Системы двухфакторной аутентификации не так надежны, как кажется. Злоумышленнику на самом деле не нужен ваш физический токен аутентификации, если он может обманом заставить вашу телефонную компанию или саму службу безопасности пропустить их.
Дополнительная аутентификация всегда полезна. Хотя ничто не предлагает такой идеальной безопасности, которую мы все хотим, использование двухфакторной аутентификации создает дополнительные препятствия для злоумышленников, которые хотят получить ваши данные.
Ваша телефонная компания - слабое звено
СВЯЗАННЫЕ С: Защитите себя, используя двухэтапную аутентификацию на этих 16 веб-сервисах
В системы двухэтапной аутентификации на многих сайтах работают, отправляя сообщение на свой телефон с помощью SMS, когда кто-то пытается войти в систему. Даже если вы используете специальное приложение на своем телефоне для генерации кодов, есть большая вероятность, что выбранная вами служба предлагает разрешить пользователям входить в систему, отправив SMS-код на свой телефон. Или служба может позволить вам удалить защиту с двухфакторной аутентификацией из вашей учетной записи после подтверждения, что у вас есть доступ к номеру телефона, который вы настроили в качестве номера телефона для восстановления.
Все это звучит нормально. У вас есть мобильный телефон, и на нем есть номер телефона. В нем есть физическая SIM-карта, которая связывает ее с этим номером телефона у вашего оператора сотовой связи. Все это кажется очень физическим. Но, к сожалению, ваш номер телефона не так безопасен, как вы думаете.
Если вам когда-либо приходилось переносить существующий номер телефона на новую SIM-карту после потери телефона или просто получения нового, вы знаете, что часто можно сделать полностью по телефону или, возможно, даже в Интернете. Все, что нужно сделать злоумышленнику, - это позвонить в отдел обслуживания клиентов вашей сотовой компании и притвориться вами. Им нужно будет знать ваш номер телефона и некоторые личные данные о вас. Такие данные - например, номер кредитной карты, последние четыре цифры SSN и другие - регулярно попадают в большие базы данных и используются для кражи личных данных. Злоумышленник может попытаться перенести ваш номер телефона на свой телефон.
Есть еще более простые способы. Или, например, они могут настроить переадресацию звонков на стороне телефонной компании, чтобы входящие голосовые звонки переадресовывались на их телефон и не доходили до вашего.
Черт возьми, злоумышленнику может не понадобиться доступ к вашему полному номеру телефона. Они могут получить доступ к вашей голосовой почте, попытаться войти на веб-сайты в 3 часа ночи, а затем получить коды подтверждения из вашего голосового почтового ящика. Насколько безопасна система голосовой почты вашей телефонной компании? Насколько безопасен ваш PIN-код голосовой почты - вы его даже установили? Не у всех! А если да, то сколько усилий потребуется злоумышленнику, чтобы сбросить PIN-код вашей голосовой почты, позвонив в вашу телефонную компанию?
С вашим номером телефона все кончено
СВЯЗАННЫЕ С: Как избежать блокировки при использовании двухфакторной аутентификации
Ваш номер телефона становится слабым звеном, позволяющим злоумышленнику удалите двухэтапную аутентификацию из своего аккаунта - или получить коды двухэтапной проверки - с помощью SMS или голосовых вызовов. К тому времени, когда вы поймете, что что-то не так, у них будет доступ к этим учетным записям.
Это проблема практически любого сервиса. Онлайн-сервисы не хотят, чтобы люди теряли доступ к своим аккаунтам, поэтому они обычно позволяют вам обойти и удалить эту двухфакторную аутентификацию с вашим номером телефона. Это поможет, если вам пришлось перезагрузить телефон или купить новый, и вы потеряли коды двухфакторной аутентификации, но номер телефона у вас остался.
Теоретически здесь должна быть большая защита. На самом деле вы имеете дело с людьми из службы поддержки операторов сотовой связи. Эти системы часто создаются для повышения эффективности, и сотрудник службы поддержки клиентов может упустить из виду некоторые меры предосторожности, с которыми сталкивается клиент, который выглядит рассерженным, нетерпеливым и имеет, как представляется, достаточно информации. Ваша телефонная компания и ее отдел обслуживания клиентов - слабое звено в вашей безопасности.
Защитить свой номер телефона сложно. На самом деле компании сотовой связи должны предоставить больше гарантий, чтобы сделать это менее рискованным. На самом деле, вы, вероятно, захотите сделать что-то самостоятельно, вместо того, чтобы ждать, пока крупные корпорации исправят свои процедуры обслуживания клиентов. Некоторые службы могут позволить вам отключить восстановление или сброс по номерам телефонов и обильно предупредить об этом, но, если это критически важная система, вы можете выбрать более безопасные процедуры сброса, такие как коды сброса, которые вы можете заблокировать в банковском хранилище на случай они вам когда-нибудь понадобятся.
Другие процедуры сброса
СВЯЗАННЫЕ С: Контрольные вопросы небезопасны: как защитить свои учетные записи
И дело не только в номере телефона. Многие службы позволяют удалить эту двухфакторную аутентификацию другими способами, если вы утверждаете, что потеряли код и вам необходимо войти в систему. Если вы знаете достаточно личных данных об учетной записи, вы сможете войти в нее.
Попробуйте сами - перейдите в сервис, который вы защитили с помощью двухфакторной аутентификации, и сделайте вид, что потеряли код. Узнайте, что нужно, чтобы попасть внутрь. Возможно, вам придется предоставить личные данные или ответить небезопасные «вопросы безопасности» в худшем случае. Это зависит от того, как настроена служба. Вы можете сбросить его, отправив по электронной почте ссылку на другую учетную запись электронной почты, и в этом случае эта учетная запись электронной почты может стать слабым звеном. В идеальной ситуации вам может потребоваться просто доступ к номеру телефона или кодам восстановления - и, как мы видели, часть номера телефона является слабым звеном.
Есть еще кое-что пугающее: речь идет не только об обходе двухэтапной аутентификации. Злоумышленник может попробовать аналогичные уловки, чтобы полностью обойти ваш пароль. Это может сработать, потому что онлайн-сервисы хотят гарантировать, что люди смогут восстановить доступ к своим учетным записям, даже если они потеряют свои пароли.
Например, взгляните на Восстановление аккаунта Google система. Это последний вариант для восстановления вашей учетной записи. Если вы утверждаете, что не знаете паролей, в конечном итоге вас попросят предоставить информацию о вашей учетной записи, например, когда вы ее создали и кому вы часто пишете. Злоумышленник, который знает о вас достаточно, теоретически может использовать подобные процедуры сброса пароля, чтобы получить доступ к вашим учетным записям.
Мы никогда не слышали о злоупотреблениях в процессе восстановления аккаунта Google, но Google - не единственная компания, имеющая подобные инструменты. Все они не могут быть полностью надежными, особенно если злоумышленник знает о вас достаточно.
Какими бы ни были проблемы, учетная запись с двухэтапной проверкой всегда будет более безопасной, чем та же учетная запись без двухэтапной проверки. Но двухфакторная аутентификация - не панацея, как мы видели на примере треки, которые злоупотребляют самым слабым звеном : ваша телефонная компания.
