Vérification en 2 étapes - Allez au revoir
Vérification en 2 étapes C’est une bonne idée, mais en pratique, cela ne fait que simplifier l’accès à vos données, comprend trop de participants supplémentaires, qui peuvent également avoir leurs propres vulnérabilités.Pendant longtemps, j'allais écrire à ce sujet, mais d'une manière ou d'une autre mes mains n'ont pas atteint. L'autre jour, ayant déjà ressenti le charme de cette méthode de protection, j'ai décidé que le moment était venu.Ainsi, l'authentification en deux étapes implique une protection supplémentaire de vos données électroniques grâce à la liaison d'un téléphone mobile et à la confirmation des entrées ou d'autres opérations via SMS.Situation: une personne perd le téléphone. Dans mon cas, pas un nouveau téléphone, mais bien-aimé, donné à une fille. Une demi-heure après la «perte», il est délié avec succès d'iCloud. Un mot de passe de déverrouillage non standard a été défini sur le téléphone, TouchID a été activé, le mot de passe iCloud tombe en toute confiance dans la catégorie des complexes. Le téléphone est bloqué via le service FindMyIphone.Premier cas
L'attaquant apprend l'identifiant Apple sous lequel le téléphone est lié, ainsi que le numéro de téléphone. Les méthodes pour cela sont pour tous les goûts, alors sautez ce moment. Supposons qu'il s'agit d'un courrier enregistré auprès de Google.: , .
: . , Siri — .
: , . IVR’.
: , .
: appleid.com .
Cinquième action: on détache l'appareil du compte, après avoir déjà effectué des opérations très simples pour changer des questions secrètes.
Le rideau.Il convient de noter que la procédure de restauration de l'accès à un compte Apple peut différer et, dans certains cas, impliquer un moyen plus simple - choisir sous la forme de restaurer l'accès à votre compte «téléphone» et recevoir un code pour entrer le mot de passe directement sur le site Web Apple ID. La méthode fonctionne si l'appareil a été affecté à un compte pendant un certain temps et est protégé par un mot de passe ou TouchID. Nous ne nous attarderons pas là-dessus.Deuxième cas
Supposons qu'un attaquant ait besoin d'accéder aux données, mais il n'y a pas de téléphone auquel la confirmation est connectée via un numéro d'accès. De plus, contrairement au premier cas, l'attaquant sait d'abord qui il essaie de casser. L'objectif est le courrier.Je ne vais pas parler d'autres pays, mais en Ukraine, les opérateurs de téléphonie mobile ont des procédures, à la suite desquelles et en répondant à certaines questions de l'opérateur du centre d'appels, vous pouvez demander de réinitialiser le mot de passe de votre compte personnel.: , , , , , , . , . , , , , .
: , . SMS, .
: gmail . , , , , 60 SMS.
: gmail IVR , , , , .
J'ai souligné ci-dessus que ces actions sont généralement effectuées la nuit. Le calcul est que lors de la réception d'un SMS avec un code, la victime ne le verra pas. va dormir. Si le compte personnel de l'opérateur mobile de la victime du piratage prend en charge la fonction de paramétrage du transfert SMS, l'heure de la journée cesse de jouer un rôle.Troisième cas
L'affaire peut être appliquée lorsque la victime du piratage présente un certain intérêt financier ou personnel, en dehors de la "correspondance lue dans le social". réseau »ou déverrouillez un téléphone volé. Le troisième cas est identique au second, cependant, il implique des coûts décaissés importants.Il est facile de trouver une personne qui sera embauchée par le CC de l'opérateur concerné, où dès les premiers jours du stage, cet employé sera présenté avec un mot de passe personnel au système de service client, y compris la fonction de visualisation des détails de l'appel (avec ou sans les derniers chiffres, peut-être), ainsi que des panneaux de contrôle pour les services aux utilisateurs, y compris les redirections, dont j'ai parlé dans le cas ci-dessus. Peut-être qu'un mot de passe personnel sera fourni plus tard, dans ce cas, la formation d'un nouvel employé se fait sur le login / mot de passe d'un employé KC déjà expérimenté, qui est plus susceptible d'avoir déjà accès à toutes les fonctions nécessaires. Ce cas n'est cher que s'il n'y a rien à comparer et, bien sûr, il dépend entièrement de l'objectif.En utilisant les cas élémentaires donnés, ou leurs variantes, sur lesquels il n'y a aucune raison de s'attarder, il est assez facile d'avoir accès à divers services et cabinets. Malheureusement, des mesures de sécurité qui fonctionnent bien lorsqu'elles sont combinées, parfois, ne peuvent donner le résultat inverse qu'en augmentant les chances de piratage.Méthodes de sécurité: n'utilisez la vérification en 2 étapes dans aucun service important. Si possible, évitez d'ajouter le numéro de téléphone utilisé à des services Internet, même si le numéro est finalement masqué par les paramètres de confidentialité. Il peut être masqué, mais obtenu par la recherche ou la récupération de mots de passe des mêmes services.Dans le cadre des opérateurs de télécommunications, d'autres procédures de maintenance des abonnés sont en place, à un degré ou un autre, augmentant la sécurité de l'utilisateur, mais dans tous les cas, la seule question est de savoir comment vous êtes personnellement intéressé par qui travaillera pour accéder à vos données personnelles. De plus, j'ai essayé de décrire superficiellement les vecteurs d'attaque possibles et vérifiés, mais cela ne signifie pas que je les ai tous décrits, ni que lorsque nous nous défendons contre certains, nous ne nous substituerons pas à d'autres.À la fin de l'article, je tiens à ajouter que je ne suis pas un expert en matière de sécurité de l'information, je n'ai aucun lien avec elle par profession, c'est plutôt un intérêt personnel.Ceci est mon premier post. Ne jugez pas strictement, peut-être pour quelqu'un que j'ai décrit des choses évidentes, mais peut-être que pour quelqu'un d'autre, ces informations seront utiles et réduiront au moins légèrement le risque de perdre ou de compromettre mes informations personnelles. Source: https://habr.com/ru/post/fr398771/
All Articles