Двухфакторная аутентификация: еще раз о рисках при использовании SMS и голосовых вызовов
Около недели назад журналист Кристофер Мимс (Christopher Mims), опубликовал в статье, посвященной двухфакторной аутентификации, пароль от своей учетной записи в Twitter-е. Это было достаточно смело, если не сказать глупо.
Всего через пару дней Кристофер был вынужден не только сменить пароль, но и поменять номер мобильного телефона. Причина проста — после ввода пароля, Twitter показывает на какой номер телефона высылается одноразовый код (к слову сказать, многие другие сервисы так не делают, скрывая некоторые цифры). То есть, номер телефона известен, и его можно использовать: например послать кому-нибудь сообщение с этого номера. Когда Кристофер получил SMS где в поле отправителя значился его же собственный номер, он понял, что поступил глупо. Он поменял номер телефона, опасаясь что злоумышленники могут воспользоваться и «подставить» его – например отправить сообщение от его имени.
Далее в своей статье, он рекомендует пользоваться приложениями для генерации одноразовых паролей, на своем примере иллюстрируя, что метод аутентификации по телефону не так уж и безопасен. В этом он совершенно прав, но, на самом деле, риски здесь совершенно другого масштаба – он рисковал не только возможностью имперсонации с помощью номера его мобильного телефона, но и непосредственно взломом учетной записи.
Рассмотрим все риски более подробно.
Читать дальше →
Всего через пару дней Кристофер был вынужден не только сменить пароль, но и поменять номер мобильного телефона. Причина проста — после ввода пароля, Twitter показывает на какой номер телефона высылается одноразовый код (к слову сказать, многие другие сервисы так не делают, скрывая некоторые цифры). То есть, номер телефона известен, и его можно использовать: например послать кому-нибудь сообщение с этого номера. Когда Кристофер получил SMS где в поле отправителя значился его же собственный номер, он понял, что поступил глупо. Он поменял номер телефона, опасаясь что злоумышленники могут воспользоваться и «подставить» его – например отправить сообщение от его имени.
Далее в своей статье, он рекомендует пользоваться приложениями для генерации одноразовых паролей, на своем примере иллюстрируя, что метод аутентификации по телефону не так уж и безопасен. В этом он совершенно прав, но, на самом деле, риски здесь совершенно другого масштаба – он рисковал не только возможностью имперсонации с помощью номера его мобильного телефона, но и непосредственно взломом учетной записи.
Рассмотрим все риски более подробно.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Обход Cloudflare. Часть I
- DHCP: настройка серверов, Relay и анализ трафика в Wireshark
- Безопасная аутентификация с Indeed AM
- bit kogan: Одна из наиболее обсуждаемых тем сегодня — по какому пути пойдет дальнейшее развитие интернета в России
- Как работает машина Enigma M3 (для флота)
- Из туризма в стеганографию: история создания ChameleonLab и наш новый взгляд на контент
- Невидимые чернила в цифровом мире: технология сокрытия данных в DOCX/XLSX
- Homo CyberSecuritis. Человек эпохи кибербезопасности
- Jailbreak ChatGPT-5, системный промпт, и скрытый контекст
- [Перевод] Prompt injection engineering для атакующих: эксплойт для Copilot от GitHub