Geekly articles weekly

Verificação em duas etapas - Vamos, adeus

Verificação em duas etapas É uma boa ideia, mas na prática está apenas simplificando o acesso aos seus dados, pois inclui muitos participantes adicionais, que também podem ter suas próprias vulnerabilidades.

Durante muito tempo, eu ia escrever sobre isso, mas de alguma forma minhas mãos não alcançaram. Outro dia, depois de sentir o charme desse método de proteção, decidi que havia chegado a hora.

Portanto, a autenticação em duas etapas implica proteção adicional de seus dados eletrônicos através da ligação de um telefone celular e confirmação de entradas ou outras operações via SMS.

Situação: uma pessoa perde o telefone. No meu caso, não é um telefone novo, mas amado, dado a uma garota. Meia hora após a "perda", ela é desatada com sucesso do iCloud. Uma senha de desbloqueio não padrão foi definida no telefone, o TouchID foi ativado, a senha do iCloud se enquadra na categoria de complexo. O telefone está bloqueado através do serviço FindMyIphone.

Primeiro caso


O invasor aprende o ID da Apple sob o qual o telefone está vinculado, bem como o número de telefone. Os métodos para isso são para todos os gostos, então pule este momento. Digamos que este é um email registrado no Google.

: , .

: . , Siri — .

: , . IVR’.

: , .

: appleid.com .

A quinta ação: desamarramos o dispositivo da conta, já havendo feito operações muito simples para alterar perguntas secretas.

A cortina.

Vale ressaltar que o procedimento para restaurar o acesso a uma conta Apple pode diferir e, em alguns casos, envolve uma maneira mais fácil - escolher a forma de restaurar o acesso ao “telefone” da sua conta e receber um código para inserir a senha diretamente no site da Apple ID. O método funciona se o dispositivo tiver sido atribuído a uma conta há algum tempo e estiver protegido por uma senha ou TouchID. Nós não vamos insistir nisso.

Segundo caso


Suponha que um invasor precise acessar dados, mas não há telefone ao qual a confirmação esteja conectada por meio de um número de acesso. Além disso, ao contrário do primeiro caso, o atacante inicialmente sabe quem ele está tentando decifrar. O objetivo é o correio.

Não vou falar sobre outros países, mas na Ucrânia, as operadoras de celular têm procedimentos, seguindo os quais, e respondendo a certas perguntas do operador da central de atendimento, você pode pedir para redefinir a senha da sua conta pessoal.

: , , , , , , . , . , , , , .

: , . SMS, .

: gmail . , , , , 60 SMS.

: gmail IVR , , , , .

Eu indiquei acima que tais ações geralmente são realizadas à noite. O cálculo é que, ao receber um SMS com um código, a vítima não o vê. vai dormir. Se a conta pessoal do operador móvel da vítima de hackers suportar a função de definir o encaminhamento de SMS, a hora do dia deixará de desempenhar um papel.

Terceiro caso


O caso pode ser aplicado quando a vítima de hackers tem um certo interesse financeiro ou pessoal, fora da "correspondência lida no social. rede "ou desbloquear um telefone roubado. O terceiro caso é idêntico ao segundo, no entanto, envolve grandes custos de caixa.

É fácil encontrar uma pessoa que será contratada pelo CC do operador de interesse, onde, desde os primeiros dias do estágio, esse funcionário receberá uma senha pessoal para o sistema de atendimento ao cliente, incluindo a função de visualizar detalhes da chamada (com ou sem os últimos dígitos, talvez), bem como painéis de controle para serviços do usuário, incluindo redirecionamentos, sobre os quais escrevi no caso acima. Talvez uma senha pessoal seja fornecida posteriormente, nesse caso, o treinamento de um novo funcionário é feito no login / senha de um funcionário da KC já experiente, com maior probabilidade de já ter acesso a todas as funções necessárias. Este caso é caro apenas se não houver nada para comparar e, é claro, é totalmente dependente do objetivo.

Usando os casos elementares fornecidos, ou suas variações, nos quais não há razão para se debruçar, é muito fácil obter acesso a vários serviços e gabinetes. Infelizmente, as medidas de segurança que funcionam bem, quando combinadas, às vezes, podem dar o resultado oposto apenas aumentando a chance de invasão.

Métodos de segurança: não use a verificação em duas etapas em nenhum serviço importante. Se possível, evite adicionar o número de telefone usado a qualquer serviço de Internet, mesmo que o número esteja oculto pelas configurações de privacidade. Pode ser ocultado da exibição, mas obtido por meio de pesquisa ou recuperação de senhas dos mesmos serviços.

Na parte das operadoras de telecomunicações, existem outros procedimentos de atendimento ao assinante, em um grau ou outro, aumentando a segurança do usuário, mas, em qualquer caso, a única questão é quão pessoalmente você está interessado em quem trabalhará para obter acesso aos seus dados pessoais. Além disso, tentei descrever superficialmente os vetores de ataque possíveis e verificados, mas isso não significa que eu descrevi todos eles, nem significa que, nos defendendo de alguns, não substituiremos outros.

No final do post, quero acrescentar que não sou especialista em questões de segurança da informação, não tenho relação com ela por ocupação, mas sim apenas um interesse pessoal.

Este é o meu primeiro post. Não julgue rigorosamente, talvez para alguém que descrevi coisas óbvias, mas talvez para outra pessoa essas informações sejam úteis e reduzam ao menos um pouco a chance de perder ou comprometer minhas informações pessoais.

Source: https://habr.com/ru/post/pt398771/

More articles:


All Articles