Дополнительная аутентификация всегда полезна. Хотя ничто не предлагает идеальную безопасность, которую мы все хотим, использование двухфакторной аутентификации ставит больше препятствий для злоумышленников, которые хотят ваши вещи.
Ваша телефонная компания - это слабое соединение
Двухэтапные системы аутентификации на многих веб-сайтах работают, отправляя сообщение на ваш телефон через SMS, когда кто-то пытается войти в систему. Даже если вы используете специальное приложение на своем телефоне для генерации кодов, у вас есть хорошие шансы на предоставление услуг по выбору пусть люди регистрируются, отправив SMS-код на свой телефон. Или служба может позволить вам удалить двухфакторную проверку подлинности из вашей учетной записи после подтверждения того, что у вас есть доступ к номеру телефона, который вы настроили в качестве номера телефона восстановления.
Все это звучит прекрасно. У вас есть мобильный телефон, и у него есть номер телефона. В нем есть физическая SIM-карта, которая связывает его с этим номером телефона с вашим поставщиком сотового телефона. Все это кажется очень физическим. Но, к сожалению, ваш номер телефона не так безопасен, как вы думаете.
Если вам когда-либо понадобилось переместить существующий номер телефона на новую SIM-карту после потери телефона или просто получения нового, вы узнаете, что вы можете часто делать это по телефону - или, возможно, даже в Интернете. Все, что нужно злоумышленнику, это позвонить в отдел обслуживания клиентов вашей сотовой телефонной компании и притвориться вам. Им нужно знать, что такое ваш номер телефона, и узнать некоторые личные данные о вас. Это виды деталей - например, номер кредитной карты, последние четыре цифры SSN и другие, которые регулярно протекают в больших базах данных и используются для кражи личных данных. Злоумышленник может попытаться перевести ваш номер телефона на свой телефон.
Есть еще более простые способы. Или, например, они могут получить переадресацию вызовов, настроенную на конец телефонной компании, чтобы входящие голосовые вызовы были перенаправлены на их телефон и не дошли до вашего телефона.
Heck, злоумышленнику может не потребоваться доступ к вашему полному номеру телефона. Они могут получить доступ к вашей голосовой почте, попытаться войти на веб-сайты в 3 часа утра, а затем взять коды подтверждения из своего автоответчика. Насколько безопасна ваша система голосовой почты вашей телефонной компании? Насколько безопасен ваш PIN-код вашей голосовой почты - вы даже установили его? Не у всех есть! И, если у вас есть, сколько усилий потребуется для того, чтобы злоумышленник получил сброс PIN-кода вашей голосовой почты, позвонив в вашу телефонную компанию?
С вашим номером телефона, все в порядке
Ваш номер телефона становится слабым звеном, позволяющим злоумышленнику удалять двухэтапную аутентификацию из вашей учетной записи - или получать двухэтапные коды подтверждения - посредством SMS или голосовых вызовов. К тому времени, когда вы поймете, что что-то не так, они могут иметь доступ к этим учетным записям.
Это проблема практически для каждой службы. Онлайновые службы не хотят, чтобы люди теряли доступ к своим учетным записям, поэтому они обычно позволяют обойти и удалить эту двухфакторную аутентификацию с вашим номером телефона. Это помогает, если вам пришлось перезагрузить телефон или получить новый, и вы потеряли двухфакторные коды аутентификации, но у вас все еще есть свой номер телефона.
Теоретически, здесь должна быть много защиты. В действительности, вы имеете дело с людьми, обслуживающими клиентов, сотовой связи. Эти системы часто устанавливаются для повышения эффективности, а сотрудник службы поддержки клиентов может упускать из виду некоторые из гарантий, с которыми сталкивается клиент, который выглядит сердитым, нетерпеливым и имеет то, что кажется достаточной информацией. Ваша телефонная компания и ее отдел обслуживания клиентов являются слабым звеном в вашей безопасности.
Защита номера телефона затруднена. Реально компании сотовой связи должны предоставлять больше гарантий, чтобы сделать это менее рискованным. На самом деле вы, вероятно, хотите что-то сделать самостоятельно, вместо того чтобы ждать, пока крупные корпорации исправит свои процедуры обслуживания клиентов. Некоторые службы могут позволить вам отключить восстановление или сброс с помощью телефонных номеров и предостеречь от него обильно - но если это критически важная система, вы можете выбрать более безопасные процедуры сброса, такие как коды восстановления, которые вы можете заблокировать в банковском хранилище на случай вы когда-либо нуждаетесь в них.
Другие процедуры сброса
Это не только ваш номер телефона. Многие службы позволяют удалить эту двухфакторную аутентификацию другими способами, если вы заявляете, что потеряли код и вам необходимо войти в систему. Пока вы знаете достаточно личных данных об учетной записи, вы можете войти.
Попробуйте сами - перейдите на службу, которую вы обеспечили с помощью двухфакторной аутентификации, и притворитесь, что вы потеряли код. Посмотрите, что нужно, чтобы войти. Возможно, вам придется предоставить личные данные или ответить на небезопасные «вопросы безопасности» в худшем случае. Это зависит от того, как настроена служба. Вы можете восстановить его, отправив ссылку на другую учетную запись электронной почты, и в этом случае эта учетная запись электронной почты может стать слабой ссылкой. В идеальной ситуации вам может потребоваться доступ к номеру телефона или кодам восстановления - и, как мы видели, часть номера телефона является слабым звеном.
Вот что-то еще страшное: это не просто обход двухэтапной проверки.Злоумышленник может попробовать подобные трюки, чтобы полностью обойти ваш пароль. Это может работать, потому что онлайн-службы хотят, чтобы люди могли восстановить доступ к своим учетным записям, даже если они потеряли свои пароли.
Например, посмотрите систему восстановления аккаунта Google. Это последний способ восстановления вашей учетной записи. Если вы заявляете, что не знаете каких-либо паролей, вам в конечном итоге будет предложено получить информацию о вашей учетной записи, например, когда вы ее создали и кто вы часто отправляете по электронной почте. Злоумышленник, который достаточно знает о вас, теоретически может использовать процедуры сброса пароля, подобные этим, чтобы получить доступ к вашим учетным записям.
Мы никогда не слышали о том, что процесс восстановления аккаунта Google подвергается насилию, но Google не единственная компания с такими инструментами. Они не могут быть полностью надежными, особенно если злоумышленник знает о вас достаточно.
Независимо от проблем, учетная запись с двухэтапной аутентификацией всегда будет более безопасной, чем та же учетная запись, без двухэтапной проверки. Но двухфакторная аутентификация - это не серебряная пуля, как мы видели при атаках, которые злоупотребляют самым слабым звеном: вашей телефонной компанией.