nl.phhsnews.com


nl.phhsnews.com / Hier leest u hoe een aanvaller uw authenticatie met twee factoren omzeilt

Hier leest u hoe een aanvaller uw authenticatie met twee factoren omzeilt


Twee-factor-authenticatiesystemen zijn niet zo onfeilbaar als ze lijken. Een aanvaller heeft uw fysieke-authenticatietoken niet nodig als ze uw telefoonmaatschappij of de beveiligde service zelf kunnen misleiden om ze binnen te laten.

Aanvullende authenticatie is altijd nuttig. Hoewel niets die perfecte beveiliging biedt die we allemaal willen, biedt het gebruik van tweefactorauthenticatie meer obstakels voor aanvallers die je dingen willen.

Je telefoonbedrijf is een zwakke link

GERELATEERD: Jezelf beveiligen door twee te gebruiken Stapverificatie op deze 16 webservices

De tweestapsverificatiesystemen op veel websites werken door een sms-bericht naar uw telefoon te sturen wanneer iemand zich probeert aan te melden. Zelfs als u een speciale app op uw telefoon gebruikt om codes te genereren, er is een goede kans dat uw service naar keuze biedt om mensen te laten inloggen door een sms-code naar uw telefoon te verzenden. Of de service kan u toestaan ​​de authenticatiebeveiliging voor twee factoren uit uw account te verwijderen nadat u hebt bevestigd dat u toegang heeft tot een telefoonnummer dat u hebt geconfigureerd als hersteltelefoonnummer.

Dit klinkt allemaal goed. U heeft uw mobiele telefoon en deze heeft een telefoonnummer. Het heeft een fysieke SIM-kaart erin die het met dat telefoonnummer verbindt met uw mobiele telefoonprovider. Het lijkt allemaal heel fysiek. Maar helaas is uw telefoonnummer niet zo veilig als u denkt.

Als u ooit een bestaand telefoonnummer naar een nieuwe SIM-kaart moet verplaatsen nadat u uw telefoon bent kwijtgeraakt of een nieuwe hebt gekregen, kunt u weet wat je vaak kunt doen, geheel telefonisch - of misschien zelfs online. Het enige wat een aanvaller hoeft te doen is de klantenservice van uw mobiele telefoonbedrijf bellen en zich voordoen als u. Ze moeten weten wat uw telefoonnummer is en weten wat persoonlijke gegevens over u zijn. Dit zijn de soorten details - bijvoorbeeld creditcardnummers, laatste vier cijfers van een SSN en andere - die regelmatig lekken in grote databases en worden gebruikt voor identiteitsdiefstal. De aanvaller kan proberen je telefoonnummer naar de telefoon te verplaatsen.

Er zijn nog eenvoudigere manieren. Of, bijvoorbeeld, ze kunnen oproepdoorschakeling instellen aan de kant van de telefoonmaatschappij, zodat inkomende spraakoproepen worden doorgestuurd naar hun telefoon en de uwe niet bereiken.

Heck, een aanvaller heeft mogelijk geen toegang nodig tot uw volledige telefoonnummer . Ze kunnen toegang krijgen tot uw voicemail, proberen om 3 uur 's ochtends in te loggen bij websites en vervolgens de verificatiecodes uit uw voicemailbox halen. Hoe veilig is het voicemailsysteem van uw telefoonbedrijf precies? Hoe veilig is uw voicemail-PIN - heeft u er zelfs een ingesteld? Niet iedereen heeft dat gedaan! En hoeveel moeite kost het als een aanvaller uw voicemail-pincode opnieuw instelt door uw telefoonmaatschappij te bellen?

Met uw telefoonnummer, alles is in gebruik

VERWANTAARD: Hoe te vermijden Vergrendeld raken bij gebruik van twee-factorenauthenticatie

Uw telefoonnummer wordt de zwakke link, waardoor uw aanvaller in twee stappen verificatie uit uw account kan verwijderen - of tweestapsverificatiecodes kan ontvangen - via sms of spraakoproepen. Tegen de tijd dat u zich realiseert dat er iets mis is, kunnen zij toegang hebben tot die accounts.

Dit is een probleem voor vrijwel elke service. Online services willen niet dat mensen de toegang tot hun accounts verliezen, zodat ze u over het algemeen toestaan ​​om die twee-factor-authenticatie te omzeilen en te verwijderen met uw telefoonnummer. Dit helpt als je je telefoon opnieuw moet instellen of een nieuwe hebt en je hebt je authenticatiecodes voor twee factoren verloren - maar je hebt nog steeds je telefoonnummer.

In theorie zou hier veel bescherming moeten zijn . In werkelijkheid heb je te maken met de klantenservice bij mobiele serviceproviders. Deze systemen zijn vaak ingesteld op efficiëntie en een medewerker van de klantenservice kan sommige waarborgen negeren die worden geconfronteerd met een klant die boos, ongeduldig lijkt en voldoende informatie heeft. Uw telefoonbedrijf en de klantenservice zijn een zwakke schakel in uw beveiliging.

Het beveiligen van uw telefoonnummer is moeilijk. Realistisch gezien zouden mobiele telefoonbedrijven meer voorzorgsmaatregelen moeten nemen om dit minder riskant te maken. In werkelijkheid wil je waarschijnlijk iets alleen doen in plaats van te wachten tot grote bedrijven hun klantenserviceprocedures repareren. Sommige services kunnen u toestaan ​​herstel of reset via telefoonnummers uit te schakelen en hiertegen te waarschuwen - maar als het een bedrijfskritisch systeem is, wilt u misschien meer veilige resetprocedures kiezen, zoals resetcodes, u kunt een bankkluis vergrendelen voor het geval u je hebt ze ooit nodig.

Andere resetprocedures

GERELATEERD: Beveiligingsvragen zijn onveilig: hoe u uw accounts kunt beschermen

Het gaat niet alleen om uw telefoonnummer. Met veel services kunt u die tweefactorauthenticatie op andere manieren verwijderen als u beweert dat u de code bent kwijtgeraakt en moet inloggen. Zolang u voldoende persoonlijke gegevens over het account weet, kunt u mogelijk instappen.

Probeer het zelf - ga naar de service die u hebt beveiligd met tweefactorauthenticatie en doe alsof u de code bent kwijtgeraakt. Kijk wat er nodig is om erin te komen. Mogelijk moet u in het slechtste geval persoonlijke gegevens opgeven of onveilige 'beveiligingsvragen' beantwoorden. Dit hangt af van hoe de service is geconfigureerd. U kunt het mogelijk opnieuw instellen door een link naar een ander e-mailaccount te e-mailen. In dat geval kan dat e-mailaccount een zwakke link worden. In een ideale situatie hebt u mogelijk alleen toegang nodig tot een telefoonnummer of herstelcodes - en zoals we hebben gezien, is het onderdeel telefoonnummer een zwakke schakel.

Nog iets vreemds: het gaat niet alleen om het omzeilen van twee- stap verificatie. Een aanvaller kan soortgelijke trucs uitproberen om uw wachtwoord volledig te omzeilen. Dit kan werken omdat online services ervoor willen zorgen dat mensen weer toegang tot hun accounts kunnen krijgen, zelfs als ze hun wachtwoord kwijtraken.

Bekijk bijvoorbeeld het Google-accountherstelsysteem. Dit is een laatste optie voor het herstellen van uw account. Als u beweert geen wachtwoorden te kennen, wordt u uiteindelijk om informatie over uw account gevraagd, zoals wanneer u het heeft gemaakt en wie u vaak e-mailt. Een aanvaller die genoeg van u weet, zou in theorie dergelijke procedures voor wachtwoordherstel kunnen gebruiken om toegang te krijgen tot uw accounts.

We hebben nog nooit gehoord dat het Google-accountherstelproces wordt misbruikt, maar Google is niet het enige bedrijf met tools zoals deze. Ze kunnen niet allemaal volledig onfeilbaar zijn, vooral als een aanvaller genoeg van je weet.


Wat de problemen ook zijn, een account met tweestapsverificatie is altijd veiliger dan hetzelfde account zonder tweestapsverificatie. Maar tweefactorauthenticatie is geen wondermiddel, zoals we hebben gezien bij aanvallen die de grootste zwakke schakel misbruiken: uw telefoonbedrijf.


Een toegangscode instellen en gebruiken op Apple Watch

Een toegangscode instellen en gebruiken op Apple Watch

U beveiligt uw iPhone waarschijnlijk met Touch ID of een toegangscode. Als je een Apple Watch hebt, kun je die ook beveiligen tegen ongeautoriseerde toegang. Bovendien moet je een toegangscode hebben ingeschakeld op je horloge om Apple Pay te kunnen gebruiken. Je denkt waarschijnlijk: "Maar ik wil niet elke keer dat ik een wachtwoord wil invoeren op dat kleine scherm mijn horloge gebruiken.

(how-to)

Blader en maak verbinding met draadloze netwerken Vanaf de commandoregel

Blader en maak verbinding met draadloze netwerken Vanaf de commandoregel

We zijn altijd op zoek naar geeky manieren om indruk te maken op onze vrienden, en onlangs kwamen we een manier tegen om verbinding te maken met onze draadloze netwerk vanaf de opdrachtprompt, dus vandaag laten we u ook zien hoe u dit moet doen. Bladeren en verbinding maken met draadloze netwerken Vanaf de opdrachtregel Voor het bladeren door beschikbare draadloze netwerken vanaf de opdrachtprompt is slechts één opdracht: netsh wlan toon netwerken Helaas moet je een netwerkprofiel hebben om verbinding te maken met een netwerk.

(how-to)