Dodatočné overenie je vždy užitočné. Aj keď nič neposkytuje dokonalú bezpečnosť, ktorú všetci chceme, pomocou dvojfaktorovej autentifikácie vytvára viac prekážok pre útočníkov, ktorí chcú vaše veci.
Vaša spoločnosť Telefón je slabý odkaz
Dvojstupňové autentifikačné systémy na mnohých webových stránkach pracujú tak, že odoslaním správy do telefónu prostredníctvom SMS, keď sa niekto pokúša prihlásiť. Dokonca aj keď v telefóne používate vyhradenú aplikáciu na vytváranie kódov, existuje veľká šanca, že vaša služba ponúka nech sa ľudia prihlásia odoslaním kódu SMS do telefónu. Alebo vám môže služba povoliť odstránenie ochrany s dvojfaktorovým overovaním z vášho účtu po potvrdení, že máte prístup k telefónnemu číslu, ktoré ste nakonfigurovali ako telefónne číslo na obnovenie.
To všetko znie dobre. Máte svoj mobilný telefón a telefónne číslo. Má v sebe fyzickú SIM kartu, ktorá ju spája s týmto poskytovateľom mobilného telefónu. Všetko sa zdá byť veľmi fyzické. Váš telefónny telefón však bohužiaľ nie je taký bezpečný, ako si myslíte.
Ak ste niekedy potrebovali presunúť existujúce telefónne číslo na novú kartu SIM po strate telefónu alebo len pri získavaní nového telefónu, budete vedieť, čo môžete často robiť úplne cez telefón - alebo dokonca online. Všetko, čo útočník musí urobiť, je zavolať zákaznícky servis vášho mobilného operátora a predstierať, že ste vy. Budú potrebovať vedieť, aké je vaše telefónne číslo a poznať niektoré osobné údaje o vás. Jedná sa o druhy podrobností - napríklad číslo kreditnej karty, posledné štyri číslice SSN a iné - ktoré pravidelne úniku do veľkých databáz a používajú sa na krádež identity. Útočník sa môže pokúsiť presunúť vaše telefónne číslo do svojho telefónu.
Existujú ešte jednoduchšie spôsoby. Alebo Napríklad môžu dostať presmerovanie hovorov nastavené na konci telefónnej spoločnosti tak, aby prichádzajúce hlasové volania boli postúpené do svojho telefónu a nedosiahli vaše.
Heck, útočník nemusí mať prístup k vášmu úplnému telefónnemu číslu. Môžu získať prístup k vašej hlasovej pošte, pokúsiť sa prihlásiť na webové stránky o 3:00 a potom vytiahnuť overovacie kódy z vašej hlasovej schránky. Ako presne je bezpečný systém hlasovej pošty vo vašej telefónnej spoločnosti? Ako bezpečný je váš kód hlasovej schránky - dokonca ste nastavili jeden? Nie každý má! A ak máte, koľko úsilia by útočník potreboval na to, aby dostal vašu hlasovú schránku na číslo PIN prostredníctvom telefonickej spoločnosti?
S Vaším telefónnym číslom je to celé
Vaše telefónne číslo sa stáva slabým odkazom a umožňuje útočníkovi odstrániť verifikáciu v dvoch krokoch z vášho účtu - alebo prijať dvojstupňové verifikačné kódy - prostredníctvom SMS alebo hlasových hovorov. V čase, keď si uvedomíte, že niečo je nesprávne, môžu mať prístup k týmto účtom.
Je to problém prakticky pre každú službu. Online služby nechcú, aby ľudia stratili prístup k svojim účtom, takže vo všeobecnosti vám umožňujú obísť a odstrániť toto dvojfaktorové overenie pomocou svojho telefónneho čísla. Pomôže to, ak ste museli vynulovať telefón alebo znova získať nový telefón a ste stratili dvojfaktorové autentifikačné kódy - ale stále máte vaše telefónne číslo.
Teoreticky by tu mala byť veľa ochrany. V skutočnosti sa zaoberáte zákazníckymi službami u poskytovateľov mobilných služieb. Tieto systémy sú často nastavené na efektívnosť a zamestnanec zákazníckych služieb môže prehliadať niektoré bezpečnostné opatrenia voči zákazníkovi, ktorý sa zdá nahnevaný, netrpezlivý a má to, čo sa zdá byť dostatkom informácií. Vaša telefónna spoločnosť a jej oddelenie služieb zákazníkom sú slabým odkazom vo vašej bezpečnosti.
Chránenie telefónneho čísla je ťažké. Realisticky by spoločnosti poskytujúce mobilné telefóny mali poskytnúť viac záruk, aby sa to stalo menej riskantným. V skutočnosti pravdepodobne chcete niečo urobiť sami, namiesto toho, aby ste čakali na veľké korporácie, aby opravili svoje zákaznícke postupy. Niektoré služby vám môžu umožniť zakázať obnovu alebo obnovenie prostredníctvom telefónnych čísel a varovať proti nemu hlboko - ale ak je to kritický systém, možno budete chcieť vybrať bezpečnejšie resetovacie postupy ako sú resetovacie kódy, ktoré môžete zamknúť v trezore banky v prípade ste niekedy potrebovali.
Iné postupy obnovenia
Nie je to ani o vašom telefónnom čísle. Mnohé služby vám umožňujú odstrániť túto dvojfaktorovú autentifikáciu inými spôsobmi, ak tvrdíte, že ste stratili kód a potrebujete sa prihlásiť. Pokiaľ poznáte dostatočné osobné údaje o účte, môžete sa dostať dovnútra.
Skúste to sami - prejdite na službu, ktorú ste zabezpečili pomocou dvojfaktorového overovania a predstierajte, že ste kód stratili. Pozrite sa, čo je potrebné na to, aby ste sa dostali dovnútra. Možno budete musieť poskytnúť osobné údaje alebo odpovedať na neisté "bezpečnostné otázky" v najhoršom prípade. Záleží na spôsobe konfigurácie služby. Môžete ho obnoviť e-mailom na odkaz na iný e-mailový účet, v takom prípade sa môže tento e-mailový účet stať slabým odkazom. V ideálnej situácii môžete potrebovať prístup k telefónnemu číslu alebo k kódom na obnovenie - a ako sme videli, časť telefónneho čísla je slabým odkazom.
Tu je niečo iné strašidelné: Nie je to len o obchádzaní verifikácie v dvoch krokoch.Útočník by mohol vyskúšať podobné triky, aby úplne obišiel vaše heslo. Môže to fungovať, pretože on-line služby chcú zabezpečiť, aby ľudia mohli opäť získať prístup k svojim účtom, a to aj vtedy, ak stratia svoje heslá.
Pozrite sa napríklad na systém obnovenia účtu Google. Toto je posledná voľba pre obnovu vášho účtu. Ak si myslíte, že nepoznáte žiadne heslá, budete nakoniec požiadaní o informácie o svojom účte, ako keď ste ho vytvorili a koho často posielate e-mailom. Útočník, ktorý vie o vás dosť, by mohol teoreticky použiť procedúry na obnovenie hesla, ako sú tieto, aby získali prístup k vašim účtom.
Nikdy sme nepočuli o zneužívaní procesu obnovy účtu Google, ale spoločnosť Google nie je jedinou spoločnosťou s takýmito nástrojmi. Nemôžu byť úplne bezpečné, najmä ak útočník o vás vie dosť.
Akékoľvek problémy, nastavenie účtu s dvojstupňovým overovaním bude vždy bez zabezpečenia v dvoch krokoch bezpečnejšie ako ten istý účet. Ale dvojfaktorová autentizácia nie je žiadna strieborná guľka, ako sme videli s útokmi, ktoré zneužívajú najväčšie slabé spojenie: vaša telefónna spoločnosť.
