lt.phhsnews.com


lt.phhsnews.com / ŠTai kaip ataka gali apeiti jūsų dviejų faktorių autentifikavimą

ŠTai kaip ataka gali apeiti jūsų dviejų faktorių autentifikavimą


Dviejų veiksnių autentiškumo tikrinimo sistemos nėra tokios tuščios kaip jie atrodo. Užpuolikas iš tikrųjų nereikalauja jūsų fizinio autentiškumo patvirtinimo žetono, jei jis gali apgauti jūsų telefono įmonę arba pačią saugią paslaugą, kad ją išleistų.

Papildoma autentiškumo patvirtinimas visada yra naudingas.

Jūsų telefono kompanija yra silpna nuoroda

SUSIJUSIOS: Apsaugokite save naudodamiesi dviem veiksmais, Patikrinimo veiksmai šiose 16 žiniatinklio paslaugose

Daugelio svetainių dviejų žingsnių autentifikavimo sistemos dirba siųsdami SMS žinutę į savo telefoną, kai kas nors bando prisijungti. Net jei naudojate specialią programą telefone, kurdami kodus, yra didelė tikimybė, kad jūsų pasirinkta paslauga leis žmonėms prisijungti, išsiųsdami SMS žinutę į savo telefoną. Arba paslauga gali leisti pašalinti dviejų veiksnių autentifikavimo apsaugą iš paskyros, kai patvirtinate, kad turite prieigą prie telefono numerio, kurį sukonfigūravote kaip atkūrimo telefono numerį.

Tai viskas skamba gerai. Turite savo mobilųjį telefoną ir turi telefono numerį. Joje yra fizinė SIM kortelė, kuri susieja ją su šiuo mobiliojo telefono paslaugų teikėjo telefono numeriu. Viskas atrodo labai fiziškai. Deja, jūsų telefono numeris nėra toks saugus, kaip manote.

Jei kada nors reikės perkelti esamą telefono numerį į naują SIM kortelę, kai praranda telefoną arba tiesiog gaunate naują žinokite, ką dažnai galite tai padaryti telefonu - ar net internete. Visi užpuolikai turi tai padaryti, tai paskambinti savo mobiliojo telefono kompanijos klientų aptarnavimo skyriui ir apsimesti, kad esate jūs. Jie turės žinoti, kas yra jūsų telefono numeris, ir sužinoti apie jūsų asmeninę informaciją. Tai yra išsami informacija (pvz., Kredito kortelės numeris, paskutiniai keturi SSN skaitmeniai ir kiti), kurie reguliariai skleidžiasi didelėse duomenų bazėse ir naudojami tapatybės vagystėms. Užpuolikas gali bandyti gauti savo telefono numerį į savo telefoną.

Yra dar paprasčiau. Arba, pavyzdžiui, jie gali skambinti peradresuoti telefono ryšio įmonės pabaigoje, kad gaunami balso skambučiai būtų perduodami į savo telefoną ir nepasiektų jūsų.

Heck, užpuolikas gali neturėti prieigos prie viso telefono numerio . Jie galėjo gauti prieigą prie jūsų balso pašto, pabandyti prisijungti prie tinklalapių 3 val., O tada pasiimti patvirtinimo kodus iš savo balso pašto dėžutės. Ar saugu yra jūsų telefono kompanijos balso pašto sistema, tiksliai? Kaip saugus jūsų balso pašto PIN kodas - ar net jį nustatėte? Ne visi turi! Ir, jei turite, kiek pastangų užtruks, kad užpuolikas gautų jūsų balso pašto PIN kodą iš naujo, skambindamas savo telefono kompanijai?

Su jūsų telefono numeriu, viskas per

SUSIJĘS: Kaip išvengti Kaip užblokuoti naudojantis dviejų faktorių autentifikavimo funkcija

Jūsų telefono numeris tampa silpna, leidžiantis užpuolėjui pašalinti dviejų žingsnių patvirtinimą iš savo paskyros arba gauti patvirtinimo dvejetainius kodus per SMS arba balso skambučius. Tuo metu, kai suprantate, kad kažkas yra negerai, jie gali turėti prieigą prie tų sąskaitų.

Tai problema praktiškai kiekvienai paslaugai. Interneto paslaugos nenori, kad žmonės prarastų prieigą prie savo paskyrų, todėl paprastai jie leidžia apeiti ir pašalinti tą dviejų veiksnių autentifikavimą su jūsų telefono numeriu. Tai padeda, jei turėtumėte iš naujo nustatyti savo telefoną arba gauti naują, o jūs praradote dviejų faktorių autentifikavimo kodus, bet vis tiek turėsite savo telefono numerį.

Teoriškai ten turėtų būti daug apsaugos . Iš tikrųjų jūs kalbate su klientų aptarnavimo darbuotojais mobiliojo ryšio paslaugų teikėjose. Šios sistemos dažnai yra skirtos efektyvumui, o klientų aptarnavimo darbuotojas gali ignoruoti kai kurias apsaugos priemones, su kuriomis susiduria klientas, kuris, regis, yra piktas, nekantrus ir turi tai, kas atrodo pakankamai informacijos. Jūsų telefono įmonė ir jos klientų aptarnavimo skyrius yra silpna jūsų saugumo nuoroda.

Jūsų telefono numerio apsauga yra sunki. Iš tiesų, mobiliojo ryšio bendrovės turėtų suteikti daugiau garantijų, kad tai būtų mažiau rizikinga. Tikrovėje jūs tikriausiai norite kažką daryti atskirai, o ne laukti, kol didelės korporacijos nustatytų savo klientų aptarnavimo procedūras. Kai kurios paslaugos gali leisti jums išjungti atkūrimą arba iš naujo nustatyti telefono numerius ir įspėti apie tai gausiai - tačiau, jei tai misija kritinė sistema, galbūt norėsite pasirinkti saugesnes atkūrimo procedūras, pvz., Iš naujo nustatyti kodus, kuriuos galite užrakinti banko saugykloje jums kada nors jų reikia.

Kitos atkūrimo procedūros

SUSIJĘS: Saugumo klausimai yra nesaugūs: kaip apsaugoti savo sąskaitas

Taip pat yra ne tik jūsų telefono numeris. Daugelis paslaugų leidžia jums pašalinti tą dvifazį autentifikavimą kitais būdais, jei teigiate, kad praradote kodą ir turite prisijungti. Jei žinote pakankamai asmeninių duomenų apie paskyrą, galite įeiti.

Išbandykite patys - eikite į paslaugą, kurią užtikrinote dviejų veiksnių autentifikavimu, ir apsimestumėte, kad praradote kodą. Sužinokite, ko reikia, kad įeitumėte. Galbūt turėsite pateikti asmeninę informaciją arba atsakyti į nesaugius "saugumo klausimus" blogiausiu atveju. Tai priklauso nuo to, kaip sukonfigūruota paslauga. Galite jį iš naujo nustatyti atsiųsdami nuorodą į kitą el. Pašto paskyrą, tokiu atveju ši el. Pašto paskyra gali tapti silpna. Idealioje situacijoje jums gali prireikti prieigos prie telefono numerio arba atkūrimo kodų, o, kaip jau matėme, telefono numerio dalis yra silpna.

Čia dar kažkas baisi: tai ne tik apeiti dvipusį " žingsnis patvirtinimas. Užpuolikas gali išbandyti panašius triukus, kad visiškai išvengtų jūsų slaptažodžio. Tai gali būti naudinga, nes interneto paslaugos nori užtikrinti, kad žmonės galėtų susigrąžinti prieigą prie savo paskyros, net jei jie praranda savo slaptažodžius.

Pvz., Pažvelkite į "Google" paskyros atkūrimo sistemą. Tai paskutinis kanalas, skirtas susigrąžinti paskyrą. Jei teigiate, kad nežinote jokių slaptažodžių, galų gale jūsų paprašys informacijos apie jūsų paskyrą, pvz., Kai ją sukūrėte ir kam dažnai atsiųsite el. Laišką. Užpuolikas, kuris pakankamai žino apie jus, teoriškai galėtų naudoti slaptažodžio nustatymo procedūras, pvz., Kad galėtumėte pasiekti jūsų paskyras.

Mes niekada negirdėjome, kad "Google" paskyros atkūrimo procesas yra piktnaudžiaujamas, tačiau "Google" nėra vienintelė bendrovė, turinti tokius įrankius kaip tai. Ne visi gali būti visiškai netikri, ypač jei užpuolikas pakankamai žino apie jus.


Nesvarbu, kokios problemos, sąranka su patvirtinimu dviem veiksmais visada bus saugesnė nei ta pati sąskaita be dviem veiksmais atliktos patikros. Tačiau dviejų veiksnių autentifikavimas nėra sidabro kulka, kaip matėme atakų, kurie piktnaudžiauja didžiausia silpna nuoroda: jūsų telefono kompanija.


Kaip iš dalies keisti failų plėtinius "Windows" failams

Kaip iš dalies keisti failų plėtinius "Windows" failams

Neseniai kilo problema, kai turėjau keisti failo plėtinį daugybe "Windows" failų be pratęsimo į .JPG. Kažkas atsiuntė man daugybę failų, bet dėl ​​kokios nors keistos priežasties jie neturėjo jokio failo plėtinio, nors jie ir buvo vaizdai! Kai į failo pabaigą pridėjau .JPG plėtinį, galėjau

(How-to)

Gyvenimas su

Gyvenimas su "Chromebook": galite išgyventi tik "Chrome" naršykle?

"Chromebook" kompiuteriai tampa vis populiaresni, beveik 2 milijonai parduodami tik 2016 m. Pirmąjį ketvirtį. Tačiau "Chromebook" vis dar atrodo šiek tiek baisu - kaip gyvenate tik su "Chrome" naršykle? Ar tai tikrai pakankamai nešiojamojo kompiuterio? Kaip jūs galite naudoti naršyklę? Daugelis žmonių praleidžia didžiąją dalį savo kompiuterio laiko naršyklėje, o ši naršyklė dažnai yra "Google Chrome".

(how-to)