Sistemas de autenticación de dos factores no son tan infalibles como parecen. Un intruso en realidad no necesito tu token de autenticación física si se puede engañar a su compañía telefónica o el propio servicio seguro en dejar entrar.
Autenticación adicional siempre es útil. Aunque nada ofrece que la seguridad perfecta que todos queremos, mediante la autenticación de dos factores pone más obstáculos a los atacantes que quieren tus cosas.
Su compañía de teléfono es un eslabón débil
Los sistemas de autenticación de dos pasos en muchos sitios web funcionan mediante el envío de un mensaje a su teléfono a través de SMS cuando alguien trata de iniciar la sesión. Incluso si utiliza una aplicación dedicada en su teléfono para generar códigos, hay una buena posibilidad de que su servicio de elección ofrece a dejar que la gente sesión enviando un código de SMS a su teléfono. O bien, el servicio puede permitir que usted quite la protección de autenticación de dos factores de su cuenta después de confirmar que usted tiene acceso a un número de teléfono que ha configurado como un número de teléfono de recuperación.
Todo esto suena muy bien. Usted tiene su teléfono celular, y tiene un número de teléfono.Cuenta con una tarjeta SIM física en su interior que une a ese número de teléfono con su proveedor de telefonía celular. Todo parece muy físico. Pero, por desgracia, su número de teléfono no es tan seguro como usted piensa.
Si alguna vez ha necesitado para mover un número de teléfono existente a una nueva tarjeta SIM después de perder su teléfono o simplemente conseguir uno nuevo, usted sabrá lo que a menudo se puede hacer por completo a través del teléfono - o tal vez incluso en línea. Todo lo que un atacante tiene que hacer es llamar al servicio al cliente de su celda de compañía telefónica y pretender ser usted. Ellos necesitan saber lo que su número de teléfono es y saber algunos detalles personales sobre usted. Estos son los tipos de datos - por ejemplo, número de tarjeta de crédito, los últimos cuatro dígitos de un número de Seguro Social, y otros - que se escapan con regularidad en grandes bases de datos y se utilizan para el robo de identidad. El atacante puede tratar de conseguir su número de teléfono se trasladó a su teléfono.
Existen maneras aún más fácil. O, por ejemplo, pueden obtener el desvío de llamadas establecido en el extremo de la compañía telefónica para que las llamadas de voz entrantes se desvían a su teléfono y no llegan a la suya.
Heck, un atacante no podría tener acceso a su número de teléfono completo. Podrían tener acceso a su correo de voz, intente iniciar sesión en sitios web a las 3 de la mañana, y luego agarrar los códigos de verificación de su buzón de voz. ¿Qué tan seguro es el sistema de correo de voz de su compañía telefónica, exactamente? ¿Qué tan seguro es su PIN de correo de voz - ¿ha incluso configurar uno? No todo el mundo tiene! Y, si usted tiene, cuánto esfuerzo haría falta para que un atacante para obtener su restablecimiento electrónico PIN voz llamando a su compañía telefónica?
Con su número de teléfono, que está por todo
Su número de teléfono se convierte en el eslabón más débil, permitiendo que su atacante eliminar la verificación de dos pasos de su cuenta - o recibir códigos de verificación de dos pasos - por SMS o llamadas de voz. En el momento en que te das cuenta que algo está mal, pueden tener acceso a esas cuentas.
Este es un problema para prácticamente cada servicio. Los servicios en línea no quieren que la gente pierda el acceso a sus cuentas, por lo que generalmente le permiten omitir y quitar que la autenticación de dos factores con su número de teléfono. Esto ayuda si usted ha tenido que reiniciar el teléfono o conseguir uno nuevo y que ha perdido sus códigos de autenticación de dos factores - pero usted todavía tiene su número de teléfono.
Teóricamente, no se supone que es un montón de protección aquí. En realidad, usted está tratando con la gente de servicio al cliente en los proveedores de servicios celulares. Estos sistemas se establecen a menudo para la eficiencia, y un empleado de servicio al cliente pueden pasar por alto algunas de las garantías que se enfrentan con un cliente que parece enojada, impaciente, y tiene lo que parece ser suficiente información. Su compañía de teléfonos y su departamento de servicio al cliente son un eslabón débil en su seguridad.
La protección de su número de teléfono es duro. Siendo realistas, las empresas de telefonía celular deben ofrecer más garantías para que este menor riesgo. En realidad, es probable que desee hacer algo por su cuenta en lugar de esperar a que las grandes empresas para fijar sus procedimientos de servicio al cliente. Algunos servicios permiten deshabilitar la recuperación o restablecer mediante los números de teléfono y advertir en contra de ella profusamente - pero, si se trata de un sistema de misión crítica, es posible que desee elegir los procedimientos de restablecimiento más seguros, como los códigos de restablecimiento se puede bloquear en una bóveda de un banco en el caso ¿Alguna vez los necesita.
Otros procedimientos Restablecer
No es sólo acerca de su número de teléfono, ya sea. Muchos servicios le permiten eliminar que la autenticación de dos factores de otras maneras si usted afirma que ha perdido el código y que entrar. Como siempre que se sepa suficientes detalles personales sobre la cuenta, usted puede ser capaz de entrar.
Pruébelo usted mismo - ir al servicio que ha asegurado con la autenticación de dos factores y pretender que has perdido el código. Vea lo que se necesita para entrar. Puede que tenga que proporcionar datos personales o responder "preguntas de seguridad" inseguros en el peor de los casos. Depende de cómo esté configurado el servicio. Es posible que pueda para restablecer por correo electrónico un enlace a otra cuenta de correo electrónico, en cuyo caso esa cuenta de correo electrónico puede llegar a ser un eslabón débil. En una situación ideal, es posible que sólo necesitan tener acceso a un número de teléfono o códigos de recuperación - y, como hemos visto, la parte número de teléfono es un eslabón débil.
Aquí hay algo más aterrador: no se trata sólo de pasar por la verificación de dos pasos. Un atacante podría intentar trucos similares para eludir su contraseña por completo. Esto puede funcionar porque los servicios en línea quieren garantizar que las personas puedan volver a tener acceso a sus cuentas, incluso si pierden sus contraseñas.
Por ejemplo, echar un vistazo a la cuenta de Google de recuperación del sistema. Esta es una opción de último recurso para recuperar su cuenta. Si usted reclama no saber las contraseñas, que finalmente le pedirá información sobre su cuenta, como cuando lo creó y quien con frecuencia de correo electrónico. Un atacante que sabe lo suficiente acerca de usted podría utilizar teóricamente procedimientos para restablecer la contraseña como estos para obtener acceso a sus cuentas.
Nunca hemos oído hablar de proceso de recuperación de la Cuenta de Google está abusando, pero Google no es la única empresa con herramientas como esta. No todos pueden ser totalmente infalible, especialmente si un atacante sabe lo suficiente acerca de usted.
Cualesquiera que sean los problemas, una cuenta con la verificación de dos pasos estableció siempre será más seguro que la misma cuenta sin la verificación de dos pasos. Pero la autenticación de dos factores hay bala de plata, como hemos visto con ttacks que abusan el mayor punto débil : su compañía telefónica.
