Двухфакторная аутентификация через сервер обмена сообщениями кодов продолжает использоваться, несмотря на то, показано, чтобы быть чрезвычайно compromisable и лучшие альтернативы доступны.

Инженер-программист Шон Coonce хранения цифровых активов компании BitGo в Калифорнии есть недавний пример, как это может быть опасно полагаться на “функция безопасности”, которые легко обходятся.

Coonce РУЭС не прикладывая лучше меры безопасности после того, как неизвестные злоумышленники портировать его номер телефона на новый модуль идентификации абонента (SIM) и удалось похитить крупные суммы денег, захватив двухфакторной аутентификации коды для его счета.

Он сказал, что атака обошлась ему в 100 000 долларов США, на прошлой неделе из фондов, испаряясь из его Фонда крипто валютный счет в течение 24-часового периода времени.

Сказал Coonce денег ушла навсегда и сказал, что люди должны знать, что СМС-проверки 2FA не не достаточно, так как он vulnerabile для переноса атаки.

Он предлагает использовать для аутентификации в Google и Authy одноразовые коды вместе с аппаратных решений, таких как Yubikey и укрепите дальше, что не может быть подделана и находитесь под Народный контроль бизнес-школе INSEAD СМС 2-факторную авторизацию.

Google также имеет возможность использовать голос 2-факторную авторизацию и голосовой сервис интернет-гиганта есть мобильные телефоны, которые не могут быть перенесены, заявил Coonce.

Дополнительные адреса электронной почты для критических онлайн-сервисы, также хорошая идея, если они не используются ни для чего другого и держать в секрете, и резервное копирование с помощью аппаратных 2-факторную авторизацию. Coonce предложил.

Сказал Coonce он не очень серьезно относится к своей интернет-безопасности, поскольку он никогда не подвергся нападению.

“… Я был просто ленив, чтобы обезопасить свои активы с жестокостью, которую они заслужили,” Coonce закончилась его плакать.

Как неуверен СМС 2-факторную авторизацию? Это даже 2-факторную авторизацию?

Бессонница исследователь безопасности Адам Буало сказал, что это еще один пример того, почему SMS является одним из наименее надежных вариантов 2-факторную авторизацию.

Он отметил, что в случае сброса пароля, функции SMS-код как один единственный фактор аутентификации; и, кодов может быть поймали плохие люди.

“Есть много способов, которыми злоумышленники могут захватить SMS-коды, в том числе SIM-карты переноса.

Другие варианты включают получение их от оконечного устройства, с передачей SMS-сообщений интерфейс программирования приложений, журналы, в самой компании, или в некоторых случаях по радио сеть”, – сказал Буало.

Злоумышленники могут также ориентироваться на количество переноса самой системы, и сотрудники компании или ее агентов.

“Телекоммуникационные компании различаются по уровню проверки, они берут на себя при переносе номера или персонажи вокруг, которое в идеале включает в лицо, проверки удостоверения личности с фотографией.

Однако, это часто происходит в небольших розничных магазинах, которые не принадлежат телекоммуникационным компаниям в вопрос, и трудно гарантировать, что они проверяют, что заявления о переносе номера является законным.

Плюс есть возможности для инсайдеров, чтобы помочь в обход проверки для получения прибыли или по принуждению” Буало добавил.

Есть некоторые меры испытания по всему миру, что наши телекоммуникационные компании могли бы принять, чтобы предотвратить перенос атаки, сказал он.

“Предотвращение смены SIM-карт-это один подход; взаимодополняющими обнаружение, что это произошло.

Мы видели некоторый успех в Африке, где такое мошенничество было распространено.

В Мозамбике, телефонные операторы предоставляют API, который позволяет онлайн-сервисы запроса относительный возраст Сима.

Это позволяет услуг использовать это в своих расчет риска, и выбрать требовать другие проверки подлинности если на счете мобильного телефона есть подозрительные изменения.

В идеале хотелось бы видеть это в другом месте,” Буало предложил.

Получать многофакторную однако право проверки подлинности сложно.

“С использованием аппаратных ключей и U2F устройства, или быть предложено на другом компьютере для разрешения как Apple это делает его значительно более трудным для атаки на успех, чем с СМС 2-факторную авторизацию,” Буало добавил.

“Но с добавлением дополнительной защиты для обычной проверки подлинности просто означает, что прорвутся к другим сценариям, такие как сброс пароля.

Проектирование системы аутентификации, которая обрабатывает нюанс в реальном мире – где люди теряют телефоны, имена меняются, или стран, а также ухудшает изящно, если пароли забыты-это сложная проблема, ” Буало предупредил.

“В конце концов, вопрос здесь, кажется, что это неразумно, чтобы сохранить 100 000 долларов США на вашем компьютере или любом устройстве – независимо от того, какой тип от 2FA используется.

Имея blockchain кошелек как банка означает, что есть лишь слабая надежда на получение возмещения за мошенничество, благодаря сделке, будучи неизменным на Blockchain,” Буало заключен.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here