İki faktörlü kimlik doğrulama sistemleri göründükleri kadar kusursuz değildir. Bir saldırgan, telefon şirketinizi veya güvenli hizmetin kendisini içeri alması için kandırabilirse, aslında fiziksel kimlik doğrulama jetonunuza ihtiyaç duymaz.
Ek kimlik doğrulama her zaman faydalıdır. Hiçbir şey hepimizin istediği mükemmel güvenliği sunmasa da, iki faktörlü kimlik doğrulama kullanmak, eşyalarınızı isteyen saldırganlar için daha fazla engel oluşturur.
Telefon Şirketiniz Zayıf Bir Bağlantıdır
İLİŞKİLİ: Bu 16 Web Hizmetinde İki Adımlı Doğrulamayı Kullanarak Güvenliğinizi Sağlayın
birçok web sitesinde iki aşamalı kimlik doğrulama sistemleri birisi oturum açmaya çalıştığında telefonunuza SMS yoluyla mesaj göndererek çalışın. Telefonunuzda kod oluşturmak için özel bir uygulama kullansanız bile, tercih ettiğiniz hizmetin insanların bir SMS kodu göndererek oturum açmalarına izin verme olasılığı yüksektir telefonunuza. Veya hizmet, kurtarma telefon numarası olarak yapılandırdığınız bir telefon numarasına erişiminiz olduğunu onayladıktan sonra hesabınızdan iki faktörlü kimlik doğrulama korumasını kaldırmanıza izin verebilir.
Bu kulağa hoş geliyor. Cep telefonunuz var ve bir telefon numarası var. İçinde, cep telefonu sağlayıcınızla bu telefon numarasına bağlayan fiziksel bir SIM kart vardır. Hepsi çok fiziksel görünüyor. Ancak maalesef telefon numaranız sandığınız kadar güvenli değil.
Telefonunuzu kaybettikten veya yeni bir tane aldıktan sonra mevcut bir telefon numarasını yeni bir SIM karta taşımanız gerekirse, bunu genellikle tamamen telefon üzerinden veya hatta çevrimiçi olarak yapabileceğinizi bilirsiniz. Bir saldırganın yapması gereken tek şey cep telefonu şirketinizin müşteri hizmetleri departmanını aramak ve sizmişsiniz gibi davranmaktır. Telefon numaranızın ne olduğunu bilmeleri ve sizinle ilgili bazı kişisel ayrıntıları bilmeleri gerekir. Bunlar, düzenli olarak büyük veri tabanlarına sızan ve kimlik hırsızlığı için kullanılan, örneğin kredi kartı numarası, SSN'nin son dört hanesi ve diğerleri gibi ayrıntılardır. Saldırgan, telefon numaranızın telefonuna taşınmasını deneyebilir.
Daha da kolay yollar var. Veya örneğin, gelen sesli aramaların kendi telefonlarına yönlendirilmesi ve sizinkine ulaşmaması için telefon şirketinin tarafında arama yönlendirme kurulumu yapabilirler.
Heck, bir saldırganın tam telefon numaranıza erişmesi gerekmeyebilir. Sesli postanıza erişebilir, saat 3'te web sitelerinde oturum açmayı deneyebilir ve ardından doğrulama kodlarını sesli posta kutunuzdan alabilir. Telefon şirketinizin sesli mesaj sistemi tam olarak ne kadar güvenli? Sesli posta PIN kodunuz ne kadar güvenlidir - bir tane ayarladınız mı? Herkes sahip değil! Ve eğer varsa, bir saldırganın telefon şirketinizi arayarak sesli posta PIN kodunuzu sıfırlaması için ne kadar çaba harcarsınız?
Telefon Numaranızla Her Yerde
İLİŞKİLİ: İki Faktörlü Kimlik Doğrulama Kullanırken Kilitlenmekten Nasıl Kaçınılır
Telefon numaranız zayıf bağlantı haline gelerek saldırganınızın hesabınızdan iki adımlı doğrulamayı kaldırın - veya iki aşamalı doğrulama kodlarını alın - SMS veya sesli aramalar yoluyla. Bir şeylerin yanlış olduğunu anladığınızda, bu hesaplara erişebilirler.
Bu, hemen hemen her hizmet için bir sorundur. Çevrimiçi hizmetler, kişilerin hesaplarına erişimi kaybetmesini istemez, bu nedenle genellikle telefon numaranızla bu iki faktörlü kimlik doğrulamayı atlamanıza ve kaldırmanıza izin verir. Bu, telefonunuzu sıfırlamanız veya yenisini almanız gerektiğinde ve iki faktörlü kimlik doğrulama kodlarınızı kaybettiyseniz, ancak yine de telefon numaranız elinizde olduğunda yardımcı olur.
Teorik olarak, burada çok fazla koruma olması gerekiyor. Gerçekte, hücresel servis sağlayıcılardaki müşteri hizmetleri çalışanlarıyla ilgileniyorsunuz. Bu sistemler genellikle verimlilik için kurulur ve bir müşteri hizmetleri çalışanı, kızgın, sabırsız görünen ve yeterli bilgiye sahip olan bir müşterinin karşılaştığı bazı önlemleri gözden kaçırabilir. Telefon şirketiniz ve müşteri hizmetleri departmanı, güvenliğiniz için zayıf bir halkadır.
Telefon numaranızı korumak zordur. Gerçekçi olarak, cep telefonu şirketleri bunu daha az riskli hale getirmek için daha fazla koruma sağlamalıdır. Gerçekte, büyük şirketlerin müşteri hizmetleri prosedürlerini düzeltmesini beklemek yerine muhtemelen kendi başınıza bir şeyler yapmak istersiniz. Bazı hizmetler, kurtarmayı devre dışı bırakmanıza veya telefon numaralarıyla sıfırlamanıza ve buna karşı çok fazla uyarıda bulunmanıza izin verebilir - ancak kritik bir sistemse, sıfırlama kodları gibi daha güvenli sıfırlama prosedürleri seçmek isteyebilirsiniz, gerektiğinde bir banka kasasında kilitleyebilirsiniz. onlara hiç ihtiyacın yok.
Diğer Sıfırlama Prosedürleri
İLİŞKİLİ: Güvenlik Soruları Güvensizdir: Hesaplarınızı Nasıl Korursunuz?
Bu sadece telefon numaranız da değil. Kodu kaybettiğinizi ve oturum açmanız gerektiğini iddia ederseniz, birçok hizmet bu iki faktörlü kimlik doğrulamayı başka yollarla kaldırmanıza izin verir. Hesap hakkında yeterince kişisel ayrıntı bildiğiniz sürece içeri girebilirsiniz.
Kendiniz deneyin - iki faktörlü kimlik doğrulama ile güvence altına aldığınız hizmete gidin ve kodu kaybetmiş gibi yapın. İçeri girmek için ne gerektiğini görün. Kişisel bilgilerinizi vermeniz veya cevap vermeniz gerekebilir güvenli olmayan "güvenlik soruları" en kötü senaryoda. Hizmetin nasıl yapılandırıldığına bağlıdır. Bağlantıyı başka bir e-posta hesabına e-posta ile göndererek sıfırlayabilirsiniz, bu durumda bu e-posta hesabı zayıf bir bağlantı haline gelebilir. İdeal bir durumda, sadece bir telefon numarasına veya kurtarma kodlarına erişmeniz gerekebilir - ve gördüğümüz gibi, telefon numarası kısmı zayıf bir bağlantıdır.
İşte korkutucu bir şey daha: Bu sadece iki adımlı doğrulamayı atlamakla ilgili değil. Bir saldırgan, şifrenizi tamamen atlamak için benzer hileler deneyebilir. Bu işe yarayabilir çünkü çevrimiçi hizmetler, kişilerin parolalarını kaybetseler bile hesaplarına yeniden erişebilmelerini sağlamak ister.
Örneğin, bir göz atın. Google Hesabı Kurtarma sistemi. Bu, hesabınızı kurtarmak için son bir seçenektir. Herhangi bir şifre bilmediğinizi iddia ederseniz, sonunda hesabınızı ne zaman oluşturduğunuz ve sıklıkla kime e-posta gönderdiğiniz gibi hesabınız hakkında bilgiler istenir. Hakkınızda yeterince bilgi sahibi olan bir saldırgan, hesaplarınıza erişmek için teorik olarak bunun gibi parola sıfırlama prosedürlerini kullanabilir.
Google'ın Hesap Kurtarma sürecinin kötüye kullanıldığını hiç duymadık, ancak bu tür araçlara sahip tek şirket Google değil. Hepsi tamamen kusursuz olamaz, özellikle de bir saldırgan hakkınızda yeterince şey biliyorsa.
Sorun ne olursa olsun, iki adımlı doğrulama kurulumuna sahip bir hesap, her zaman iki adımlı doğrulama olmayan aynı hesaptan daha güvenli olacaktır. Ancak iki faktörlü kimlik doğrulama, sihirli bir değnek değildir, en büyük zayıf halkayı kötüye kullanan parçalar : telefon şirketiniz.
