Допълнителното удостоверяване винаги е полезно. Въпреки че нищо не предлага тази перфектна сигурност, която всички искаме, използването на двуфакторна автентификация поставя повече препятствия пред атакуващите, които искат вашите неща.
Компанията ви за телефон е слаба връзка
Системите за удостоверяване в две стъпки на много уеб сайтове работят чрез изпращане на съобщение до телефона ви чрез SMS, когато някой се опита да влезе в профила. Дори да използвате отделно приложение на телефона си, за да генерирате кодове, има голям шанс, нека хората да влязат, като изпратят SMS код на вашия телефон. Или, услугата може да ви позволи да премахнете защитата от двуфакторна удостоверяване от профила си, след като потвърдите, че имате достъп до телефонен номер, който сте конфигурирали като телефонен номер за възстановяване.
Това звучи добре. Имате мобилния си телефон и има телефонен номер. Тя има физическа СИМ-карта вътре в нея, която я свързва с този телефонен номер с вашия мобилен оператор. Всичко изглежда много физическо. Но за съжаление телефонният ви номер не е толкова сигурен, колкото си мислите.
Ако някога сте имали нужда да преместите съществуващ телефонен номер на нова СИМ-карта след загубата на телефона си или просто да получите нов, ще знаете какво често можете да направите изцяло по телефона - или дори онлайн. Всички, които нападателят трябва да направите, е да се свържете с отдела за обслужване на клиенти на мобилната си компания и да се преструвате, че сте вие. Те ще трябва да знаят какъв е телефонният ви номер и да знаят някои лични данни за вас. Това са видовете подробности - например номер на кредитна карта, последните четири цифри на SSN и други - които редовно изтичат в големи бази данни и се използват за кражба на самоличност. Нападателят може да се опита да накара телефонния ви номер да се премести на телефона си.
Има още по-лесни начини. Или Например, те могат да получат пренасочване на повиквания, създадено в края на телефонната компания, така че входящите гласови повиквания да бъдат препращани към техния телефон и да не достигат до вашите.
Хек, нападателят може да не се нуждае от достъп до пълния ви телефонен номер. Те могат да получат достъп до гласовата ви поща, да се опитат да влязат в уебсайтовете в 3 часа сутринта, след което да вземат кодовете за потвърждение от вашата гласова пощенска кутия. Колко сигурна е вашата система за гласова поща на телефонната компания? Колко сигурна е вашата ПИН за гласова поща - дори ли сте задали такъв? Не всеки има! И ако имате, колко усилия ще е необходимо на нападателя да възстанови вашия ПИН за гласова поща, като се обади на вашата телефонна компания?
С Вашия телефонен номер всичко свърши
Вашият телефонен номер става слабата връзка, позволяваща на хакера ви да премахне потвърждаването в две стъпки от профила ви или да получи кодове за потвърждаване в две стъпки чрез SMS или гласови повиквания. Докато осъзнаете, че нещо не е наред, те могат да имат достъп до тези сметки.
Това е проблем за практически всяка услуга. Онлайн услугите не искат хората да губят достъп до своите акаунти, така че те обикновено ви позволяват да заобиколите и премахнете това двуфакторно удостоверяване с вашия телефонен номер. Това ви помага, ако трябва да нулирате телефона си или да получите нов, а вие сте загубили кодовете за удостоверяване с две фактори - но все още имате своя телефонен номер.
Теоретично трябва да има голяма защита тук. В действителност, вие се занимавате с обслужването на хора в доставчиците на клетъчни услуги. Тези системи често се създават за ефективност и служител на обслужването на клиентите може да пренебрегне някои от предпазните мерки, с които се сблъсква клиент, който изглежда ядосан, нетърпелив и има достатъчно информация. Телефонната ви компания и отделът за обслужване на клиенти са слаба връзка в сигурността ви.
Защитата на телефонния ви номер е трудна. Реално, компаниите за клетъчни телефони трябва да предоставят повече предпазни мерки, за да направят това по-малко рисковано. В действителност, вероятно искате да направите нещо по своему, вместо да чакате големите корпорации да определят своите процедури за обслужване на клиенти. Някои услуги могат да ви позволят да деактивирате възстановяването или да рестартирате чрез телефонни номера и да предупредите против него обилно - но ако това е критична за мисията система, може да искате да изберете по-сигурни процедури за нулиране като нулиране на кодове, имате нужда от тях.
Други процедури за нулиране
Не става въпрос само за телефонния ви номер. Много услуги ви позволяват да премахнете тази двуфакторна идентификация по други начини, ако твърдите, че сте изгубили кода и трябва да влезете. Докато знаете достатъчно лични данни за профила, може да сте в състояние да влезете.
Опитайте сами - отидете на услугата, която сте си осигурили с двуфакторна идентификация и се преструвайте, че сте загубили кода. Вижте какво е необходимо, за да влезете. Може да се наложи да предоставите лични данни или да отговорите на несигурни "въпроси за сигурността" в най-лошия сценарий. Това зависи от това как се конфигурира услугата. Възможно е да го възстановите, като изпратите по имейл връзка към друг имейл адрес, в който случай този имейл акаунт може да стане слаба връзка. В идеалната ситуация може да се наложи да имате достъп до телефонен номер или кодове за възстановяване - и, както видяхме, частта от телефонния номер е слаба връзка.
Ето още нещо страшно: Не става въпрос само за заобикаляне на потвърждаването в две стъпки.Нападателят може да изпробва подобни трикове, за да заобиколи напълно паролата ви. Това може да се случи, защото онлайн услугите искат да гарантират, че хората могат да си възвърнат достъпа до своите профили, дори ако загубят своите пароли.
Например, разгледайте системата за възстановяване на профили в Google. Това е последната опция за възстановяване на профила ви. Ако твърдите, че не знаете никакви пароли, в крайна сметка ще бъдете попитани за информация за профила си, както когато сте го създали и с кого често изпращате имейли. Нападателят, който знае достатъчно за теб, би могъл теоретично да използва процедури за повторно задаване на пароли, като тези, за да получи достъп до профилите ви.
Никога не сме чували, че процесът на възстановяване на профила в Google се злоупотребява, но Google не е единствената компания с инструменти като тази. Те не могат да бъдат напълно безумни, особено ако нападателят знае достатъчно за вас.
Независимо от проблемите, профилът с настройка за потвърждаване в две стъпки винаги ще бъде по-сигурен от същия профил без потвърждаване в две стъпки. Но двуфакторното удостоверяване не е сребърен куршум, както видяхме с атаки, които злоупотребяват с най-голямата слаба връзка: вашата телефонна компания.