以下是攻擊者如何繞過雙因素身份驗證
雙因素認證系統並不像看上去那麼簡單。如果攻擊者能夠欺騙您的電話公司或安全服務本身讓他們進入,那麼他們實際上並不需要您的物理身份驗證令牌。
附加身份驗證總是有用的。儘管沒有什麼能提供我們都想要的完美安全性,但使用雙因素身份驗證會給想要你的東西的攻擊者設定更多障礙。
你的電話公司是個薄弱環節
相關:在這16個Web服務上使用兩步驗證來保護自己
許多網站的兩步認證系統的工作原理是,當有人試圖登入時,透過簡訊向你的**傳送資訊。即使您使用**上的專用應用程式生成程式碼,您選擇的服務也很有可能讓人們透過向您的**傳送簡訊程式碼登入。或者,在確認您可以訪問配置為恢復電話號碼的電話號碼後,該服務可能允許您從帳戶中刪除雙因素身份驗證保護。
聽起來不錯。你有你的**,它有一個電話號碼。它裡面有一個物理SIM卡,可以把它和你的**供應商的電話號碼聯絡起來。這一切看起來都很實際。但是,遺憾的是,你的電話號碼沒有你想象的那麼安全。
如果你在丟了**或剛買了一張新的SIM卡後,需要將現有的電話號碼移到新的SIM卡上,你就會知道你通常可以完全透過電話或者甚至線上來做什麼。攻擊者所要做的就是打電話給你的**公司的****部,假裝是你。他們需要知道你的電話號碼,以及你的一些個人資訊。這些都是經常在大型資料庫中洩露並用於身份盜竊的資訊,例如,信用卡號碼、SSN的最後四位數字等。攻擊者可以嘗試將您的電話號碼移動到他們的**上。
還有更簡單的方法。或者,例如,他們可以在電話公司端設定來電轉駁,以便傳入的語音呼叫被轉移到他們的電話,而不會到達您的電話。
見鬼,攻擊者可能不需要訪問您的完整電話號碼。他們可以訪問您的語音郵件,嘗試在凌晨3點登入網站,然後從您的語音郵箱獲取驗證碼。你的電話公司的語音信箱系統到底有多安全?你的語音信箱密碼有多安全-你設定過嗎?不是每個人都有!如果你有,攻擊者需要多少努力才能透過打電話給你的電話公司重置你的語音郵件PIN碼?
用你的電話號碼,一切都結束了
相關:如何避免在使用雙因素身份驗證時被鎖定
您的電話號碼成為薄弱環節,使攻擊者能夠透過簡訊或語音通話從您的帳戶中刪除兩步驗證,或接收兩步驗證碼。當你意識到出了問題時,他們就可以訪問這些賬戶了。
這幾乎是每個服務的問題。線上服務不希望人們無法訪問他們的帳戶,所以他們通常允許你繞過並刪除你的電話號碼的雙重身份驗證。這有助於如果你不得不重置你的**或得到一個新的,你已經失去了你的雙因素身份驗證碼-但你仍然有你的電話號碼。
理論上,這裡應該有很多保護措施。實際上,你是在和**服務提供商的******打交道。這些系統通常是為了提高效率而建立的,而****員工可能會忽視面對那些看起來憤怒、不耐煩、似乎擁有足夠資訊的客戶時所面臨的一些保障措施。你的電話公司和它的****部門是你安全的薄弱環節。
保護你的電話號碼很難。實際上,行動電話公司應該提供更多的保障措施,以降低風險。實際上,你可能想自己做點什麼,而不是等待大公司來修改他們的****程式。有些服務可能允許您透過電話號碼禁用恢復或重置,並對其發出大量警告—但是,如果它是一個任務關鍵型系統,您可能希望選擇更安全的重置過程,如重置程式碼,您可以在需要時鎖定銀行保險庫。
其他復位程式
相關:安全問題是不安全的:如何保護您的帳戶
也不僅僅是你的電話號碼。如果您聲稱丟失了程式碼並需要登入,許多服務允許您以其他方式刪除雙因素身份驗證。只要你對這個賬戶有足夠的個人資訊,你就可以進去。
你自己試試看-去你用雙因素認證保護的服務,假裝你丟失了程式碼。看看要怎麼進去。在最壞的情況下,您可能需要提供個人資訊或回答不安全的“安全問題”。這取決於服務的配置方式。您可以透過向另一個電子郵件帳戶傳送連結來重置它,在這種情況下,該電子郵件帳戶可能會成為一個弱連結。在理想情況下,您可能只需要訪問一個電話號碼或恢復程式碼—而且,正如我們所看到的,電話號碼部分是一個薄弱環節。
還有一件可怕的事:這不僅僅是繞過兩步驗證。攻擊者可以嘗試類似的技巧完全繞過您的密碼。這是可行的,因為線上服務希望確保人們能夠重新訪問他們的帳戶,即使他們丟失了密碼。
例如,看看Google帳戶恢復系統。這是恢復帳戶的最後一個選擇。如果你聲稱不知道任何密碼,你最終會被要求提供有關你的帳戶的資訊,比如你建立它的時間和你經常給誰發電子郵件。一個對你有足夠了解的攻擊者理論上可以使用像這樣的密碼重置過程來訪問你的帳戶。
我們從未聽說過谷歌的賬戶恢復程式被濫用,但谷歌並不是唯一一家擁有此類工具的公司。它們不可能都是萬無一失的,尤其是如果攻擊者對你瞭解得足夠多的話。
無論出現什麼問題,設定兩步驗證的帳戶總是比不設定兩步驗證的同一帳戶更安全。但是雙因素認證並不是萬能的,正如我們在濫用最大薄弱環節的攻擊中所看到的:你的電話公司。
- 發表於 2021-04-10 22:48
- 閱讀 ( 46 )
- 分類:網際網路
你可能感興趣的文章
onelogin駭客很嚴重,它給了我們一個教訓
...商OneLogin於2017年5月31日遭到駭客攻擊。這真是個壞訊息。以下是發生的事情,你應該做的,以及我們可以學到的一些教訓。 ...
遭遇網路釣魚攻擊後該怎麼辦
... 下載受感染的檔案是攻擊者訪問您的檔案和資料的最簡單方法之一。這可能是電子郵件附件或網站連結,您可以在其中下載惡意檔案。 ...
什麼是csrf攻擊?如何防止它們?
...但是,攻擊者可以透過建立新頁面並將上面的表單修改為以下內容來交換您的憑據: ...
如何在raspberry pi上設定雙因素身份驗證
...。 首先,我們需要建立到Pi的兩個連線。兩個命令都採用以下形式: ssh [email protected] 這個Pi的名稱是“看門狗”,但是您將鍵入您的名稱。如果您更改了預設使用者名稱,也可以使用它;我們的使用者名稱是“pi” 請記住,為...
電子郵件轟炸如何利用垃圾郵件隱藏攻擊
...除您的帳戶或電子郵件地址。控制你的電子郵件地址可能是攻擊者真正想要的。放棄你的電子郵件地址給了他們實現這個目標的途徑。 你不能阻止攻擊,但你可以等它結束 最終,你自己也無法阻止攻擊。如果你的電子郵件供應...
人們認為他們的密碼對於雙重身份驗證來說太可怕了。他們錯了。
...通技術的人認為他們的密碼非常棒,不需要額外的保護。以下是Alfred Ng,為CNet撰寫的研究報告: For their research, they purposely sought out tech-savvy students on campus to make sure the result wasn’t affected by people who just didn’t understand what two-factor...
簡訊雙因素認證不是完美的,但你仍然應該使用它
...在追求完美安全的過程中,完美是善的敵人。在Reddit駭客攻擊之後,人們開始批評基於簡訊的雙因素身份驗證,但是使用基於簡訊的雙因素身份驗證仍然比根本不使用雙因素身份驗證要好得多。 超過90%的gmail使用者沒有使用雙...
罪犯可以偷你的電話號碼。下面是如何阻止他們
...利用它進入你的金融賬戶和其他敏感服務。 當然,如果攻擊者已經可以訪問您的其他帳戶(例如,如果他們已經擁有您的網上銀行密碼或訪問您的電子郵件帳戶),這種型別的攻擊是最危險的。但它允許攻擊者繞過基於SMS的安...
wi-fi安全攝像頭有多安全?
...的攝像頭,讓它開啟,讓陌生人偷聽他們最隱私的時刻。以下是如何挑選一款能保證你隱私的相機。 小心ip攝像頭 支援Wi-Fi的安全攝像頭主要有兩種:傳統的IP(或網路)攝像頭和現代的“智慧”攝像頭,如Alphabet的Nest Cam和亞...
用這些決議在2019年鎖定你的技術
...一直拖延。這是可以理解的,但今年你把安全交給自己。以下是您可以在2018年鎖定資料的七項決議。就像經常去健身房一樣,開始鍛鍊可能會很煩人,但是一旦你養成了更好的習慣,你會變得更好。 使用一個奇怪的密碼管理...
