lt.phhsnews.com


lt.phhsnews.com / ŠTai kaip ataka gali apeiti jūsų dviejų faktorių autentifikavimą

ŠTai kaip ataka gali apeiti jūsų dviejų faktorių autentifikavimą


Dviejų veiksnių autentiškumo tikrinimo sistemos nėra tokios tuščios kaip jie atrodo. Užpuolikas iš tikrųjų nereikalauja jūsų fizinio autentiškumo patvirtinimo žetono, jei jis gali apgauti jūsų telefono įmonę arba pačią saugią paslaugą, kad ją išleistų.

Papildoma autentiškumo patvirtinimas visada yra naudingas.

Jūsų telefono kompanija yra silpna nuoroda

SUSIJUSIOS: Apsaugokite save naudodamiesi dviem veiksmais, Patikrinimo veiksmai šiose 16 žiniatinklio paslaugose

Daugelio svetainių dviejų žingsnių autentifikavimo sistemos dirba siųsdami SMS žinutę į savo telefoną, kai kas nors bando prisijungti. Net jei naudojate specialią programą telefone, kurdami kodus, yra didelė tikimybė, kad jūsų pasirinkta paslauga leis žmonėms prisijungti, išsiųsdami SMS žinutę į savo telefoną. Arba paslauga gali leisti pašalinti dviejų veiksnių autentifikavimo apsaugą iš paskyros, kai patvirtinate, kad turite prieigą prie telefono numerio, kurį sukonfigūravote kaip atkūrimo telefono numerį.

Tai viskas skamba gerai. Turite savo mobilųjį telefoną ir turi telefono numerį. Joje yra fizinė SIM kortelė, kuri susieja ją su šiuo mobiliojo telefono paslaugų teikėjo telefono numeriu. Viskas atrodo labai fiziškai. Deja, jūsų telefono numeris nėra toks saugus, kaip manote.

Jei kada nors reikės perkelti esamą telefono numerį į naują SIM kortelę, kai praranda telefoną arba tiesiog gaunate naują žinokite, ką dažnai galite tai padaryti telefonu - ar net internete. Visi užpuolikai turi tai padaryti, tai paskambinti savo mobiliojo telefono kompanijos klientų aptarnavimo skyriui ir apsimesti, kad esate jūs. Jie turės žinoti, kas yra jūsų telefono numeris, ir sužinoti apie jūsų asmeninę informaciją. Tai yra išsami informacija (pvz., Kredito kortelės numeris, paskutiniai keturi SSN skaitmeniai ir kiti), kurie reguliariai skleidžiasi didelėse duomenų bazėse ir naudojami tapatybės vagystėms. Užpuolikas gali bandyti gauti savo telefono numerį į savo telefoną.

Yra dar paprasčiau. Arba, pavyzdžiui, jie gali skambinti peradresuoti telefono ryšio įmonės pabaigoje, kad gaunami balso skambučiai būtų perduodami į savo telefoną ir nepasiektų jūsų.

Heck, užpuolikas gali neturėti prieigos prie viso telefono numerio . Jie galėjo gauti prieigą prie jūsų balso pašto, pabandyti prisijungti prie tinklalapių 3 val., O tada pasiimti patvirtinimo kodus iš savo balso pašto dėžutės. Ar saugu yra jūsų telefono kompanijos balso pašto sistema, tiksliai? Kaip saugus jūsų balso pašto PIN kodas - ar net jį nustatėte? Ne visi turi! Ir, jei turite, kiek pastangų užtruks, kad užpuolikas gautų jūsų balso pašto PIN kodą iš naujo, skambindamas savo telefono kompanijai?

Su jūsų telefono numeriu, viskas per

SUSIJĘS: Kaip išvengti Kaip užblokuoti naudojantis dviejų faktorių autentifikavimo funkcija

Jūsų telefono numeris tampa silpna, leidžiantis užpuolėjui pašalinti dviejų žingsnių patvirtinimą iš savo paskyros arba gauti patvirtinimo dvejetainius kodus per SMS arba balso skambučius. Tuo metu, kai suprantate, kad kažkas yra negerai, jie gali turėti prieigą prie tų sąskaitų.

Tai problema praktiškai kiekvienai paslaugai. Interneto paslaugos nenori, kad žmonės prarastų prieigą prie savo paskyrų, todėl paprastai jie leidžia apeiti ir pašalinti tą dviejų veiksnių autentifikavimą su jūsų telefono numeriu. Tai padeda, jei turėtumėte iš naujo nustatyti savo telefoną arba gauti naują, o jūs praradote dviejų faktorių autentifikavimo kodus, bet vis tiek turėsite savo telefono numerį.

Teoriškai ten turėtų būti daug apsaugos . Iš tikrųjų jūs kalbate su klientų aptarnavimo darbuotojais mobiliojo ryšio paslaugų teikėjose. Šios sistemos dažnai yra skirtos efektyvumui, o klientų aptarnavimo darbuotojas gali ignoruoti kai kurias apsaugos priemones, su kuriomis susiduria klientas, kuris, regis, yra piktas, nekantrus ir turi tai, kas atrodo pakankamai informacijos. Jūsų telefono įmonė ir jos klientų aptarnavimo skyrius yra silpna jūsų saugumo nuoroda.

Jūsų telefono numerio apsauga yra sunki. Iš tiesų, mobiliojo ryšio bendrovės turėtų suteikti daugiau garantijų, kad tai būtų mažiau rizikinga. Tikrovėje jūs tikriausiai norite kažką daryti atskirai, o ne laukti, kol didelės korporacijos nustatytų savo klientų aptarnavimo procedūras. Kai kurios paslaugos gali leisti jums išjungti atkūrimą arba iš naujo nustatyti telefono numerius ir įspėti apie tai gausiai - tačiau, jei tai misija kritinė sistema, galbūt norėsite pasirinkti saugesnes atkūrimo procedūras, pvz., Iš naujo nustatyti kodus, kuriuos galite užrakinti banko saugykloje jums kada nors jų reikia.

Kitos atkūrimo procedūros

SUSIJĘS: Saugumo klausimai yra nesaugūs: kaip apsaugoti savo sąskaitas

Taip pat yra ne tik jūsų telefono numeris. Daugelis paslaugų leidžia jums pašalinti tą dvifazį autentifikavimą kitais būdais, jei teigiate, kad praradote kodą ir turite prisijungti. Jei žinote pakankamai asmeninių duomenų apie paskyrą, galite įeiti.

Išbandykite patys - eikite į paslaugą, kurią užtikrinote dviejų veiksnių autentifikavimu, ir apsimestumėte, kad praradote kodą. Sužinokite, ko reikia, kad įeitumėte. Galbūt turėsite pateikti asmeninę informaciją arba atsakyti į nesaugius "saugumo klausimus" blogiausiu atveju. Tai priklauso nuo to, kaip sukonfigūruota paslauga. Galite jį iš naujo nustatyti atsiųsdami nuorodą į kitą el. Pašto paskyrą, tokiu atveju ši el. Pašto paskyra gali tapti silpna. Idealioje situacijoje jums gali prireikti prieigos prie telefono numerio arba atkūrimo kodų, o, kaip jau matėme, telefono numerio dalis yra silpna.

Čia dar kažkas baisi: tai ne tik apeiti dvipusį " žingsnis patvirtinimas. Užpuolikas gali išbandyti panašius triukus, kad visiškai išvengtų jūsų slaptažodžio. Tai gali būti naudinga, nes interneto paslaugos nori užtikrinti, kad žmonės galėtų susigrąžinti prieigą prie savo paskyros, net jei jie praranda savo slaptažodžius.

Pvz., Pažvelkite į "Google" paskyros atkūrimo sistemą. Tai paskutinis kanalas, skirtas susigrąžinti paskyrą. Jei teigiate, kad nežinote jokių slaptažodžių, galų gale jūsų paprašys informacijos apie jūsų paskyrą, pvz., Kai ją sukūrėte ir kam dažnai atsiųsite el. Laišką. Užpuolikas, kuris pakankamai žino apie jus, teoriškai galėtų naudoti slaptažodžio nustatymo procedūras, pvz., Kad galėtumėte pasiekti jūsų paskyras.

Mes niekada negirdėjome, kad "Google" paskyros atkūrimo procesas yra piktnaudžiaujamas, tačiau "Google" nėra vienintelė bendrovė, turinti tokius įrankius kaip tai. Ne visi gali būti visiškai netikri, ypač jei užpuolikas pakankamai žino apie jus.


Nesvarbu, kokios problemos, sąranka su patvirtinimu dviem veiksmais visada bus saugesnė nei ta pati sąskaita be dviem veiksmais atliktos patikros. Tačiau dviejų veiksnių autentifikavimas nėra sidabro kulka, kaip matėme atakų, kurie piktnaudžiauja didžiausia silpna nuoroda: jūsų telefono kompanija.


Kaip keisti Dropbox aplanko vietą

Kaip keisti Dropbox aplanko vietą

Pagal numatytuosius nustatymus jūsų Dropbox aplankas saugomas jūsų Vartotojai aplanke C: Users (arba jūsų "Home" aplanke OS X ir Linux). Tačiau jei norite jį perkelti kur nors kitur, procesas yra gana paprastas. Kodėl jūs norite perkelti savo "Dropbox" aplanką pirmiausia? Tai tikrai priklauso nuo jūsų sąrankos.

(how-to)

Kodėl (ir kada) jūs turite pakeisti savo viršįtampių apsaugą

Kodėl (ir kada) jūs turite pakeisti savo viršįtampių apsaugą

Viršių apsaugai nėra panašūs į deimantus. Jie turi tam tikrą gyvenimo trukmę. Tam tikru momentu jūsų viršįtampių apsauga nustos apsaugoti jūsų įrankį nuo elektros krūvio ir taps silpna elektros srovės juosta. Sunku tiksliai nustatyti, kada bangų apsaugos priemonė praranda tuos apsauginius galingumus ir tiesiog veikia kaip maitinimo juosta.

(how-to)