Dodatna autentifikacija uvijek je korisna. Iako ništa ne nudi savršenu sigurnost koju svi želimo, upotreba autentifikacije s dva faktora povećava prepreke za napadače koji žele vaše stvari.
Tvrtka vašeg telefona je slaba veza
Sustavi za provjeru autentičnosti u dva koraka na mnogim web-lokacijama funkcioniraju tako da slanje poruke na telefon putem SMS-a kada netko pokuša prijaviti. Čak i ako koristite namjensku aplikaciju na telefonu za generiranje kodova, postoji dobra šansa da vam usluga nudi izbor neka se ljudi prijave slanjem SMS koda na telefon. Ili, usluga vam može omogućiti uklanjanje zaštite od autentičnosti s dva faktora s vašeg računa nakon što potvrdite da imate pristup telefonskom broju koji ste konfigurirali kao telefonski broj za oporavak.
Sve ovo zvuči dobro. Imate mobitel i ima telefonski broj. U njemu ima fizičku SIM karticu koja ga povezuje s tim davateljem mobitela. Sve izgleda vrlo fizičko. Ali, na žalost, vaš telefonski broj nije siguran kao što mislite.
Ako ste ikada trebali premjestiti postojeći telefonski broj na novu SIM karticu nakon gubitka telefona ili samo dobivanje novog, znat ćete što često možete učiniti u cijelosti preko telefona - ili možda čak i na mreži. Sve što napadač treba učiniti je nazvati službu za korisnike vaše tvrtke mobitela i pretvarati se da ste vi. Morat će znati što je vaš telefonski broj i znati neke osobne podatke o vama. To su vrste detalja - na primjer, broj kreditne kartice, posljednje četiri znamenke SSN-a i druge - koji redovito propuštaju velike baze podataka i koriste se za krađu identiteta. Napadač može pokušati dobiti vaš telefonski broj premješten na svoj telefon.
Postoje još lakši načini. Ili, na primjer, mogu primiti prosljeđivanje poziva postavljeno na kraj telefonskog telefona tako da se dolazni glasovni pozivi prosljeđuju na svoj telefon i ne dođu do vašeg.
Pakao, napadač možda neće trebati pristup cijelom telefonskom broju. Mogli bi pristupiti vašoj govornoj pošti, pokušajte se prijaviti na web stranice u 3:00, a zatim iskoristite kontrolne kodove iz svog spremnika glasovnih poruka. Koliko je točno točno vaša telefonska govornica tvrtke telefona? Koliko je vaš PIN glasovne pošte siguran - jeste li ga i postavili? Nije svatko! I ako imate, koliko bi truda trebalo da se napadač dobije poništavanje PIN-a glasovne pošte pozivajući vašu telefonsku tvrtku?
Sa svojim telefonskim brojem, to je sve više
Vaš telefonski broj postaje slaba veza, omogućujući vašem napadaču uklanjanje potvrde u dva koraka s vašeg računa - ili primanje kodova za potvrdu u dva koraka - SMS-om ili glasovnim pozivima. Do trenutka kada shvatite da nešto nije u redu, oni mogu imati pristup tim računima.
Ovo je problem za gotovo svaku uslugu. Online usluge ne žele da korisnici izgube pristup svojim računima, tako da obično omogućuju zaobići i ukloniti tu autentikaciju s dva faktora svojim telefonskim brojem. To vam pomaže ako ste morali resetirati telefon ili dobiti novu, a izgubili ste kodove za autentifikaciju s dva faktora - ali i dalje imate svoj telefonski broj.
Teoretski, tu bi trebalo biti puno zaštite. U stvarnosti, imate posla s korisnicima usluga korisnicima mobilnih usluga. Ti su sustavi često postavljeni za učinkovitost, a zaposlenik službe za korisnike može zanemariti neke zaštitne mjere suočene s kupcem koji se čini ljut, nestrpljiv i ima ono što čini dovoljno informacija. Vaša telefonska tvrtka i njegov odjel službe za korisnike slaba su veza u vašoj sigurnosti.
Zaštita telefonskog broja teško je. Realno, mobilne telefonske tvrtke trebale bi osigurati više zaštitnih mjera kako bi to manje riskirale. U stvarnosti, vjerojatno želite nešto učiniti samostalno umjesto da čekate velike korporacije da poprave svoje postupke korisničke službe. Neke usluge mogu vam omogućiti da onemogućite oporavak ili ponovno postavite telefonskim brojevima i opsežno ih upozoravate - no ako je to kritičan sustav, preporučujemo da odaberete sigurnije postupke resetiranja poput kodova za poništavanje kod kojih možete zaključati u trezoru za slučaj ikada im trebaš.
Ostali postupci resetiranja
I ne samo o vašem telefonskom broju. Mnoge usluge omogućuju uklanjanje te autentičnosti s dva faktora na druge načine, ako tvrdiš da ste izgubili kôd i trebate se prijaviti. Sve dok znate dovoljno osobnih podataka o računu, možda ćete se moći prijaviti.
Pokušajte sami - idite na uslugu koju ste osigurali autentifikacijom s dva faktora i pretvarajte se da ste izgubili kôd. Pogledajte što je potrebno za ulazak. Možda ćete morati pružiti osobne podatke ili odgovoriti na nesigurna "sigurnosna pitanja" u najgorem slučaju. Ovisi o tome kako je usluga konfigurirana. Možda ćete je moći vratiti tako što ćete poslati vezu na drugi račun e-pošte, u kojem slučaju taj račun e-pošte može postati slaba veza. U idealnoj situaciji, možda ćete jednostavno trebati pristup telefonskom broju ili kodovima za oporavak - i kao što smo vidjeli, dio telefonskog broja je slaba veza.
Evo još nečeg zastrašujućeg: nije riječ samo o zaobilaženju potvrde u dva koraka.Napadač bi mogao isprobati slične trikove kako bi potpuno zaobišao vašu zaporku. To može raditi jer mrežne usluge žele osigurati da korisnici mogu ponovno pristupiti svojim računima, čak i ako izgube svoje lozinke.
Na primjer, pogledajte Sustav za oporavak Google računa. Ovo je opcija posljednjeg uklanjanja vašeg računa. Ako tvrde da ne znate nikakve zaporke, na kraju ćete se tražiti informacije o svom računu kao kada ste ga izradili i koje često šaljete e-poštom. Napadač koji zna dovoljno o tebi mogao bi teoretski koristiti postupke resetiranja zaporke poput ovih da biste dobili pristup računima.
Nikad nismo čuli da je Googleov proces oporavka računa zloupotrijebljen, ali Google nije jedina tvrtka s ovakvim alatom. Ne mogu svi biti potpuno sigurni, pogotovo ako napadač zna dovoljno o vama.
Bez obzira na probleme, postavljen račun s potvrdom u dva koraka uvijek će biti sigurniji od istog računa bez potvrde u dva koraka. No autentifikacija s dva faktora nije srebrni metak, kao što smo vidjeli s napadima koji zloupotrebu najveće slabe veze: vaša telefonska tvrtka.
