Systemen voor tweefactorauthenticatie zijn niet zo waterdicht als ze lijken. Een aanvaller heeft uw fysieke authenticatietoken niet echt nodig als hij uw telefoonmaatschappij of de beveiligde service zelf kan misleiden om ze binnen te laten.
Extra authenticatie is altijd handig. Hoewel niets de perfecte beveiliging biedt die we allemaal willen, werpt het gebruik van tweefactorauthenticatie meer obstakels op voor aanvallers die jouw spullen willen.
Your Phone Company is een zwakke schakel
VERWANT: Beveilig uzelf door tweestapsverificatie te gebruiken op deze 16 webservices
De authenticatiesystemen in twee stappen op veel websites werken door een bericht naar uw telefoon te sturen via sms wanneer iemand probeert in te loggen. Zelfs als u een speciale app op uw telefoon gebruikt om codes te genereren, is de kans groot dat uw favoriete dienst aanbiedt om mensen te laten inloggen door een sms-code te verzenden naar je telefoon. Of u kunt met de service de tweefactorauthenticatiebeveiliging van uw account verwijderen nadat u heeft bevestigd dat u toegang hebt tot een telefoonnummer dat u hebt geconfigureerd als hersteltelefoonnummer.
Dit klinkt allemaal prima. Je hebt je mobiele telefoon en deze heeft een telefoonnummer. Er zit een fysieke simkaart in die het aan dat telefoonnummer met uw mobiele telefoonprovider verbindt. Het lijkt allemaal heel fysiek. Maar helaas is uw telefoonnummer niet zo veilig als u denkt.
Als u ooit een bestaand telefoonnummer naar een nieuwe simkaart heeft moeten verplaatsen nadat u uw telefoon bent kwijtgeraakt of gewoon een nieuwe heeft gekregen, weet u wat u vaak kunt doen, volledig via de telefoon - of misschien zelfs online. Het enige dat een aanvaller hoeft te doen, is de klantenservice van uw mobiele telefoonbedrijf bellen en zich voordoen als u. Ze moeten weten wat uw telefoonnummer is en wat persoonlijke gegevens van u weten. Dit zijn de soorten gegevens - bijvoorbeeld het creditcardnummer, de laatste vier cijfers van een SSN en andere - die regelmatig lekken in grote databases en worden gebruikt voor identiteitsdiefstal. De aanvaller kan proberen uw telefoonnummer naar zijn telefoon te verplaatsen.
Er zijn nog gemakkelijkere manieren. Of ze kunnen bijvoorbeeld het doorschakelen van oproepen laten instellen aan de kant van het telefoonbedrijf, zodat inkomende spraakoproepen worden doorgeschakeld naar hun telefoon en de uwe niet bereiken.
Een aanvaller heeft misschien geen toegang tot je volledige telefoonnummer nodig. Ze kunnen toegang krijgen tot uw voicemail, proberen om 3 uur 's nachts in te loggen op websites en vervolgens de verificatiecodes uit uw voicemailbox halen. Hoe veilig is het voicemailsysteem van uw telefoonbedrijf precies? Hoe veilig is uw voicemail-pincode - heeft u er zelfs een ingesteld? Niet iedereen heeft! En zo ja, hoeveel moeite zou het een aanvaller kosten om de pincode van uw voicemail te resetten door uw telefoonmaatschappij te bellen?
Met uw telefoonnummer is het allemaal voorbij
VERWANT: Hoe u kunt voorkomen dat u wordt buitengesloten bij gebruik van tweestapsverificatie
Uw telefoonnummer wordt de zwakke schakel, waardoor uw aanvaller dat kan verwijder tweestapsverificatie uit uw account - of ontvang tweestapsverificatiecodes - via sms of spraakoproepen. Tegen de tijd dat u zich realiseert dat er iets mis is, hebben ze toegang tot die accounts.
Dit is voor praktisch elke dienst een probleem. Online services willen niet dat mensen de toegang tot hun accounts verliezen, dus staan ze u doorgaans toe om die tweefactorauthenticatie met uw telefoonnummer te omzeilen en te verwijderen. Dit is handig als u uw telefoon opnieuw moet instellen of een nieuwe heeft moeten aanschaffen en u uw tweefactorauthenticatiecodes bent kwijtgeraakt, maar u heeft nog steeds uw telefoonnummer.
Theoretisch zou hier veel bescherming moeten zijn. In werkelijkheid heeft u te maken met de klantenservicemedewerkers van mobiele serviceproviders. Deze systemen zijn vaak opgezet met het oog op efficiëntie, en een medewerker van de klantenservice kan enkele van de voorzorgsmaatregelen over het hoofd zien waarmee een klant wordt geconfronteerd die boos en ongeduldig lijkt en over voldoende informatie beschikt. Uw telefoonmaatschappij en de klantenservice zijn een zwakke schakel in uw beveiliging.
Het beschermen van uw telefoonnummer is moeilijk. Realistisch gezien zouden gsm-bedrijven meer waarborgen moeten bieden om dit minder riskant te maken. In werkelijkheid wilt u waarschijnlijk zelf iets doen in plaats van te wachten tot grote bedrijven hun klantenserviceprocedures hebben opgelost. Bij sommige services kunt u herstel uitschakelen of resetten via telefoonnummers en er overvloedig voor waarschuwen - maar als het een bedrijfskritisch systeem is, wilt u misschien veiligere resetprocedures kiezen, zoals resetcodes die u in een bankkluis kunt vergrendelen voor het geval dat je hebt ze ooit nodig.
Andere resetprocedures
VERWANT: Beveiligingsvragen zijn onveilig: hoe u uw accounts kunt beschermen
Het gaat ook niet alleen om uw telefoonnummer. Bij veel services kunt u die tweefactorauthenticatie op andere manieren verwijderen als u beweert dat u de code bent kwijtgeraakt en u moet inloggen. Zolang u voldoende persoonlijke gegevens over het account weet, kunt u wellicht instappen.
Probeer het zelf - ga naar de service die u heeft beveiligd met tweefactorauthenticatie en doe alsof u de code kwijt bent. Kijk wat er nodig is om binnen te komen. Het kan zijn dat u persoonlijke gegevens of antwoord moet geven onzekere "beveiligingsvragen" in het ergste geval. Het hangt af van hoe de service is geconfigureerd. U kunt het mogelijk opnieuw instellen door een link naar een ander e-mailaccount te e-mailen, in welk geval dat e-mailaccount een zwakke link kan worden. In een ideale situatie heeft u misschien alleen toegang tot een telefoonnummer of herstelcodes nodig - en, zoals we hebben gezien, is het telefoonnummergedeelte een zwakke schakel.
Hier is nog iets engs: het gaat niet alleen om het omzeilen van tweestapsverificatie. Een aanvaller kan soortgelijke trucs proberen om uw wachtwoord volledig te omzeilen. Dit kan werken omdat online services ervoor willen zorgen dat mensen weer toegang kunnen krijgen tot hun accounts, zelfs als ze hun wachtwoorden kwijtraken.
Kijk bijvoorbeeld eens naar het Google-accountherstel systeem. Dit is een laatste optie om uw account te herstellen. Als u beweert geen wachtwoorden te kennen, wordt u uiteindelijk om informatie over uw account gevraagd, bijvoorbeeld wanneer u het heeft gemaakt en naar wie u regelmatig e-mailt. Een aanvaller die genoeg over u weet, zou in theorie zoals deze procedures voor het opnieuw instellen van wachtwoorden kunnen gebruiken om toegang te krijgen tot uw accounts.
We hebben nog nooit gehoord dat het accountherstelproces van Google wordt misbruikt, maar Google is niet het enige bedrijf met dit soort tools. Ze kunnen niet allemaal volledig waterdicht zijn, vooral als een aanvaller genoeg over u weet.
Wat de problemen ook zijn, een account met tweestapsverificatie is altijd veiliger dan hetzelfde account zonder tweestapsverificatie. Maar tweefactorauthenticatie is geen wondermiddel, zoals we hebben gezien met een tracks die misbruik maken van de grootste zwakke schakel : uw telefoonmaatschappij.
