Geekly articles weekly

Verificación en 2 pasos: vamos adiós

Verificación en 2 pasos Es una buena idea, pero en la práctica solo simplifica el acceso a sus datos, ya que incluye demasiados participantes adicionales, que también pueden tener sus propias vulnerabilidades.

Durante mucho tiempo iba a escribir sobre eso, pero de alguna manera mis manos no llegaron. El otro día, después de haber sentido el encanto de este método de protección, decidí que había llegado el momento.

Por lo tanto, la autenticación en dos pasos implica una protección adicional de sus datos electrónicos mediante el enlace de un teléfono móvil y la confirmación de entradas u otras operaciones a través de SMS.

Situación: una persona pierde el teléfono. En mi caso, no un teléfono nuevo, pero querido, dado a una niña. Media hora después de la "pérdida", se desata con éxito de iCloud. Se configuró una contraseña de desbloqueo no estándar en el teléfono, se activó TouchID, la contraseña de iCloud cae con seguridad en la categoría de complejo. El teléfono está bloqueado a través del servicio FindMyIphone.

Primer caso


El atacante aprende la ID de Apple bajo la cual está atado el teléfono, así como el número de teléfono. Los métodos para esto son para todos los gustos, así que omita este momento. Digamos que este es un correo registrado con Google.

: , .

: . , Siri — .

: , . IVR’.

: , .

: appleid.com .

La quinta acción: desatamos el dispositivo de la cuenta, ya que hemos realizado operaciones muy simples para cambiar preguntas secretas.

El telón

Vale la pena señalar que el procedimiento para restaurar el acceso a una cuenta de Apple puede diferir y, en algunos casos, también implica una forma más fácil: elegir en la forma de restaurar el acceso al "teléfono" de su cuenta y recibir un código para ingresar la contraseña directamente en el sitio web de Apple ID. El método funciona si el dispositivo ha sido asignado a una cuenta durante algún tiempo y está protegido por una contraseña o TouchID. No nos detendremos en esto.

Segundo caso


Supongamos que un atacante necesita acceder a los datos, pero no hay un teléfono al que la confirmación esté conectada mediante un número de acceso. Además, a diferencia del primer caso, el atacante inicialmente sabe a quién está tratando de descifrar. El objetivo es el correo.

No voy a hablar sobre otros países, pero en Ucrania los operadores de telefonía móvil tienen procedimientos, siguiendo los cuales y respondiendo ciertas preguntas del operador del centro de llamadas, puede solicitar restablecer la contraseña de su cuenta personal.

: , , , , , , . , . , , , , .

: , . SMS, .

: gmail . , , , , 60 SMS.

: gmail IVR , , , , .

Señalé anteriormente que tales acciones generalmente se realizan por la noche. El cálculo es que al recibir un SMS con un código, la víctima no lo verá. dormirá Si la cuenta personal del operador móvil de la víctima de piratería admite la función de configurar el reenvío de SMS, la hora del día deja de desempeñar un papel.

Tercer caso


El caso se puede aplicar cuando la víctima de piratería es de un cierto interés financiero o personal, que se encuentra fuera de la "correspondencia leída en redes sociales". red "o desbloquear un teléfono robado. El tercer caso es idéntico al segundo, sin embargo, implica grandes costos en efectivo.

Es fácil encontrar una persona que sea empleada en el CC por el operador de interés, donde desde los primeros días de la pasantía, este empleado recibirá una contraseña personal para el sistema de servicio al cliente, incluida la función de ver los detalles de la llamada (con o sin los últimos dígitos, tal vez), así como paneles de control para servicios de usuario, incluidos redireccionamientos, sobre los que escribí en el caso anterior. Quizás se proporcione una contraseña personal más adelante, en este caso, la capacitación de un nuevo empleado se realiza en el nombre de usuario / contraseña de un empleado de KC ya experimentado, que es más probable que ya tenga acceso a todas las funciones necesarias. Este caso es costoso solo si no hay nada con lo que comparar y, por supuesto, depende completamente del objetivo.

Usando los casos elementales dados, o sus variaciones, en los cuales no hay razón para detenerse, es bastante fácil acceder a varios servicios y gabinetes. Desafortunadamente, las medidas de seguridad que funcionan bien cuando se combinan, a veces, pueden dar el resultado opuesto solo al aumentar la posibilidad de piratería.

Métodos de seguridad: no utilice la verificación en dos pasos en ningún servicio importante. Si es posible, evite agregar el número de teléfono usado a cualquier servicio de Internet, incluso si el número está finalmente oculto por la configuración de privacidad. Se puede ocultar de la pantalla, pero se obtiene mediante la búsqueda o recuperación de contraseñas de los mismos servicios.

En la parte de los operadores de telecomunicaciones, existen otros procedimientos de servicio al suscriptor, en un grado u otro, lo que aumenta la seguridad del usuario, pero en cualquier caso, la única pregunta es qué tan personalmente le interesa quién trabajará para obtener acceso a sus datos personales. Además, traté de describir superficialmente los vectores de ataque posibles y verificados, pero esto no significa que los describí a todos, ni significa que al defendernos de algunos, no sustituiremos a otros.

Al final del post, quiero agregar que no soy un experto en temas de seguridad de la información, no tengo ninguna relación con ella por ocupación, sino que es solo un interés personal.

Este es mi primer post. No juzgue estrictamente, tal vez por alguien que he descrito cosas obvias, pero tal vez para alguien más esta información será útil y al menos reducirá ligeramente la posibilidad de perder o comprometer mi información personal.

Source: https://habr.com/ru/post/es398771/

More articles:


All Articles