Sistemele de autentificare cu doi factori nu sunt la fel de infailibile pe cât par. Un atacator nu are nevoie de fapt de jetonul dvs. de autentificare fizică dacă poate păcăli compania dvs. de telefonie sau serviciul securizat în sine, pentru a le permite să intre.
Autentificarea suplimentară este întotdeauna utilă. Deși nimic nu oferă securitatea perfectă pe care o dorim cu toții, utilizarea autentificării cu doi factori pune mai multe obstacole în atacatorii care doresc lucrurile tale.
Compania dvs. de telefon este o legătură slabă
LEGATE DE: Asigurați-vă că utilizați verificarea în doi pași pe aceste 16 servicii web
sisteme de autentificare în doi pași pe multe site-uri web funcționează trimițând un mesaj pe telefonul tău prin SMS atunci când cineva încearcă să se conecteze. Chiar dacă folosești o aplicație dedicată pe telefonul tău pentru a genera coduri, există o șansă bună de a oferi serviciul ales de a permite oamenilor să se conecteze prin trimiterea unui cod SMS la telefon. Sau, serviciul vă poate permite să eliminați protecția de autentificare cu doi factori din contul dvs. după ce confirmați că aveți acces la un număr de telefon configurat ca număr de telefon de recuperare.
Toate acestea sună bine. Aveți telefonul mobil și are un număr de telefon. Are o cartelă SIM fizică în interior, care o leagă de acel număr de telefon cu furnizorul dvs. de telefonie mobilă. Totul pare foarte fizic. Dar, din păcate, numărul dvs. de telefon nu este atât de sigur pe cât credeți.
Dacă ați avut vreodată nevoie să mutați un număr de telefon existent pe o nouă cartelă SIM după ce v-ați pierdut telefonul sau doar ați primit unul nou, veți ști ce puteți face adesea în întregime prin telefon - sau poate chiar online. Tot ce trebuie să facă un atacator este să sune la departamentul de servicii pentru clienți al companiei dvs. de telefonie mobilă și să se prefacă că ești tu. Va trebui să știe care este numărul dvs. de telefon și să cunoască câteva detalii personale despre dvs. Acestea sunt tipurile de detalii - de exemplu, numărul cardului de credit, ultimele patru cifre ale unui SSN și altele - care se scurg în mod regulat în baze de date mari și sunt utilizate pentru furtul de identitate. Atacatorul poate încerca să vă mute numărul de telefon pe telefonul lor.
Există și modalități mai ușoare. Sau, de exemplu, pot configura redirecționarea apelurilor la capătul companiei de telefonie, astfel încât apelurile vocale primite să fie redirecționate către telefonul lor și să nu ajungă la ale dvs.
Heck, este posibil ca un atacator să nu aibă nevoie de acces la numărul dvs. de telefon complet. Aceștia ar putea obține acces la mesageria dvs. vocală, pot încerca să se conecteze la site-uri web la 3 dimineața și apoi să preia codurile de verificare din căsuța vocală. Cât de sigur este sistemul de mesagerie vocală al companiei dvs. de telefon, mai exact? Cât de sigur este PIN-ul dvs. pentru mesageria vocală - chiar ați setat unul? Nu toată lumea are! Și, dacă aveți, cât efort ar fi nevoie pentru ca un atacator să vă reseteze codul PIN de poștă vocală apelând la compania dvs. de telefonie?
Cu numărul dvs. de telefon, totul s-a terminat
LEGATE DE: Cum să evitați blocarea când utilizați autentificarea cu doi factori
Numărul dvs. de telefon devine veriga slabă, permițându-i atacatorului să o facă eliminați verificarea în doi pași din contul dvs. - sau primiți coduri de verificare în doi pași - prin SMS sau apeluri vocale. Până când îți dai seama că ceva nu este în regulă, ei pot avea acces la aceste conturi.
Aceasta este o problemă pentru practic fiecare serviciu. Serviciile online nu doresc ca oamenii să își piardă accesul la conturile lor, așa că, în general, vă permit să ocoliți și să eliminați autentificarea în doi factori cu numărul dvs. de telefon. Acest lucru vă ajută dacă ați fost nevoit să vă resetați telefonul sau să obțineți unul nou și dacă ați pierdut codurile de autentificare cu doi factori - dar aveți în continuare numărul de telefon.
Teoretic, ar trebui să existe o mulțime de protecție aici. În realitate, aveți de-a face cu serviciile pentru clienți de la furnizorii de servicii celulare. Aceste sisteme sunt adesea create pentru eficiență, iar un angajat al serviciului pentru clienți poate trece cu vederea unele dintre garanțiile cu care se confruntă un client care pare supărat, nerăbdător și are ceea ce pare a fi suficiente informații. Compania dvs. de telefonie și departamentul său de servicii pentru clienți sunt o verigă slabă în securitatea dvs.
Protejarea numărului dvs. de telefon este dificilă. În mod real, companiile de telefonie mobilă ar trebui să ofere mai multe garanții pentru a face acest lucru mai puțin riscant. În realitate, probabil că doriți să faceți ceva pe cont propriu în loc să așteptați ca marile corporații să-și remedieze procedurile de servicii pentru clienți. Unele servicii vă pot permite să dezactivați recuperarea sau să resetați prin numere de telefon și să vă avertizați profund împotriva acesteia - dar, dacă este un sistem critic pentru misiune, poate doriți să alegeți proceduri de resetare mai sigure, cum ar fi codurile de resetare, puteți bloca într-un seif bancar în cazul în care ai vreodată nevoie de ele.
Alte proceduri de resetare
LEGATE DE: Întrebările de securitate sunt nesigure: cum să vă protejați conturile
Nu este vorba doar despre numărul dvs. de telefon. Multe servicii vă permit să eliminați acea autentificare cu doi factori în alte moduri, dacă susțineți că ați pierdut codul și că trebuie să vă conectați. Atâta timp cât știți suficiente detalii personale despre cont, este posibil să puteți intra.
Încercați singur - accesați serviciul pe care l-ați asigurat cu autentificare cu doi factori și prefaceți-vă că ați pierdut codul. Vedeți ce este nevoie pentru a intra. Este posibil să fie necesar să furnizați detalii personale sau să răspundeți „întrebări de securitate” nesigure în cel mai rău caz. Depinde de modul în care este configurat serviciul. Este posibil să îl puteți reseta trimitând prin e-mail un link către un alt cont de e-mail, caz în care acel cont de e-mail poate deveni un link slab. Într-o situație ideală, este posibil să aveți nevoie doar de acces la un număr de telefon sau coduri de recuperare - și, după cum am văzut, partea numărului de telefon este o verigă slabă.
Iată altceva înfricoșător: nu este vorba doar de ocolirea verificării în doi pași. Un atacator ar putea încerca trucuri similare pentru a vă ocoli parola în întregime. Acest lucru poate funcționa, deoarece serviciile online doresc să asigure că oamenii își pot recâștiga accesul la conturile lor, chiar dacă își pierd parolele.
De exemplu, aruncați o privire la Recuperarea contului Google sistem. Aceasta este o opțiune de ultimă oră pentru recuperarea contului. Dacă pretindeți că nu știți parole, în cele din urmă vi se vor solicita informații despre contul dvs., cum ar fi momentul în care l-ați creat și pe cine trimiteți frecvent prin e-mail. Un atacator care știe suficient despre tine ar putea folosi teoretic proceduri de resetare a parolei ca acestea pentru a avea acces la conturile tale.
Nu am auzit niciodată despre abuzul procesului de recuperare a contului Google, dar Google nu este singura companie cu instrumente de acest gen. Nu toate pot fi complet infailibile, mai ales dacă un atacator știe suficient despre tine.
Indiferent de probleme, un cont cu verificare în doi pași configurat va fi întotdeauna mai sigur decât același cont fără verificare în doi pași. Dar autentificarea cu doi factori nu este un glonț de argint, așa cum am văzut cu un piese care abuzează de cea mai mare verigă slabă : compania dvs. de telefonie.
