, als hätten Sie den Code verloren. Sehen Sie, was Sie brauchen, um einzusteigen. Möglicherweise müssen Sie persönliche Daten angeben oder antworten unsichere "Sicherheitsfragen" im schlimmsten Fall. Dies hängt davon ab, wie der Dienst konfiguriert ist. Möglicherweise können Sie es zurücksetzen, indem Sie einen Link per E-Mail an ein anderes E-Mail-Konto senden. In diesem Fall wird dieses E-Mail-Konto möglicherweise zu einem schwachen Link. Im Idealfall benötigen Sie möglicherweise nur Zugriff auf eine Telefonnummer oder Wiederherstellungscodes - und wie wir gesehen haben, ist der Telefonnummer-Teil ein schwaches Glied.
Hier ist noch etwas Beängstigendes: Es geht nicht nur darum, die Bestätigung in zwei Schritten zu umgehen. Ein Angreifer könnte ähnliche Tricks versuchen, um Ihr Passwort vollständig zu umgehen. Dies kann funktionieren, da Onlinedienste sicherstellen möchten, dass Benutzer wieder auf ihre Konten zugreifen können, selbst wenn sie ihre Kennwörter verlieren.
Schauen Sie sich zum Beispiel die an Google Account Recovery System. Dies ist eine letzte Option zum Wiederherstellen Ihres Kontos. Wenn Sie behaupten, keine Passwörter zu kennen, werden Sie möglicherweise nach Informationen zu Ihrem Konto gefragt, z. B. als Sie es erstellt haben und an wen Sie häufig eine E-Mail senden. Ein Angreifer, der genug über Sie weiß, könnte theoretisch solche Verfahren zum Zurücksetzen von Passwörtern verwenden, um Zugriff auf Ihre Konten zu erhalten.
Wir haben noch nie von einem Missbrauch des Google-Kontowiederherstellungsprozesses gehört, aber Google ist nicht das einzige Unternehmen mit solchen Tools. Sie können nicht alle kinderleicht sein, insbesondere wenn ein Angreifer genug über Sie weiß.
Unabhängig von den Problemen ist ein Konto mit zweistufiger Überprüfung immer sicherer als dasselbe Konto ohne zweistufige Überprüfung. Die Zwei-Faktor-Authentifizierung ist jedoch kein Wundermittel, wie wir bei einem gesehen haben Tracks, die das größte schwache Glied missbrauchen : Ihre Telefongesellschaft.
