Xác thực bổ sung luôn hữu ích. Mặc dù không có gì cung cấp bảo mật hoàn hảo mà tất cả chúng ta đều muốn, việc sử dụng xác thực hai yếu tố sẽ tạo ra nhiều trở ngại hơn cho những kẻ tấn công muốn công cụ của bạn.
Công ty Điện thoại của bạn là một Liên kết Yếu
Hệ thống xác thực hai bước trên nhiều trang web hoạt động bằng cách gửi tin nhắn đến điện thoại của bạn qua SMS khi ai đó cố đăng nhập. Ngay cả khi bạn sử dụng ứng dụng chuyên dụng trên điện thoại để tạo mã, bạn có thể chọn dịch vụ ưu đãi cho phép mọi người đăng nhập bằng cách gửi mã SMS đến điện thoại của bạn. Hoặc, dịch vụ có thể cho phép bạn xóa bảo vệ xác thực hai yếu tố khỏi tài khoản của mình sau khi xác nhận bạn có quyền truy cập vào số điện thoại mà bạn đã định cấu hình làm số điện thoại khôi phục.
Tất cả điều này nghe có vẻ ổn. Bạn có điện thoại di động và có số điện thoại. Nó có một thẻ SIM vật lý bên trong nó gắn nó với số điện thoại đó với nhà cung cấp điện thoại di động của bạn. Tất cả dường như rất thể chất. Nhưng thật đáng buồn, số điện thoại của bạn không an toàn như bạn nghĩ.
Nếu bạn cần di chuyển số điện thoại hiện có sang thẻ SIM mới sau khi mất điện thoại hoặc chỉ nhận được một chiếc điện thoại mới, bạn sẽ biết những gì bạn thường có thể thực hiện hoàn toàn qua điện thoại - hoặc thậm chí có thể trực tuyến. Tất cả kẻ tấn công phải làm là gọi cho bộ phận dịch vụ khách hàng của công ty điện thoại di động của bạn và giả vờ là bạn. Họ sẽ cần biết số điện thoại của bạn là gì và biết một số chi tiết cá nhân về bạn. Đây là các loại chi tiết - ví dụ: số thẻ tín dụng, bốn số cuối của SSN và các số khác - thường xuyên bị rò rỉ trong các cơ sở dữ liệu lớn và được sử dụng để đánh cắp nhận dạng. Những kẻ tấn công có thể cố gắng để có được số điện thoại của bạn di chuyển đến điện thoại của họ.
Thậm chí còn có những cách dễ dàng hơn. Hoặc, Ví dụ: họ có thể nhận chuyển tiếp cuộc gọi được thiết lập trên đầu của công ty điện thoại để cuộc gọi thoại đến được chuyển tiếp đến điện thoại của họ và không liên lạc được với bạn.
Heck, kẻ tấn công có thể không cần truy cập vào số điện thoại đầy đủ của bạn. Họ có thể truy cập vào thư thoại của bạn, hãy thử đăng nhập vào các trang web lúc 3 giờ sáng và sau đó lấy mã xác minh từ hộp thư thoại của bạn. Hệ thống thư thoại của công ty điện thoại của bạn bảo mật như thế nào? Mã PIN thư thoại của bạn an toàn đến mức nào - thậm chí bạn có đặt mã PIN không? Không phải ai cũng có! Và, nếu bạn có, sẽ mất bao nhiêu công sức để kẻ tấn công lấy lại mã PIN thư thoại bằng cách gọi cho công ty điện thoại của bạn?
Với số điện thoại của bạn, tất cả đã qua
Số điện thoại của bạn trở thành liên kết yếu, cho phép kẻ tấn công xóa xác minh hai bước khỏi tài khoản của bạn - hoặc nhận mã xác minh hai bước - qua SMS hoặc cuộc gọi thoại. Khi bạn nhận ra có điều gì đó sai, họ có thể truy cập vào các tài khoản đó.
Đây là một vấn đề đối với mọi dịch vụ thực tế. Các dịch vụ trực tuyến không muốn mọi người mất quyền truy cập vào tài khoản của họ, vì vậy họ thường cho phép bạn bỏ qua và xóa xác thực hai yếu tố đó bằng số điện thoại của bạn. Điều này sẽ giúp nếu bạn phải đặt lại điện thoại hoặc nhận một chiếc điện thoại mới và bạn đã mất mã xác thực hai yếu tố - nhưng bạn vẫn có số điện thoại của mình.
Về mặt lý thuyết, có nghĩa vụ phải có rất nhiều sự bảo vệ ở đây. Trong thực tế, bạn đang giao dịch với những người phục vụ khách hàng tại các nhà cung cấp dịch vụ di động. Các hệ thống này thường được thiết lập cho hiệu quả và nhân viên dịch vụ khách hàng có thể bỏ qua một số biện pháp bảo vệ đối mặt với khách hàng có vẻ giận dữ, thiếu kiên nhẫn và có đủ thông tin. Công ty điện thoại và bộ phận dịch vụ khách hàng của bạn là một liên kết yếu trong bảo mật của bạn.
Bảo vệ số điện thoại của bạn thật khó. Thực tế, các công ty điện thoại di động nên cung cấp nhiều biện pháp bảo vệ hơn để làm cho điều này ít rủi ro hơn. Trong thực tế, bạn có thể muốn làm một cái gì đó của riêng bạn thay vì chờ đợi cho các tập đoàn lớn để sửa chữa thủ tục dịch vụ khách hàng của họ. Một số dịch vụ có thể cho phép bạn vô hiệu hóa khôi phục hoặc đặt lại thông qua số điện thoại và cảnh báo chống lại nó - nhưng, nếu đó là một hệ thống quan trọng, bạn có thể muốn chọn các quy trình đặt lại an toàn hơn như đặt lại mã. bạn cần chúng.
Các thủ tục đặt lại khác
Nó cũng không chỉ về số điện thoại của bạn. Nhiều dịch vụ cho phép bạn xóa xác thực hai yếu tố đó theo các cách khác nếu bạn xác nhận rằng bạn đã mất mã và cần đăng nhập. Miễn là bạn biết đủ chi tiết cá nhân về tài khoản, bạn có thể truy cập.
Hãy tự thử - hãy truy cập dịch vụ bạn đã bảo mật bằng xác thực hai yếu tố và giả vờ bạn đã mất mã. Xem những gì nó cần để có được in Bạn có thể phải cung cấp thông tin cá nhân hoặc trả lời "câu hỏi bảo mật" không an toàn trong trường hợp xấu nhất. Nó phụ thuộc vào cách dịch vụ được cấu hình. Bạn có thể đặt lại bằng cách gửi email liên kết đến một tài khoản email khác, trong trường hợp đó tài khoản email có thể trở thành một liên kết yếu. Trong một tình huống lý tưởng, bạn có thể chỉ cần truy cập vào số điện thoại hoặc mã khôi phục - và, như chúng ta đã thấy, phần số điện thoại là một liên kết yếu.
Đây là điều đáng sợ khác: Không chỉ là bỏ qua xác minh hai bước.Kẻ tấn công có thể thử các thủ thuật tương tự để bỏ qua hoàn toàn mật khẩu của bạn. Điều này có thể hoạt động vì các dịch vụ trực tuyến muốn đảm bảo mọi người có thể lấy lại quyền truy cập vào tài khoản của họ, ngay cả khi họ mất mật khẩu.
Ví dụ: hãy xem xét hệ thống Khôi phục tài khoản Google. Đây là tùy chọn mương cuối cùng để khôi phục tài khoản của bạn. Nếu bạn xác nhận không biết bất kỳ mật khẩu nào, cuối cùng bạn sẽ được yêu cầu cung cấp thông tin về tài khoản của mình như khi bạn tạo mật khẩu và người mà bạn thường xuyên gửi email. Một kẻ tấn công biết đủ về bạn về mặt lý thuyết có thể sử dụng các thủ tục đặt lại mật khẩu như thế này để truy cập vào tài khoản của bạn.
Chúng tôi chưa bao giờ nghe nói về quy trình Khôi phục tài khoản của Google bị lạm dụng, nhưng Google không phải là công ty duy nhất có các công cụ như thế này. Họ không thể hoàn toàn dễ dàng, đặc biệt nếu kẻ tấn công biết đủ về bạn.
Bất kể vấn đề gì, tài khoản có xác minh hai bước được thiết lập sẽ luôn an toàn hơn so với cùng một tài khoản không có xác minh hai bước. Nhưng xác thực hai yếu tố không phải là viên đạn bạc, như chúng tôi đã thấy với các cuộc tấn công lạm dụng liên kết yếu nhất lớn nhất: công ty điện thoại của bạn.
