🔛 👸🏿 👨‍💻 التحقق بخطوتين - وداعًا 👨‍👩‍👦 😌 😦

التحقق بخطوتين إنها فكرة جيدة ، ولكنها في الواقع العملي تبسط الوصول إلى بياناتك فقط يتضمن عددًا كبيرًا جدًا من المشاركين الإضافيين ، الذين قد يكون لديهم أيضًا نقاط ضعفهم الخاصة.

لفترة طويلة كنت سأكتب عن ذلك ، ولكن بطريقة ما لم تصل يدي. في اليوم الآخر ، بعد أن شعرت بسحر طريقة الحماية هذه ، قررت أن الوقت قد حان.

لذا ، فإن المصادقة على خطوتين تعني حماية إضافية لبياناتك الإلكترونية من خلال ربط الهاتف المحمول وتأكيد الإدخالات أو العمليات الأخرى عبر الرسائل القصيرة.

الحالة: يفقد الشخص الهاتف. في حالتي ، ليس هاتفًا جديدًا ، ولكنه محبوبًا ، أعطى لفتاة. بعد نصف ساعة من "الخسارة" ، تم إلغاء ربطها بنجاح من iCloud. تم تعيين كلمة مرور غير قياسية لإلغاء التأمين على الهاتف ، وتم تنشيط TouchID ، وتقع كلمة مرور iCloud بثقة في فئة المجمع. يتم حظر الهاتف من خلال خدمة FindMyIphone.

الحالة الأولى

يتعلم المهاجم معرف Apple الذي يتم ربط الهاتف تحته ، بالإضافة إلى رقم الهاتف. هذه الطرق تناسب كل ذوق ، لذا تخطى هذه اللحظة. لنفترض أن هذا البريد مسجل لدى Google.

: , .

: . , Siri — .

: , . IVR’.

: , .

: appleid.com .

الإجراء الخامس: نقوم بإلغاء ربط الجهاز من الحساب ، بعد أن قمنا بالفعل بعمليات بسيطة للغاية لتغيير الأسئلة السرية.

الستارة.

تجدر الإشارة إلى أن إجراء استعادة الوصول إلى حساب Apple قد يختلف وفي بعض الحالات ينطوي على طريقة أسهل - الاختيار في شكل استعادة الوصول إلى حسابك على "الهاتف" وتلقي رمز لإدخال كلمة المرور مباشرة على موقع Apple ID الإلكتروني. تعمل الطريقة إذا تم تعيين الجهاز لحساب لبعض الوقت ومحمي بكلمة مرور أو TouchID. لن نتطرق إلى هذا الأمر.

الحالة الثانية

افترض أن المهاجم يحتاج إلى الوصول إلى البيانات ، ولكن لا يوجد هاتف يتصل به التأكيد عبر رقم وصول. علاوة على ذلك ، على عكس الحالة الأولى ، يعرف المهاجم في البداية من يحاول اختراقه. الهدف هو البريد.

لن أتحدث عن دول أخرى ، ولكن لدى مشغلي الهاتف المحمول في أوكرانيا إجراءات ، وبعد ذلك والإجابة على أسئلة معينة من مشغل مركز الاتصال ، يمكنك طلب إعادة تعيين كلمة المرور لحسابك الشخصي.

: , , , , , , . , . , , , , .

: , . SMS, .

: gmail . , , , , 60 SMS.

: gmail IVR , , , , .

أشرت أعلاه أن مثل هذه الإجراءات عادة ما يتم تنفيذها في الليل. الحساب هو أنه عند تلقي رسالة نصية قصيرة برمز ، لن يراها الضحية. سينام. إذا كان الحساب الشخصي لمشغل الهاتف المحمول لضحية القرصنة يدعم وظيفة تعيين إعادة توجيه الرسائل القصيرة ، فإن الوقت من اليوم يتوقف عن لعب دور.

الحالة الثالثة

يمكن تطبيق الحالة عندما يكون ضحية القرصنة ذات مصلحة مالية أو شخصية معينة ، تقع خارج "قراءة المراسلات في الاجتماعية. الشبكة "أو فتح قفل الهاتف المسروق. الحالة الثالثة مطابقة للحالة الثانية ، ولكنها تنطوي على تكاليف نقدية كبيرة.

من السهل العثور على الشخص الذي سيتم توظيفه في CC من قِبل المشغل المعني ، حيث سيتم تزويد هذا الموظف من الأيام الأولى للتدريب ، بكلمة مرور شخصية لنظام خدمة العملاء ، بما في ذلك وظيفة عرض تفاصيل المكالمة (مع أو بدون الأرقام الأخيرة ، ربما) ، بالإضافة إلى لوحات التحكم لخدمات المستخدمين ، بما في ذلك عمليات إعادة التوجيه ، التي كتبت عنها في الحالة أعلاه. ربما سيتم توفير كلمة مرور شخصية في وقت لاحق ، في هذه الحالة ، يتم تدريب موظف جديد على تسجيل الدخول / كلمة المرور لموظف KC من ذوي الخبرة بالفعل ، والذي من المرجح أن يكون لديه حق الوصول إلى جميع الوظائف الضرورية. هذه الحالة مكلفة فقط إذا لم يكن هناك ما تقارن به ، وبالطبع ، يعتمد تمامًا على الهدف.

باستخدام الحالات الأولية المعينة ، أو اختلافاتها ، التي لا يوجد سبب يدعو للسكن فيها ، من السهل جدًا الوصول إلى مختلف الخدمات والخزائن. لسوء الحظ ، فإن الإجراءات الأمنية التي تعمل بشكل جيد عندما يتم دمجها ، في بعض الأحيان ، يمكن أن تعطي النتيجة المعاكسة فقط من خلال زيادة فرصة القرصنة.

طرق الأمان: لا تستخدم التحقق بخطوتين في أي خدمات مهمة. إن أمكن ، تجنب إضافة رقم الهاتف المستخدم إلى أي خدمات إنترنت ، حتى إذا كان الرقم مخفيًا في نهاية المطاف بواسطة إعدادات الخصوصية. يمكن إخفاءه من العرض ، ولكن يتم الحصول عليه من خلال البحث أو استعادة كلمات المرور لنفس الخدمات.

كجزء من مشغلي الاتصالات ، توجد إجراءات أخرى لخدمة المشتركين ، إلى درجة أو أخرى تزيد من أمن المستخدم ، ولكن على أي حال ، فإن السؤال الوحيد هو كيف تهتم شخصيًا بمن سيعمل للوصول إلى بياناتك الشخصية. بالإضافة إلى ذلك ، حاولت أن أصف سطحيًا نواقل الهجوم المحتملة والتي تم التحقق منها ، لكن هذا لا يعني أنني وصفتها جميعًا ، ولا يعني أنه عند الدفاع عن أنفسنا ضد البعض ، فإننا لن نستبدل الآخرين.

في نهاية المنشور ، أود أن أضيف أنني لست خبيرة في قضايا أمن المعلومات ، ولا علاقة لي بها من خلال الوظيفة ، بل هي مجرد مصلحة شخصية.

هذا اول منشور لي لا تحكم بشكل صارم ، ربما بالنسبة لشخص وصفته أشياء واضحة ، ولكن ربما لشخص آخر هذه المعلومات ستكون مفيدة وستقلل على الأقل قليلاً من فرصة فقدان معلوماتي الشخصية أو التنازل عنها.

التحقق بخطوتين - وداعًا

الحالة الأولى

الحالة الثانية

الحالة الثالثة

More articles: