Raziskovalci na univerzi Princeton so se spraševali, ali je pošiljanje besedilnih sporočil SMS varna metoda preverjanja pristnosti, ki jo je treba uporabiti kot en dejavnik pri nastavitvi dvofaktorske overitve (2FA). Odgovor se je izkazal kot odmevno št, še posebej, ker je ekipa začela napadati predplačniške načrte na največje mobilne operaterje.
Če lahko napadalec pridobi nadzor nad telefonsko številko s preklopom računa žrtve na kartico SIM napadalca, napadalec lahko nato ugrabi postopek preverjanja, ki uporablja SMS, tako da prejme avtentična besedilna sporočila namesto žrtve. V desetih od desetih poskusov kraje številk predplačniškim strankam v podjetjih AT&T, Verizon in T-Mobile so raziskovalci uspeli račun prenesti na lastno kartico SIM. Poskusi Tracfone in US Mobile so bili manj uspešni, vendar ti prevozniki niso bili popolnoma varni.
Verizon ponuja Pixel 4a za samo 10 USD mesečno na novih linijah Unlimited
V nekaterih primerih so raziskovalci poklicali, da poskušajo ukrasti identiteto uporabnika, vodja pa je bil predstavnik službe za stranke jim odgovorili na pravilne odgovore za preverjanje identitete ali pa so napadalcu preprosto omogočili dostop, tudi ko so uganili nepravilno. Raziskovalci so ugotovili veliko nedoslednost, občasne neuspehe pri popolni preveritvi identitete in na splošno dovolj šibkosti v varnostnih politikah, da priporočamo izogibanje SMS-om kot načinu preverjanja pristnosti gesla v celoti. T-Mobile je po objavi študije lani prevoznikom dejal, da je posodobil svoje metode preverjanja, da bi se izognili manj varnim pregledom.
Poročilo predlaga, da prevozniki opustijo vse zanič, negotove metode, ki se trenutno uporabljajo, in preidejo na varne metode, kot so geslo / PIN računa ali vsaj enkratna koda, poslana neposredno uporabniku prek SMS-a ali E-naslov. Številne trenutne oblike identifikacije, kot so poštni naslov, datum rojstva in nekatere informacije o kreditnih karticah, je mogoče najti z javnimi iskanji. Podatke za ugotavljanje istovetnosti, na primer datum zadnjega plačila žrtve ali telefonske številke nedavnih klicateljev, je mogoče prirejati ali ponarejati, da bi prevarali predstavnike. Prav tako priporočamo, da spletna mesta prenehajo uporabljati SMS kot del večfaktorske sheme za preverjanje pristnosti.
Dvofaktorska overitev: vse, kar morate vedeti
Ste že poslušali Android Central Podcast tega tedna?
Android Central Podcast vam vsak teden prinaša najnovejše tehnološke novice, analize in vroče posnetke z znanimi sovoditelji in posebnimi gosti.
- Naročite se na žepne zasedbe: Zvok
- Naročite se na Spotify: Zvok
- Naročite se v iTunes: Zvok
Za nakup lahko z našimi povezavami zaslužimo provizijo. Nauči se več.
To so najboljše brezžične slušalke, ki jih lahko kupite za vsako ceno!
Najboljše brezžične ušesne slušalke so udobne, odlično se slišijo, ne stanejo preveč in jih enostavno spravite v žep.
Vse, kar morate vedeti o PS5: datum izdaje, cena in še več.
Sony je uradno potrdil, da dela na PlayStation 5. Tukaj je vse, kar vemo o tem doslej.
Nokia je predstavila dva nova proračunska telefona Android One, mlajša od 200 USD.
Nokia 2.4 in Nokia 3.4 sta zadnji dodatek k proračunski liniji pametnih telefonov HMD Global. Ker sta obe napravi Android One, bodo do treh let zagotovo prejemali dve glavni posodobitvi OS in redne varnostne posodobitve.
Tu so najboljši primeri za Galaxy S10.
Čeprav to ni najnovejši telefon, je Galaxy S10 eden najlepših in najbolj spolzkih telefonov na trgu. Poskrbite, da ga opremite z enim od teh primerov.