Ο έλεγχος ταυτότητας δύο παραγόντων δεν είναι πλέον η καλύτερη άμυνα κατά των χάκερ

Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) θα έπρεπε να είχε βάλει τέλος στο hacking των διαδικτυακών λογαριασμών, τουλάχιστον για κάποιο χρονικό διάστημα. Κι όμως… με τα χρόνια υπάρχουν διάφορες τεχνικές για να το παρακάμψεις. Πρέπει να ειπωθεί εξαρχής ότι το 2021/2022 έχει φαγητό και ποτό όσον αφορά τον έλεγχο ταυτότητας διπλού παράγοντα. Συνυπάρχουν πολλαπλοί τρόποι λειτουργίας, χωρίς να παρέχουν το ίδιο επίπεδο προστασίας.

Για την πλειοψηφία, η προτιμώμενη μέθοδος ελέγχου ταυτότητας διπλού παράγοντα για τοποθεσίες και ιδρύματα βασίζεται σε έναν κωδικό μίας χρήσης (OTP). Αυτά είτε δημιουργούνται δυναμικά από μια εφαρμογή στο smartphone σας είτε από μια εξωτερική συσκευή. Ή – και αυτό δυστυχώς συμβαίνει τις περισσότερες φορές – μπορούν να ληφθούν με SMS όταν είναι απαραίτητο.

Ο αριθμός των ενοχλητικών εργαλείων διευκολύνει την παραβίαση λογαριασμών που ασφαλίζονται με έλεγχο ταυτότητας 2FA

Εκτός από αυτόν τον τύπο ελέγχου ταυτότητας, βασίζονται επίσης οι λειτουργίες 2FA φυσικά κλειδιά ασφαλείας όπως το Yubikey Και google titan, Η ιδέα είναι η ίδια κάθε φορά: Εκτός από το όνομα χρήστη και τον κωδικό πρόσβασής σας, οποιαδήποτε σύνδεση με τους λογαριασμούς σας σημαίνει μετάδοση και κάτι άλλο, ώστε η ταυτότητά σας να είναι βέβαιο ότι θα διαρκέσει.

Στα χαρτιά η μέθοδος φαίνεται ανίκητη. Αλλά ανιχνεύουμε γρήγορα μεγάλα λάθη. Για παράδειγμα, η παράκαμψη του ελέγχου ταυτότητας δύο παραγόντων είναι σχετικά ασήμαντη, όταν ο τελευταίος βασίζεται στον κωδικό OTP που λαμβάνεται μέσω SMS. Οι χάκερ μπορούν να χρησιμοποιήσουν την τεχνολογία ανταλλαγής SIM για αυτό. Εάν έχει προσωπικά δεδομένα για εσάς.

Απευθείας, θα πάει στον χειριστή σας για εσάς και θα σας ζητήσει ένα αντίγραφο της κάρτας SIM που θα του επιτρέψει να λάβει όλα τα SMS σας. Μπορούν επίσης να μολύνουν το smartphone του θύματός τους και έτσι να κατασκοπεύουν το email τους. Οι κίνδυνοι έναντι των οποίων μπορεί να μετριαστεί η χρήση μιας γεννήτριας φυσικού κώδικα ή smartphone. Η φυσική ασφάλεια έχει τη μορφή κλειδιού.

READ  Αναπτύχθηκε η θερμική ασπίδα του τηλεσκοπίου James-Webb, ένα κρίσιμο βήμα στην αποστολή

Ωστόσο, μια μελέτη που διεξήχθη από κοινού από το Πανεπιστήμιο Stony Brook και την εταιρεία Palo Alto Networks υπογραμμίζει την αυξανόμενη δημοτικότητα ακόμη πιο τρομερών νέων μεθόδων κατά του ελέγχου ταυτότητας δύο παραγόντων που διευκολύνεται από διανεμημένα κιτ εργαλείων. σε σκοτεινό δίχτυ, Μιλάμε για όλες τις λύσεις που βιομηχανοποιούν τις καμπάνιες phishing και απλοποιούν την κλοπή δεδομένων σύνδεσης 2FA, ώστε ακόμη και ένας άπειρος χάκερ να πετύχει τους στόχους του.

Χάρη στα cookie σύνδεσης, το αν είναι ενεργοποιημένος ο έλεγχος ταυτότητας δύο παραγόντων έχει μικρή σημασία

Συνολικά, οι ερευνητές αναφέρουν ότι έχουν εντοπίσει περισσότερες από 1.200 από αυτές τις συσκευές που απειλούν να κάνουν την ασφάλεια του ελέγχου ταυτότητας δύο παραγόντων σχεδόν αμελητέα. Δεν τους ενδιαφέρει πλέον καν να κλέψουν κωδικούς σύνδεσης μίας χρήσης – αντ’ αυτού, πρόκειται για την εξαγωγή των cookie σύνδεσής σας, αυτά τα μικρά αρχεία που περιέχουν όλα τα δεδομένα που απαιτούνται για να επιβεβαιώσουν ότι έχετε επαληθευτεί καλά.

Σύμφωνα με τους ερευνητές, αυτά τα cookies συνήθως κλέβονται με δύο τρόπους. Οι χάκερ μπορούν να μολύνουν τα θύματά τους με εξειδικευμένο κακόβουλο λογισμικό ή μπορούν να τα απορροφήσουν απευθείας προσποιούμενοι ότι είναι δημόσιος χώρος υποδοχής WiFi. Μια τεχνική γνωστή ως “man-in-the-middle” (mitum). Μόλις οι χάκερ αποκτήσουν αυτά τα cookies, έχουν απεριόριστη πρόσβαση στους λογαριασμούς σας από οποιοδήποτε μηχάνημα.

Τουλάχιστον μέχρι να λήξουν τα εν λόγω cookies. Σε ορισμένους λογαριασμούς όπως το Facebook, το Instagram ή το TikTok, αυτά τα cookies μπορεί να έχουν πολύ μεγάλες ημερομηνίες λήξης, γεγονός που αντιπροσωπεύει αυξημένο κίνδυνο για τα θύματα. Μένει να δούμε πώς θα συνδέσουμε αυτό το σημαντικό αδύναμο σημείο στην αλυσίδα ασφαλείας του Διαδικτύου: τα cookie σύνδεσης εμφανίζονται σε αυτό το στάδιο ως ένα εργαλείο που πρέπει να τροποποιηθεί πλήρως για την καλύτερη προστασία της ασφάλειας των διαδικτυακών λογαριασμών.

READ  Κβαντική τηλεμεταφορά έως 44 χιλιόμετρα. Οι Αμερικανοί θέτουν σε λειτουργία τις βασικές αρχές του κβαντικού διαδικτύου - VTM.cz

Διαβάστε επίσης – Ιρανοί χάκερ αναπτύσσουν κακόβουλο λογισμικό Android για να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων SMS

Είναι κρίμα όταν έχουν γίνει οι διαδικτυακές πλατφόρμες Προσπάθειες κανονικοποίησης της χρήσης ελέγχου ταυτότητας δύο παραγόντων, που ακόμα παλεύει να κερδίσει. Σε κάθε περίπτωση, αυτή η μελέτη δείχνει ότι προτού μιλήσουμε για έλεγχο ταυτότητας δύο παραγόντων, υπάρχει ακόμη πολλή δουλειά να κάνουμε για την ασφάλεια των δεδομένων μας στο διαδίκτυο. Μένει να δούμε πόσο καιρό θα διαρκέσει η κατάσταση μέχρι να υπάρξει μια πραγματικά αποτελεσματική λύση.

Bitdefender Plus Antivirus

από: bitdefender

Haralambos Barberakos

"Εμπειρογνώμονας για τη δια βίου μπύρα. Βραβευμένο maven μπέικον. Μελετητής μουσικής. Οπαδός του Διαδικτύου. Buff αλκοόλ."

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Back to top