Πορτρέτο ενός τελεστή

Τα συστήματα ελέγχου ταυτότητας δύο παραγόντων δεν είναι τόσο ανθεκτικά όσο φαίνονται. Ένας εισβολέας δεν χρειάζεται πραγματικά το διακριτικό φυσικού ελέγχου ταυτότητας εάν μπορεί να εξαπατήσει την τηλεφωνική σας εταιρεία ή την ίδια την ασφαλή υπηρεσία ώστε να τους αφήσει.

Ο πρόσθετος έλεγχος ταυτότητας είναι πάντα χρήσιμος. Αν και τίποτα δεν προσφέρει την τέλεια ασφάλεια που όλοι θέλουμε, η χρήση ελέγχου ταυτότητας δύο παραγόντων θέτει περισσότερα εμπόδια σε εισβολείς που θέλουν τα προϊόντα σας.

Η εταιρεία τηλεφώνου σας είναι ένας αδύναμος σύνδεσμος

ΣΧΕΤΙΚΟ: Ασφαλίστε τον εαυτό σας χρησιμοποιώντας την επαλήθευση σε δύο βήματα σε αυτές τις 16 υπηρεσίες Web

Τα συστήματα ελέγχου ταυτότητας δύο βημάτων σε πολλούς ιστότοπους λειτουργούν στέλνοντας ένα μήνυμα στο τηλέφωνό σας μέσω SMS όταν κάποιος προσπαθεί να συνδεθεί. Ακόμα κι αν χρησιμοποιείτε μια αποκλειστική εφαρμογή στο τηλέφωνό σας για τη δημιουργία κωδικών, υπάρχει μια καλή πιθανότητα να προσφέρει η υπηρεσία επιλογής σας επιτρέψτε στα άτομα να συνδεθούν στέλνοντας έναν κωδικό SMS στο τηλέφωνό σας. Εναλλακτικά, η υπηρεσία ενδέχεται να σας επιτρέψει να καταργήσετε την προστασία ταυτότητας δύο παραγόντων από τον λογαριασμό σας αφού επιβεβαιώσετε ότι έχετε πρόσβαση σε έναν αριθμό τηλεφώνου που έχετε διαμορφώσει ως αριθμό τηλεφώνου ανάκτησης.

Όλα ακούγονται καλά. Έχετε το κινητό σας και έχει έναν αριθμό τηλεφώνου. Έχει μια φυσική κάρτα SIM μέσα της που τη συνδέει με αυτόν τον αριθμό τηλεφώνου με τον πάροχο κινητού τηλεφώνου σας. Όλα φαίνονται πολύ φυσικά. Δυστυχώς, ο αριθμός τηλεφώνου σας δεν είναι τόσο ασφαλής όσο νομίζετε.

Εάν χρειάστηκε ποτέ να μετακινήσετε έναν υπάρχοντα αριθμό τηλεφώνου σε μια νέα κάρτα SIM αφού χάσετε το τηλέφωνό σας ή μόλις αποκτήσετε έναν νέο, θα γνωρίζετε τι μπορείτε να το κάνετε συχνά εξ ολοκλήρου μέσω τηλεφώνου - ή ίσως ακόμη και στο διαδίκτυο. Το μόνο που πρέπει να κάνει ένας εισβολέας είναι να καλέσει το τμήμα εξυπηρέτησης πελατών της εταιρείας κινητής τηλεφωνίας σας και να προσποιείται ότι είστε εσείς. Θα πρέπει να γνωρίζουν ποιος είναι ο αριθμός τηλεφώνου σας και να γνωρίζουν ορισμένα προσωπικά στοιχεία για εσάς. Αυτά είναι τα είδη των λεπτομερειών - για παράδειγμα, αριθμός πιστωτικής κάρτας, τέσσερα τελευταία ψηφία ενός SSN και άλλα - που διαρρέουν τακτικά σε μεγάλες βάσεις δεδομένων και χρησιμοποιούνται για κλοπή ταυτότητας. Ο εισβολέας μπορεί να προσπαθήσει να μετακινήσει τον αριθμό τηλεφώνου σας στο τηλέφωνό του.

Υπάρχουν ακόμη ευκολότεροι τρόποι. Ή, για παράδειγμα, μπορούν να ρυθμίσουν την προώθηση κλήσεων στο τέλος της τηλεφωνικής εταιρείας, έτσι ώστε οι εισερχόμενες φωνητικές κλήσεις να προωθούνται στο τηλέφωνό τους και να μην φτάνουν στο δικό σας.

Ωχ, ένας εισβολέας μπορεί να μην χρειάζεται πρόσβαση στον πλήρη αριθμό τηλεφώνου σας. Θα μπορούσαν να αποκτήσουν πρόσβαση στο φωνητικό σας ταχυδρομείο, να προσπαθήσουν να συνδεθούν σε ιστότοπους στις 3 π.μ. και, στη συνέχεια, να πάρουν τους κωδικούς επαλήθευσης από το φωνητικό σας ταχυδρομείο. Πόσο ασφαλές είναι το σύστημα φωνητικού ταχυδρομείου της εταιρείας τηλεφώνου σας; Πόσο ασφαλές είναι το PIN του φωνητικού σας ταχυδρομείου - έχετε ακόμη ορίσει ένα; Δεν έχουν όλοι! Και, αν έχετε, πόση προσπάθεια θα χρειαζόταν για έναν εισβολέα να επαναφέρει το PIN του φωνητικού σας ταχυδρομείου καλώντας την εταιρεία τηλεφώνου σας;

Με τον αριθμό τηλεφώνου σας, όλα έχουν τελειώσει

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Πώς να αποφύγετε το κλείδωμα όταν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων

Ο αριθμός τηλεφώνου σας γίνεται ο αδύναμος σύνδεσμος, επιτρέποντας στον εισβολέα σας να καταργήσει την επαλήθευση δύο βημάτων από τον λογαριασμό σας - ή να λάβει κωδικούς επαλήθευσης δύο βημάτων - μέσω SMS ή φωνητικών κλήσεων. Μέχρι να συνειδητοποιήσετε ότι κάτι δεν πάει καλά, μπορούν να έχουν πρόσβαση σε αυτούς τους λογαριασμούς.

Αυτό είναι ένα πρόβλημα για σχεδόν κάθε υπηρεσία. Οι διαδικτυακές υπηρεσίες δεν θέλουν τα άτομα να χάσουν την πρόσβαση στους λογαριασμούς τους, επομένως σας επιτρέπουν γενικά να παρακάμψετε και να καταργήσετε αυτόν τον έλεγχο ταυτότητας δύο παραγόντων με τον αριθμό τηλεφώνου σας. Αυτό βοηθά αν χρειαστεί να επαναφέρετε το τηλέφωνό σας ή να αποκτήσετε νέο και έχετε χάσει τους κωδικούς ελέγχου ταυτότητας δύο παραγόντων - αλλά εξακολουθείτε να έχετε τον αριθμό τηλεφώνου σας.

Θεωρητικά, πρέπει να υπάρχει μεγάλη προστασία εδώ. Στην πραγματικότητα, ασχολείστε με τα άτομα εξυπηρέτησης πελατών σε παρόχους υπηρεσιών κινητής τηλεφωνίας. Αυτά τα συστήματα είναι συχνά ρυθμισμένα για αποδοτικότητα και ένας υπάλληλος εξυπηρέτησης πελατών μπορεί να παραβλέψει ορισμένες από τις διασφαλίσεις που αντιμετωπίζει ένας πελάτης που φαίνεται θυμωμένος, ανυπόμονος και έχει ό, τι φαίνεται σαν αρκετές πληροφορίες. Η τηλεφωνική σας εταιρεία και το τμήμα εξυπηρέτησης πελατών της αποτελούν έναν αδύναμο σύνδεσμο για την ασφάλειά σας.

Η προστασία του αριθμού τηλεφώνου σας είναι δύσκολη. Ρεαλιστικά, οι εταιρείες κινητής τηλεφωνίας θα πρέπει να παρέχουν περισσότερες εγγυήσεις για να το κάνουν λιγότερο επικίνδυνο. Στην πραγματικότητα, πιθανότατα θέλετε να κάνετε κάτι μόνοι σας αντί να περιμένετε μεγάλες εταιρείες να επιδιορθώσουν τις διαδικασίες εξυπηρέτησης πελατών τους. Ορισμένες υπηρεσίες ενδέχεται να σας επιτρέψουν να απενεργοποιήσετε την ανάκτηση ή την επαναφορά μέσω αριθμών τηλεφώνου και να προειδοποιήσετε έντονα γι 'αυτό - αλλά, εάν είναι ένα κρίσιμο σύστημα αποστολής, ίσως θελήσετε να επιλέξετε πιο ασφαλείς διαδικασίες επαναφοράς όπως κωδικούς επαναφοράς που μπορείτε να κλειδώσετε σε ένα θησαυροφυλάκιο τράπεζας σε περίπτωση που τα χρειάζεστε ποτέ.

Άλλες διαδικασίες επαναφοράς

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Οι ερωτήσεις ασφαλείας δεν είναι ασφαλείς: Πώς να προστατέψετε τους λογαριασμούς σας

Δεν πρόκειται μόνο για τον αριθμό τηλεφώνου σας. Πολλές υπηρεσίες σάς επιτρέπουν να καταργήσετε αυτόν τον έλεγχο ταυτότητας δύο παραγόντων με άλλους τρόπους, εάν ισχυρίζεστε ότι έχετε χάσει τον κωδικό και πρέπει να συνδεθείτε. Εφόσον γνωρίζετε αρκετά προσωπικά στοιχεία για τον λογαριασμό, ενδέχεται να μπορείτε να εισέλθετε.

Δοκιμάστε το μόνοι σας - μεταβείτε στην υπηρεσία που έχετε εξασφαλίσει με έλεγχο ταυτότητας δύο παραγόντων και προσποιηθείτε ότι έχετε χάσει τον κωδικό. Δείτε τι χρειάζεται για να μπείτε. Ίσως χρειαστεί να δώσετε προσωπικά στοιχεία ή να απαντήσετε σε ανασφαλείς "ερωτήσεις ασφαλείας" στη χειρότερη περίπτωση. Εξαρτάται από τον τρόπο διαμόρφωσης της υπηρεσίας. Ενδέχεται να μπορείτε να τον επαναφέρετε στέλνοντας ένα σύνδεσμο σε άλλον λογαριασμό email, οπότε αυτός ο λογαριασμός email μπορεί να γίνει ένας αδύναμος σύνδεσμος. Σε μια ιδανική κατάσταση, ίσως χρειαστεί απλώς πρόσβαση σε έναν αριθμό τηλεφώνου ή κωδικούς ανάκτησης - και, όπως έχουμε δει, το τμήμα του αριθμού τηλεφώνου είναι ένας αδύναμος σύνδεσμος.

Εδώ είναι κάτι άλλο τρομακτικό: Δεν πρόκειται μόνο για παράκαμψη της επαλήθευσης σε δύο βήματα. Ένας εισβολέας θα μπορούσε να δοκιμάσει παρόμοια κόλπα για να παρακάμψει εντελώς τον κωδικό πρόσβασής σας. Αυτό μπορεί να λειτουργήσει επειδή οι διαδικτυακές υπηρεσίες θέλουν να διασφαλίσουν ότι οι χρήστες μπορούν να ανακτήσουν την πρόσβαση στους λογαριασμούς τους, ακόμη και αν χάσουν τους κωδικούς πρόσβασης.

Για παράδειγμα, ρίξτε μια ματιά στο σύστημα ανάκτησης λογαριασμού Google. Αυτή είναι μια τελευταία επιλογή για την ανάκτηση του λογαριασμού σας. Εάν ισχυρίζεστε ότι δεν γνωρίζετε κωδικούς πρόσβασης, θα σας ζητηθεί τελικά πληροφορίες για τον λογαριασμό σας, όπως όταν τον δημιουργήσατε και ποιος στέλνετε συχνά email. Ένας εισβολέας που γνωρίζει αρκετά για εσάς θα μπορούσε θεωρητικά να χρησιμοποιήσει διαδικασίες επαναφοράς κωδικού πρόσβασης όπως αυτές για να αποκτήσει πρόσβαση στους λογαριασμούς σας.

Δεν έχουμε ακούσει ποτέ για κατάχρηση της διαδικασίας ανάκτησης λογαριασμού της Google, αλλά η Google δεν είναι η μόνη εταιρεία με τέτοια εργαλεία. Δεν μπορούν όλοι να είναι εντελώς ανόητοι, ειδικά αν ένας εισβολέας γνωρίζει αρκετά για εσάς.

Ανεξάρτητα από τα προβλήματα, ένας λογαριασμός με ρύθμιση επαλήθευσης σε δύο βήματα θα είναι πάντα πιο ασφαλής από τον ίδιο λογαριασμό χωρίς επαλήθευση σε δύο βήματα. Αλλά ο έλεγχος ταυτότητας δύο παραγόντων δεν είναι ασημένιος, όπως έχουμε δει με επιθέσεις που κάνουν κατάχρηση του μεγαλύτερου αδύναμου συνδέσμου: την τηλεφωνική σας εταιρεία.