二要素認証システムは、見た目ほど確実ではありません。攻撃者が電話会社や安全なサービス自体をだまして侵入させることができれば、攻撃者は実際には物理認証トークンを必要としません。
追加の認証は常に役立ちます。私たち全員が望む完璧なセキュリティを提供するものはありませんが、2要素認証を使用すると、あなたのものを必要とする攻撃者にとってより多くの障害が発生します。
あなたの電話会社は弱いリンクです
関連: これらの16のWebサービスで2段階認証プロセスを使用して自分自身を保護します
ザ・ 多くのウェブサイトの2段階認証システム 誰かがログインしようとしたときにSMS経由で電話にメッセージを送信することで機能します。電話の専用アプリを使用してコードを生成する場合でも、選択したサービスがSMSコードを送信してログインできるようにする可能性があります。お使いの携帯電話に。または、サービスでは、復旧用電話番号として構成した電話番号にアクセスできることを確認した後、アカウントから2要素認証保護を削除できる場合があります。
これはすべて問題ないようです。あなたはあなたの携帯電話を持っています、そしてそれは電話番号を持っています。それはあなたの携帯電話プロバイダーとその電話番号にそれを結びつけるその中に物理的なSIMカードを持っています。それはすべて非常に物理的なようです。しかし、悲しいことに、あなたの電話番号はあなたが思っているほど安全ではありません。
電話を紛失した後、または新しいSIMカードを入手した後、既存の電話番号を新しいSIMカードに移動する必要があった場合は、電話全体で、またはオンラインでさえ、多くの場合、それを実行できることがわかります。攻撃者がしなければならないのは、携帯電話会社のカスタマーサービス部門に電話して、あなたになりすますことだけです。彼らはあなたの電話番号が何であるかを知り、あなたの個人的な詳細を知る必要があります。これらは、クレジットカード番号、SSNの最後の4桁など、大規模なデータベースで定期的に漏洩し、個人情報の盗難に使用される種類の詳細です。攻撃者は、あなたの電話番号を自分の電話に移動させようとする可能性があります。
さらに簡単な方法があります。または、たとえば、電話会社側で通話転送を設定して、着信音声通話が自分の電話に転送され、自分の電話に届かないようにすることができます。
ちなみに、攻撃者はあなたの完全な電話番号にアクセスする必要がないかもしれません。彼らはあなたのボイスメールにアクセスし、午前3時にWebサイトにログインしようとし、ボイスメールボックスから確認コードを取得する可能性があります。あなたの電話会社のボイスメールシステムは正確にどれくらい安全ですか?ボイスメールのPINはどの程度安全ですか?設定したことはありますか?誰もが持っているわけではありません!また、もしあれば、攻撃者が電話会社に電話してボイスメールのPINをリセットするのにどれくらいの労力がかかりますか?
あなたの電話番号で、それはすべて終わりです
関連: 2要素認証を使用するときにロックアウトされないようにする方法
あなたの電話番号は弱いリンクになり、攻撃者は アカウントから2段階認証を削除する —または2段階認証コードを受信—SMSまたは音声通話で。何かがおかしいことに気付くまでに、彼らはそれらのアカウントにアクセスできるようになります。
これは、事実上すべてのサービスにとって問題です。オンラインサービスでは、ユーザーが自分のアカウントにアクセスできなくなることを望まないため、通常、電話番号を使用した2要素認証をバイパスして削除することができます。これは、電話をリセットするか新しいものを入手する必要があり、2要素認証コードを紛失したが、電話番号はまだ残っている場合に役立ちます。
理論的には、ここには多くの保護があるはずです。実際には、携帯電話サービスプロバイダーのカスタマーサービス担当者とやり取りしています。これらのシステムは効率を上げるために設定されることが多く、カスタマーサービスの従業員は、怒っているように見え、焦り、十分な情報を持っているように見える顧客が直面するセーフガードの一部を見落としている可能性があります。あなたの電話会社とそのカスタマーサービス部門はあなたのセキュリティの弱点です。
あなたの電話番号を保護することは難しいです。現実的には、携帯電話会社はこれをよりリスクの少ないものにするために、より多くの保護手段を提供する必要があります。実際には、大企業が顧客サービスの手順を修正するのを待つのではなく、自分で何かをしたいと思うかもしれません。一部のサービスでは、電話番号を介してリカバリまたはリセットを無効にし、大量に警告することができますが、ミッションクリティカルなシステムの場合は、万が一の場合に備えて銀行の金庫室にロックできるリセットコードなど、より安全なリセット手順を選択することをお勧めします。あなたはそれらを必要とします。
その他のリセット手順
関連: セキュリティの質問は安全ではありません:アカウントを保護する方法
電話番号だけではありません。多くのサービスでは、コードを紛失してログインする必要があると主張した場合、他の方法でその2要素認証を削除できます。アカウントに関する十分な個人情報を知っている限り、ログインできる可能性があります。
自分で試してみてください。2要素認証で保護したサービスにアクセスし、コードを紛失したふりをしてください。入るのに必要なものを見てください。あなたは個人的な詳細を提供するか、答える必要があるかもしれません 安全でない「セキュリティの質問」 最悪のシナリオでは。これは、サービスの構成方法によって異なります。別のメールアカウントへのリンクをメールで送信することでリセットできる場合があります。その場合、そのメールアカウントは弱いリンクになる可能性があります。理想的な状況では、電話番号または回復コードにアクセスする必要があるだけかもしれません。これまで見てきたように、電話番号の部分は弱いリンクです。
もう1つ怖いことがあります。それは、2段階の検証をバイパスすることだけではありません。攻撃者は、同様のトリックを試みて、パスワードを完全にバイパスする可能性があります。オンラインサービスでは、パスワードを紛失した場合でも、ユーザーが自分のアカウントに確実にアクセスできるようにする必要があるため、これは機能します。
たとえば、 Googleアカウントの回復 システム。これは、アカウントを回復するための最後の選択肢です。パスワードがわからないと主張する場合は、アカウントを作成したときや頻繁にメールを送信する相手など、最終的にアカウントに関する情報を求められます。あなたのことを十分に知っている攻撃者は、理論的には、このようなパスワードリセット手順を使用してアカウントにアクセスする可能性があります。
Googleのアカウント復旧プロセスが悪用されているという話は聞いたことがありませんが、このようなツールを使用しているのはGoogleだけではありません。特に攻撃者があなたのことを十分に知っている場合は、すべてを完全に確実にすることはできません。
問題が何であれ、2段階認証が設定されているアカウントは、2段階認証が設定されていない同じアカウントよりも常に安全です。しかし、2要素認証は特効薬ではありません。 最大の弱いリンクを悪用するトラック :あなたの電話会社。
