Twee-factor-authenticatiesystemen zijn niet zo onfeilbaar als ze lijken. Een aanvaller heeft uw fysieke-authenticatietoken niet nodig als ze uw telefoonmaatschappij of de beveiligde service zelf kunnen misleiden om ze binnen te laten.

Aanvullende authenticatie is altijd nuttig. Hoewel niets die perfecte beveiliging biedt die we allemaal willen, biedt het gebruik van tweefactorauthenticatie meer obstakels voor aanvallers die je dingen willen.

Je telefoonbedrijf is een zwakke link

GERELATEERD: Jezelf beveiligen door twee te gebruiken Stapverificatie op deze 16 webservices

De tweestapsverificatiesystemen op veel websites werken door een sms-bericht naar uw telefoon te sturen wanneer iemand zich probeert aan te melden. Zelfs als u een speciale app op uw telefoon gebruikt om codes te genereren, er is een goede kans dat uw service naar keuze biedt om mensen te laten inloggen door een sms-code naar uw telefoon te verzenden. Of de service kan u toestaan ​​de authenticatiebeveiliging voor twee factoren uit uw account te verwijderen nadat u hebt bevestigd dat u toegang heeft tot een telefoonnummer dat u hebt geconfigureerd als hersteltelefoonnummer.

Dit klinkt allemaal goed. U heeft uw mobiele telefoon en deze heeft een telefoonnummer. Het heeft een fysieke SIM-kaart erin die het met dat telefoonnummer verbindt met uw mobiele telefoonprovider. Het lijkt allemaal heel fysiek. Maar helaas is uw telefoonnummer niet zo veilig als u denkt.

Als u ooit een bestaand telefoonnummer naar een nieuwe SIM-kaart moet verplaatsen nadat u uw telefoon bent kwijtgeraakt of een nieuwe hebt gekregen, kunt u weet wat je vaak kunt doen, geheel telefonisch - of misschien zelfs online. Het enige wat een aanvaller hoeft te doen is de klantenservice van uw mobiele telefoonbedrijf bellen en zich voordoen als u. Ze moeten weten wat uw telefoonnummer is en weten wat persoonlijke gegevens over u zijn. Dit zijn de soorten details - bijvoorbeeld creditcardnummers, laatste vier cijfers van een SSN en andere - die regelmatig lekken in grote databases en worden gebruikt voor identiteitsdiefstal. De aanvaller kan proberen je telefoonnummer naar de telefoon te verplaatsen.

Er zijn nog eenvoudigere manieren. Of, bijvoorbeeld, ze kunnen oproepdoorschakeling instellen aan de kant van de telefoonmaatschappij, zodat inkomende spraakoproepen worden doorgestuurd naar hun telefoon en de uwe niet bereiken.

Heck, een aanvaller heeft mogelijk geen toegang nodig tot uw volledige telefoonnummer . Ze kunnen toegang krijgen tot uw voicemail, proberen om 3 uur 's ochtends in te loggen bij websites en vervolgens de verificatiecodes uit uw voicemailbox halen. Hoe veilig is het voicemailsysteem van uw telefoonbedrijf precies? Hoe veilig is uw voicemail-PIN - heeft u er zelfs een ingesteld? Niet iedereen heeft dat gedaan! En hoeveel moeite kost het als een aanvaller uw voicemail-pincode opnieuw instelt door uw telefoonmaatschappij te bellen?

Met uw telefoonnummer, alles is in gebruik

VERWANTAARD: Hoe te vermijden Vergrendeld raken bij gebruik van twee-factorenauthenticatie

Uw telefoonnummer wordt de zwakke link, waardoor uw aanvaller in twee stappen verificatie uit uw account kan verwijderen - of tweestapsverificatiecodes kan ontvangen - via sms of spraakoproepen. Tegen de tijd dat u zich realiseert dat er iets mis is, kunnen zij toegang hebben tot die accounts.

Dit is een probleem voor vrijwel elke service. Online services willen niet dat mensen de toegang tot hun accounts verliezen, zodat ze u over het algemeen toestaan ​​om die twee-factor-authenticatie te omzeilen en te verwijderen met uw telefoonnummer. Dit helpt als je je telefoon opnieuw moet instellen of een nieuwe hebt en je hebt je authenticatiecodes voor twee factoren verloren - maar je hebt nog steeds je telefoonnummer.

In theorie zou hier veel bescherming moeten zijn . In werkelijkheid heb je te maken met de klantenservice bij mobiele serviceproviders. Deze systemen zijn vaak ingesteld op efficiëntie en een medewerker van de klantenservice kan sommige waarborgen negeren die worden geconfronteerd met een klant die boos, ongeduldig lijkt en voldoende informatie heeft. Uw telefoonbedrijf en de klantenservice zijn een zwakke schakel in uw beveiliging.

Het beveiligen van uw telefoonnummer is moeilijk. Realistisch gezien zouden mobiele telefoonbedrijven meer voorzorgsmaatregelen moeten nemen om dit minder riskant te maken. In werkelijkheid wil je waarschijnlijk iets alleen doen in plaats van te wachten tot grote bedrijven hun klantenserviceprocedures repareren. Sommige services kunnen u toestaan ​​herstel of reset via telefoonnummers uit te schakelen en hiertegen te waarschuwen - maar als het een bedrijfskritisch systeem is, wilt u misschien meer veilige resetprocedures kiezen, zoals resetcodes, u kunt een bankkluis vergrendelen voor het geval u je hebt ze ooit nodig.

Andere resetprocedures

GERELATEERD: Beveiligingsvragen zijn onveilig: hoe u uw accounts kunt beschermen

Het gaat niet alleen om uw telefoonnummer. Met veel services kunt u die tweefactorauthenticatie op andere manieren verwijderen als u beweert dat u de code bent kwijtgeraakt en moet inloggen. Zolang u voldoende persoonlijke gegevens over het account weet, kunt u mogelijk instappen.

Probeer het zelf - ga naar de service die u hebt beveiligd met tweefactorauthenticatie en doe alsof u de code bent kwijtgeraakt. Kijk wat er nodig is om erin te komen. Mogelijk moet u in het slechtste geval persoonlijke gegevens opgeven of onveilige 'beveiligingsvragen' beantwoorden. Dit hangt af van hoe de service is geconfigureerd. U kunt het mogelijk opnieuw instellen door een link naar een ander e-mailaccount te e-mailen. In dat geval kan dat e-mailaccount een zwakke link worden. In een ideale situatie hebt u mogelijk alleen toegang nodig tot een telefoonnummer of herstelcodes - en zoals we hebben gezien, is het onderdeel telefoonnummer een zwakke schakel.

Nog iets vreemds: het gaat niet alleen om het omzeilen van twee- stap verificatie. Een aanvaller kan soortgelijke trucs uitproberen om uw wachtwoord volledig te omzeilen. Dit kan werken omdat online services ervoor willen zorgen dat mensen weer toegang tot hun accounts kunnen krijgen, zelfs als ze hun wachtwoord kwijtraken.

Bekijk bijvoorbeeld het Google-accountherstelsysteem. Dit is een laatste optie voor het herstellen van uw account. Als u beweert geen wachtwoorden te kennen, wordt u uiteindelijk om informatie over uw account gevraagd, zoals wanneer u het heeft gemaakt en wie u vaak e-mailt. Een aanvaller die genoeg van u weet, zou in theorie dergelijke procedures voor wachtwoordherstel kunnen gebruiken om toegang te krijgen tot uw accounts.

We hebben nog nooit gehoord dat het Google-accountherstelproces wordt misbruikt, maar Google is niet het enige bedrijf met tools zoals deze. Ze kunnen niet allemaal volledig onfeilbaar zijn, vooral als een aanvaller genoeg van je weet.

Wat de problemen ook zijn, een account met tweestapsverificatie is altijd veiliger dan hetzelfde account zonder tweestapsverificatie. Maar tweefactorauthenticatie is geen wondermiddel, zoals we hebben gezien bij aanvallen die de grootste zwakke schakel misbruiken: uw telefoonbedrijf.

Hoe u een Windows-computer op afstand kunt afsluiten of opnieuw kunt opstarten

In dit artikel wordt uitgelegd hoe u de Remote Shutdown-opdracht in Windows gebruikt om op afstand een lokale of netwerkcomputer op afstand uit te schakelen of opnieuw te starten. Dit kan soms handig zijn als u thuis of op uw netwerk meerdere computers heeft die u snel wilt afsluiten of herstarten.U kunt zelfs op afstand een computer via internet afsluiten, maar u moet eerst VPN in het netwerk of in de doelcomputer die u wilt afsluiten

(How-to)

Verbind uw Home Router met een VPN om censuur, filtering en meer

Of u nu toegang wilt tot videodiensten die niet beschikbaar zijn in uw land, ontvang betere prijzen voor software of denk alleen maar Internet ziet er mooier uit als het wordt bekeken via een beveiligde tunnel, een VPN-verbinding op routerniveau kan al die problemen oplossen en dan sommige. Wat is een VPN en waarom zou ik dit willen doen?

(how-to)