Tvåfaktorsautentiseringssystem är inte så idiotsäkra som de verkar. En angripare behöver faktiskt inte din fysiska autentiseringstoken om de kan lura ditt telefonföretag eller den säkra tjänsten själv att släppa in dem.
Ytterligare autentisering är alltid till hjälp. Även om ingenting erbjuder den perfekta säkerheten som vi alla vill ha, använder du tvåfaktorautentisering fler hinder för angripare som vill ha dina saker.
Ditt telefonföretag är en svag länk
RELATERAD: Säkra dig själv genom att använda tvåstegsverifiering på dessa 16 webbtjänster
De tvåstegs autentiseringssystem på många webbplatser arbeta genom att skicka ett meddelande till din telefon via SMS när någon försöker logga in. Även om du använder en dedikerad app på din telefon för att generera koder, finns det en god chans att din tjänst erbjuder att låta folk logga in genom att skicka en SMS-kod till din telefon. Eller så kan tjänsten låta dig ta bort tvåfaktorsautentiseringsskyddet från ditt konto efter att du har bekräftat att du har tillgång till ett telefonnummer som du har konfigurerat som ett återställningstelefonnummer.
Allt detta låter bra. Du har din mobiltelefon och den har ett telefonnummer. Det har ett fysiskt SIM-kort inuti som binder det till det telefonnumret med din mobiltelefonleverantör. Allt verkar väldigt fysiskt. Men tyvärr är ditt telefonnummer inte så säkert som du tror.
Om du någonsin har behövt flytta ett befintligt telefonnummer till ett nytt SIM-kort efter att du tappat telefonen eller bara fått ett nytt, vet du vad du ofta kan göra det helt via telefon - eller kanske till och med online. Allt som en angripare behöver göra är att ringa ditt mobiltelefonföretags kundavdelning och låtsas vara dig. De måste veta vad ditt telefonnummer är och veta några personliga detaljer om dig. Det här är de typer av detaljer - till exempel kreditkortsnummer, de sista fyra siffrorna i ett SSN och andra - som regelbundet läcker ut i stora databaser och används för identitetsstöld. Angriparen kan försöka få ditt telefonnummer flyttat till sin telefon.
Det finns ännu enklare sätt. Eller, till exempel, de kan konfigurera vidarekoppling vid telefonföretagets slut så att inkommande röstsamtal vidarebefordras till sin telefon och inte når ditt.
Heck, en angripare kanske inte behöver åtkomst till ditt fullständiga telefonnummer. De kan få tillgång till din röstbrevlåda, försöka logga in på webbplatser klockan 3 och hämta sedan verifieringskoderna från din röstbrevlåda. Hur säkert är ditt telefonföretags röstmeddelandesystem, exakt? Hur säker är din PIN-kod för röstmeddelanden - har du till och med ställt in en? Inte alla har! Och om du har det, hur mycket ansträngning skulle det krävas för en angripare att få din röstbrevlåda PIN återställd genom att ringa ditt telefonföretag?
Med ditt telefonnummer är det över
RELATERAD: Hur man undviker att spärras när man använder tvåfaktorautentisering
Ditt telefonnummer blir den svaga länken, så att din angripare kan ta bort tvåstegsverifiering från ditt konto - eller ta emot tvåstegs verifieringskoder - via SMS eller röstsamtal. När du inser att något är fel kan de få tillgång till dessa konton.
Detta är ett problem för praktiskt taget alla tjänster. Onlinetjänster vill inte att folk ska förlora åtkomst till sina konton, så de tillåter dig i allmänhet att kringgå och ta bort den tvåfaktorautentiseringen med ditt telefonnummer. Det här hjälper om du har återställt din telefon eller fått en ny och du har tappat dina tvåfaktorautentiseringskoder - men du har fortfarande ditt telefonnummer.
Teoretiskt sett borde det finnas mycket skydd här. I själva verket har du att göra med kundtjänstpersonal hos mobiltjänstleverantörer. Dessa system är ofta inställda för effektivitet, och en kundtjänstmedarbetare kan förbise några av de skyddsåtgärder som en kund står inför som verkar arg, otålig och har tillräckligt med information. Ditt telefonföretag och dess kundserviceavdelning är en svag länk i din säkerhet.
Det är svårt att skydda ditt telefonnummer. Realistiskt sett bör mobiltelefonföretag tillhandahålla mer skydd för att göra detta mindre riskabelt. I verkligheten vill du förmodligen göra något på egen hand istället för att vänta på att stora företag ska fixa sina kundserviceprocedurer. Vissa tjänster kan tillåta att du inaktiverar återställning eller återställning via telefonnummer och varnar mycket för det - men om det är ett uppdragskritiskt system kanske du vill välja säkrare återställningsförfaranden som återställningskoder som du kan låsa i ett bankvalv om du behöver dem någonsin.
Andra återställningsförfaranden
RELATERAD: Säkerhetsfrågor är osäkra: Hur du skyddar dina konton
Det handlar inte bara om ditt telefonnummer. Många tjänster gör att du kan ta bort den tvåfaktorautentiseringen på andra sätt om du hävdar att du har tappat koden och behöver logga in. Så länge du vet tillräckligt med personliga uppgifter om kontot kan du komma in.
Prova själv - gå till den tjänst du har säkrat med tvåfaktorautentisering och låtsas att du har tappat koden. Se vad som krävs för att komma in. Du kan behöva ange personliga uppgifter eller svara osäkra ”säkerhetsfrågor” i värsta fall. Det beror på hur tjänsten är konfigurerad. Du kan kanske återställa den genom att skicka en länk till ett annat e-postkonto, i vilket fall det e-postkontot kan bli en svag länk. I en idealisk situation kanske du bara behöver tillgång till ett telefonnummer eller återställningskoder - och som vi har sett är telefonnumret en svag länk.
Här är något annat skrämmande: Det handlar inte bara om att kringgå tvåstegsverifiering. En angripare kan prova liknande knep för att kringgå ditt lösenord helt. Detta kan fungera eftersom onlinetjänster vill se till att människor kan få tillbaka åtkomst till sina konton, även om de tappar sina lösenord.
Ta till exempel en titt på Google-kontoåterställning systemet. Detta är ett sista alternativ för att återställa ditt konto. Om du hävdar att du inte känner till några lösenord kommer du så småningom att bli ombedd att få information om ditt konto som när du skapade det och vem du ofta skickar e-post till. En angripare som vet tillräckligt om dig kan teoretiskt använda procedurer för återställning av lösenord som dessa för att få tillgång till dina konton.
Vi har aldrig hört talas om att Googles kontoåterställningsprocess missbrukas, men Google är inte det enda företaget som har sådana verktyg. De kan inte alla vara helt idiotsäkra, speciellt om en angripare vet tillräckligt om dig.
Oavsett problemen kommer ett konto med tvåstegsverifiering att vara säkrare än samma konto utan tvåstegsverifiering. Men tvåfaktorautentisering är ingen silverkula, som vi har sett med en spår som missbrukar den största svaga länken : ditt telefonföretag.
