Lisävalidointi on aina hyödyllistä. Vaikka mikään ei tarjoa täydellistä turvallisuutta, jota me kaikki haluamme, kahden tekijän todennus lisää esteitä hyökkääjille, jotka haluavat sinun tavaraa.
Puhelinyhtiö on heikko linkki
Useiden sivustojen kaksivaiheiset todennustrendit toimivat lähettämällä viestin puhelimeesi tekstiviestillä, kun joku yrittää kirjautua sisään. Vaikka käytät puhelimesi omalla sovelluksella koodien luomiseen, on olemassa hyvät mahdollisuudet valita valintasi palvelu anna ihmisten kirjautua sisään lähettämällä tekstiviestikoodin puhelimeesi. Tai palvelu saattaa sallia, että poistat kaksitasoisen todennustosuojauksen tililtäsi, kun olet vahvistanut, että sinulla on käyttöoikeus puhelinnumeroon, jonka olet määrittänyt takaisinottopuhelinnumeroksi.
Kaikki tämä kuulostaa hyvältä. Sinulla on matkapuhelin, ja siinä on puhelinnumero. Siinä on fyysinen SIM-kortti, joka sitoo sen puhelinnumeroon matkapuhelinoperaattorilla. Kaikki tuntuu hyvin fyysiseltä. Valitettavasti puhelinnumerosi ei ole niin turvallinen kuin luulet.
Jos olet joskus joutunut siirtämään olemassa olevan puhelinnumeron uuteen SIM-korttiin puhelun menettämisen tai uuden puhelun saamisen jälkeen, tiedät, mitä voit tehdä usein puhelimella - tai ehkä jopa verkossa. Kaikki hyökkääjän täytyy tehdä soittamalla matkapuhelinyrityksen asiakaspalveluosastolle ja teeskentelemällä olevansa sinä. Heidän on tiedettävä, mikä puhelinnumerosi on ja tietää joitain henkilökohtaisia tietoja sinusta. Nämä ovat erilaisia yksityiskohtia - esimerkiksi luottokortin numeroa, SSN: n neljää viimeistä numeroa ja muita - jotka vuotavat säännöllisesti suurissa tietokannoissa ja joita käytetään henkilöllisyyden varastamiseen. Hyökkääjä voi yrittää saada puhelinnumerosi siirtymään puhelimeen.
On vieläkin helpompi tapoja. Tai he esimerkiksi saavat puhelunvälityksen, joka on asetettu puhelimen yrityksen päähän, jotta saapuvat äänipuhelut siirretään puhelimeensa eivätkä pääse sinun.
Heck, hyökkääjä ei välttämättä tarvitse koko puhelinnumerosi. He voivat käyttää puhepostiasi, yrittää kirjautua verkkosivustoihin klo 3 ja tarttua vahvistuskoodeihin vastaajapalvelusta. Kuinka turvallinen on puhelinyhtiön vastaajaviestijärjestelmä, tarkalleen? Kuinka turvallinen on puhepostin PIN-koodi - oletko edes määrittänyt yhden? Kaikki eivät ole! Ja jos sinulla on, kuinka paljon vaivaa, jotta hyökkääjä voisi saada puhepostin PIN-koodin nollauksen soittamalla puhelinyhtiölle?
Puhelinnumerosi on koko ajan
Puhelinnumerosi on heikko linkki, jolloin hyökkääjä voi poistaa kaksivaiheisen vahvistuksen tilistäsi tai vastaanottaa kaksivaiheisia vahvistuskoodeja tekstiviestillä tai äänipuheluilla. Aikana, kun huomaat jotain vääristä, hänellä on pääsy näihin tileihin.
Tämä on ongelma lähes kaikille palveluille. Verkkopalvelut eivät halua, että ihmiset menettävät käyttöoikeudet tileihinsä, joten he yleensä sallivat sinun ohittaa ja poistaa kaksitasoisen todennuksen puhelinnumerosi kanssa. Tämä auttaa, jos sinun on nollattava puhelimesi tai hankittava uusi, ja olet menettänyt kaksitieteiset tunnistuskoodit - mutta sinulla on edelleen puhelinnumerosi.
Teoriassa on täällä paljon suojelua. Todellisuudessa olet tekemisissä asiakaspalvelun kanssa matkapuhelinpalvelujen tarjoajien kanssa. Nämä järjestelmät perustuvat usein tehokkuuteen, ja asiakaspalvelutyöntekijä voi jättää huomiotta joitain suojatoimenpiteitä, jotka kohdistuvat asiakkaalta, joka on vihainen, kärsimätön ja jolla on tarpeeksi tietoa. Puhelinyritys ja sen asiakaspalveluosasto ovat heikko linkki tietoturvaasi.
Puhelinnumerosi suojaaminen on vaikeaa. Realistisesti matkapuhelinyhtiöiden pitäisi tarjota enemmän suojatoimia, jotta tämä olisi vähemmän riskialtista. Todellisuudessa sinä luultavasti haluat tehdä jotain itsellesi, eikä odottaa suuryrityksiä korjaamaan asiakaspalvelumenetelmää. Jotkin palvelut saattavat sallia palautuksen tai palauttaa puhelinnumerosi ja varoittaa sitä voimakkaasti - mutta jos se on kriittinen järjestelmä, voit halutessasi valita turvallisempia nollausproseduureja, kuten nollakoodeja, jotka voit lukita pankkisahassa, jos tarvitset niitä.
Muut nollausmenettelyt
Se ei ole vain puhelinnumerosi. Monien palveluiden avulla voit poistaa tämän kaksitekijäisen todennuksen muilla tavoilla, jos olet vaatinut, että olet kadottanut koodin ja kirjaudut sisään. Niin kauan kuin tunnet tilistäsi tarpeeksi henkilökohtaisia tietoja, saatat päästä sisään.
Kokeile itseäsi - siirry palveluun, jonka olet varmistanut kaksitasoisella todennuksella ja näytä, että olet menettänyt koodin. Katso, mitä se vaatii. Sinun on ehkä annettava henkilökohtaisia tietoja tai vastattava epävarmoissa "turvallisuuskysymyksissä" pahimmassa tapauksessa. Se riippuu siitä, miten palvelu on määritetty. Voit ehkä nollata sen lähettämällä linkin toiseen sähköposti-tiliin, jolloin kyseinen sähköpostiosoite voi olla heikko linkki. Ihanteellisessa tilanteessa saatat tarvita vain puhelinnumeroa tai palautuskoodeja - ja kuten olemme nähneet, puhelinnumeroosa on heikko linkki.
Tässä on jotain muuta pelottavaa: ei ole kyse vain kaksivaiheisen vahvistuksen ohittamisesta.Hyökkääjä voi kokeilla samankaltaisia temppuja ohittamalla salasanasi kokonaan. Tämä voi toimia, koska verkkopalvelut haluavat varmistaa, että ihmiset voivat palauttaa tilinsa, vaikka he menettäisivät salasanansa.
Tutustu esimerkiksi Google-tilien palautusjärjestelmään. Tämä on viimeinen ovela-asetus tilin palauttamiseksi. Jos väität, ettet tiedä mitään salasanoja, saat lopulta tietoja tilistäsi, kuten luodessasi ja keneltä lähetät usein sähköpostia. Hyökkääjä, joka tuntee sinusta tarpeeksi, voi teoriassa käyttää näiden salasanojen palautusmenettelyjä, jotta pääset käsiksi tileihisi.
Emme ole koskaan kuullut, että Googlen tilien palautusprosessi on väärin, mutta Google ei ole ainoa yritys, jolla on tällaisia työkaluja. Kaikki eivät välttämättä ole täysin luotettavia, varsinkin jos hyökkääjä tietää tarpeeksi sinusta.
Riippumatta ongelmista, tili, jossa kaksivaiheinen vahvistus on luotu, on aina turvallisempi kuin sama tili ilman kaksivaiheista vahvistusta. Mutta kahden tekijän todennus ei ole hopea luoti, kuten olemme nähneet hyökkäyksillä, jotka käyttävät väärin suurinta heikkoa linkkiä: puhelinyhtiö.
