两步验证-拜拜
两步验证 这是个好主意,但实际上,这只是简化对数据的访问,因为 包括太多其他参与者,这些参与者也可能有自己的漏洞。很长一段时间以来,我一直在写关于它的书,但是不知何故我的手没伸开。前几天,在已经感受到了这种保护方法的魅力之后,我决定时机已到。因此,两步身份验证意味着通过绑定移动电话以及通过SMS确认输入或其他操作来进一步保护您的电子数据。情况:一个人丢了电话。就我而言,不是给女孩一个新的但很受欢迎的电话。“损失”后半小时,它已成功从iCloud解开。在手机上设置了非标准的解锁密码,并激活了TouchID,iCloud密码无疑属于复杂类别。电话已通过FindMyIphone服务被阻止。第一种情况
攻击者了解绑定了电话的Apple ID以及电话号码。该方法适用于每种口味,因此请跳过这一刻。假设这是在Google注册的邮件。: , .
: . , Siri — .
: , . IVR’.
: , .
: appleid.com .
第五步:我们已经完成了非常简单的操作来更改秘密问题,从而使设备与帐户解除绑定。
窗帘。值得注意的是,恢复对Apple帐户的访问权限的过程可能有所不同,并且在某些情况下还暗示了一种更简便的方法-选择恢复对帐户“电话”的访问权限的形式,并接收直接在Apple ID网站上输入密码的代码。如果该设备已分配给帐户一段时间并且受密码或TouchID保护,则该方法有效。我们不会对此进行详细说明。第二种情况
假设攻击者需要访问数据,但是没有通过访问号码连接确认的电话。而且,与第一种情况不同,攻击者最初知道他要破解的人。目标是邮件。我不想谈论其他国家/地区,但是在乌克兰,移动运营商制定了相应的程序,在此之后,并回答了呼叫中心运营商的某些问题,您可以要求重置个人帐户的密码。: , , , , , , . , . , , , , .
: , . SMS, .
: gmail . , , , , 60 SMS.
: gmail IVR , , , , .
我在上面指出,此类动作通常在晚上执行。计算结果是,当接收到带有代码的SMS时,受害者将看不到它。会睡觉 如果黑客受害者的移动运营商的个人帐户支持设置短信转发功能,则一天中的时间将不再起作用。第三种情况
当黑客的受害者具有一定的经济或个人利益,并且处于“已阅读的社交信函”之外时,可以应用此案例。网络”或解锁被盗的手机。第三种情况与第二种情况相同,但是涉及大量现金成本。很容易找到感兴趣的运营商将在CC中雇用的人员,从实习开始的第一天起,就会向该员工提供客户服务系统的个人密码,包括查看呼叫详细信息的功能(可能带有或不带有最后一位数字),以及用于用户服务的控制面板(包括重定向),我在上面的案例中曾对此进行过介绍。也许稍后会提供个人密码,在这种情况下,新员工的培训是根据已经有经验的KC员工的登录名/密码完成的,他很可能已经可以使用所有必需的功能。这种情况只有在没有什么可比较的情况下才是昂贵的,并且当然完全取决于目标。使用给定的基本案例或其变体,没有理由进行讨论,很容易获得各种服务和机柜。不幸的是,运行良好的安全措施有时结合在一起,只能通过增加被黑客入侵的机会来得出相反的结果。安全方法:在任何重要服务中请勿使用两步验证。如果可能,请避免将已使用的电话号码添加到任何Internet服务中,即使该号码最终被隐私设置隐藏了。它可以从显示中隐藏,但可以通过搜索或恢复相同服务的密码来获得。在电信运营商方面,其他订户服务程序已经到位,某种程度上提高了用户安全性,但是无论如何,唯一的问题是您个人对谁将致力于访问您的个人数据感兴趣。此外,我试图从表面上描述可能的和经过验证的攻击媒介,但这并不意味着我已经全部描述了它们,也不意味着我在防御某些人时也不会替代其他人。在文章末尾,我想补充一点,我不是信息安全问题方面的专家,我与她没有任何职业上的往来,而是个人利益。这是我的第一篇文章。不要严格判断,也许对于我描述过明显的事情的人,但是对于其他人来说,此信息将非常有用,并且至少会稍微减少丢失或破坏我的个人信息的机会。 Source: https://habr.com/ru/post/zh-CN398771/
All Articles