Verifikasi 2 Langkah - Ayo Selamat tinggal
Verifikasi 2 langkah Itu ide yang bagus, tetapi dalam praktiknya itu hanya menyederhanakan akses ke data Anda, seperti termasuk terlalu banyak peserta tambahan, yang mungkin juga memiliki kerentanannya sendiri.Untuk waktu yang lama saya akan menulis tentang itu, tetapi entah bagaimana tangan saya tidak mencapai. Suatu hari, setelah merasakan pesona metode perlindungan ini, saya memutuskan bahwa waktunya telah tiba.Jadi, otentikasi dua langkah menyiratkan perlindungan tambahan terhadap data elektronik Anda melalui pengikatan ponsel dan konfirmasi entri atau operasi lain melalui SMS.Situasi: seseorang kehilangan telepon. Dalam kasus saya, bukan telepon baru, tetapi yang dicintai, yang diberikan kepada seorang gadis. Setengah jam setelah "kerugian", itu berhasil dilepaskan dari iCloud. Kata sandi buka kunci yang tidak standar ditetapkan pada ponsel, TouchID diaktifkan, kata sandi iCloud dengan percaya diri masuk dalam kategori kompleks. Ponsel diblokir melalui layanan FindMyIphone.Kasus pertama
Penyerang mempelajari ID Apple di mana ponsel terikat, serta nomor telepon. Metode untuk ini adalah untuk setiap selera, jadi lewati momen ini. Katakanlah ini surat yang terdaftar di Google.: , .
: . , Siri โ .
: , . IVRโ.
: , .
: appleid.com .
Tindakan kelima: kami melepas perangkat dari akun, setelah melakukan operasi yang sangat sederhana untuk mengubah pertanyaan rahasia.
Tirai.Perlu dicatat bahwa prosedur untuk memulihkan akses ke akun Apple mungkin berbeda dan dalam beberapa kasus melibatkan cara yang lebih mudah - memilih dalam bentuk memulihkan akses ke "telepon" akun Anda dan menerima kode untuk memasukkan kata sandi secara langsung di situs web ID Apple. Metode ini berfungsi jika perangkat telah ditetapkan ke akun untuk beberapa waktu dan dilindungi oleh kata sandi atau TouchID. Kami tidak akan memikirkan ini.Kasus kedua
Misalkan penyerang perlu mengakses data, tetapi tidak ada telepon yang konfirmasi terhubung melalui nomor akses. Selain itu, tidak seperti kasus pertama, penyerang awalnya tahu siapa yang dia coba untuk memecahkan. Tujuannya adalah surat.Saya tidak akan berbicara tentang negara lain, tetapi di Ukraina operator seluler memiliki prosedur, yang mengikuti dan menjawab pertanyaan tertentu dari operator pusat panggilan, Anda dapat meminta untuk mereset kata sandi untuk akun pribadi Anda.: , , , , , , . , . , , , , .
: , . SMS, .
: gmail . , , , , 60 SMS.
: gmail IVR , , , , .
Saya menunjukkan di atas bahwa tindakan seperti itu biasanya dilakukan pada malam hari. Perhitungannya adalah bahwa ketika menerima SMS dengan kode, korban tidak akan melihatnya. akan tidur. Jika akun pribadi operator seluler korban peretasan mendukung fungsi pengaturan penerusan SMS, waktu dalam sehari tidak lagi berperan.Kasus ketiga
Kasus ini dapat diterapkan ketika korban peretasan memiliki kepentingan finansial atau pribadi tertentu, terletak di luar "korespondensi baca di sosial. jaringan โatau membuka kunci ponsel yang dicuri. Kasus ketiga identik dengan yang kedua, namun melibatkan biaya tunai yang besar.Sangat mudah untuk menemukan seseorang yang akan dipekerjakan di CC oleh operator yang berkepentingan, di mana sejak hari pertama magang, karyawan ini akan diberikan kata sandi pribadi untuk sistem layanan pelanggan, termasuk fungsi melihat rincian panggilan (dengan atau tanpa angka terakhir, mungkin), serta panel kontrol untuk layanan pengguna, termasuk arahan ulang, yang saya tulis dalam kasus di atas. Mungkin kata sandi pribadi akan diberikan kemudian, dalam hal ini, pelatihan karyawan baru dilakukan dengan login / kata sandi dari karyawan KC yang sudah berpengalaman, yang lebih mungkin sudah memiliki akses ke semua fungsi yang diperlukan. Kasing ini mahal hanya jika tidak ada yang bisa dibandingkan dan, tentu saja, sepenuhnya tergantung pada tujuannya.Menggunakan kasing dasar yang diberikan, atau variasinya, yang tidak ada alasan untuk dihuni, cukup mudah untuk mendapatkan akses ke berbagai layanan dan lemari. Sayangnya, langkah-langkah keamanan yang berfungsi dengan baik saat digabungkan, kadang-kadang, dapat memberikan hasil sebaliknya hanya dengan meningkatkan peluang peretasan.Metode keamanan: jangan gunakan verifikasi 2 langkah di layanan penting apa pun. Jika memungkinkan, hindari menambahkan nomor telepon bekas ke layanan Internet apa pun, meskipun nomor itu pada akhirnya disembunyikan oleh pengaturan privasi. Itu dapat disembunyikan dari tampilan, tetapi diperoleh melalui cara mencari atau memulihkan kata sandi dari layanan yang sama.Sebagai bagian dari operator telekomunikasi, prosedur layanan pelanggan lainnya ada, sampai taraf tertentu meningkatkan keamanan pengguna, tetapi dalam setiap kasus, satu-satunya pertanyaan adalah seberapa pribadi Anda tertarik pada siapa yang akan bekerja untuk mendapatkan akses ke data pribadi Anda. Selain itu, saya mencoba untuk menggambarkan secara dangkal vektor serangan yang mungkin dan diverifikasi, tetapi ini tidak berarti bahwa saya menggambarkan semuanya, juga tidak berarti bahwa ketika membela diri terhadap beberapa, kami tidak akan menggantikan yang lain.Pada akhir posting, saya ingin menambahkan bahwa saya bukan ahli dalam masalah keamanan informasi, saya tidak memiliki hubungan dengan pekerjaannya, melainkan hanya kepentingan pribadi.Ini posting pertama saya. Jangan menilai dengan ketat, mungkin untuk seseorang yang telah saya jelaskan hal-hal yang jelas, tetapi mungkin untuk orang lain informasi ini akan berguna dan setidaknya akan sedikit mengurangi kemungkinan kehilangan atau kompromi informasi pribadi saya. Source: https://habr.com/ru/post/id398771/
All Articles