L'autenticazione a due step è diventata diffusa tra molti fornitori di servizi on-line. Richiedendo agli utenti di accedere utilizzando il loro telefono o qualsiasi altro dispositivo mobile dopo aver fornito il proprio nome utente e password, operatori di telefonia mobile potrebbero inavvertitamente esporre i loro clienti a minacce di sicurezza informatica, semplicemente basandosi su quel secondo fattore di autenticazione di.
Story correlati: Invisible Man Android Trojan colpisce gli utenti di applicazioni bancarie
Come possono gli hacker Utilizzare gli operatori mobili a Hack voi?
La logica e la razionalità potrebbero condurci alla conclusione che un sistema di autenticazione a due fattori è una caratteristica necessaria nel trattare con le minacce di sicurezza informatica, indipendentemente dal fatto che tale sistema è implementato in servizi finanziari o semplicemente il login al tuo account Facebook. Tuttavia, le persone tendono a diventare preoccupati con l'ex, garantire l'accesso ai loro conti finanziari diventa la narrativa dominante, obliviously trascurando il fatto che tali precauzioni possono essere resi inutili se un hacker può accedere al proprio account di posta elettronica. E 'quasi un obbligo universale; firmare con qualsiasi servizio online, e non v'è poca o nessuna possibilità che non sarebbe stato chiesto di fornire un indirizzo e-mail con la tua registrazione. Da qui, essere in controllo del tuo indirizzo email, si può facilmente richiedere un'email di reimpostazione della password inviato loro, che segue per quanto riguarda le potenziali minacce alla sicurezza informatica, è evidente.
Non dovrebbe essere una sorpresa vedere fornitori di servizi webmail al giorno d'oggi di iniziare a incoraggiare attivamente un sistema di autenticazione a due fattori oltre a suggerire combinazioni di password sempre più complesse e diversificate per i loro utenti. In tali casi, un'all'utente viene chiesto di inserire il proprio numero di cellulare per loro conto, che viene poi utilizzato per inviare un codice one-time, destinato a scadere dopo un certo periodo di tempo, che deve essere inserito dopo aver fornito la password di account. Si tratta di un semplice e tuttavia un concetto efficiente, con la premessa è che se in qualche modo gli hacker riescono a ottenere l'accesso alla tua password di posta elettronica - via phishing o altri metodi, avrebbero ancora bisogno di accedere al vostro telefono cellulare in modo da ottenere il codice di un tempo, in tal modo ottenere l'accesso al proprio account di posta elettronica.
Ironico come è, la forma comunemente usata di autenticazione a due fattori che di un codice di una volta sotto forma di un messaggio di testo viene inviato al telefono cellulare dell'utente, distribuito attraverso i loro operatori di telefonia mobile, è anche il meno sicuro. Con quello in mente, Non tutti i metodi di autenticazione a due fattori sono ugualmente sicuro per la loro base di utenti. per gli hacker, l'intero metodo di autenticazione a due fattori potrebbe rivelarsi inevitabilmente come un facile exploit. Se un utente malintenzionato riesce a Phish la tua password di posta elettronica, non ci sono precauzioni o misura di sicurezza messe in atto per impedire loro di impegnarsi in ingegneria sociale e suonare il vostro operatore di telefonia mobile, travestendosi da te, sostenendo di aver perso il telefono. Da lì non c'è molto fastidio nel modo di hacker per richiedere l'attivazione di un nuovo telefono cellulare e una nuova carta SIM corrispondente per andare con esso. Meno di tutti, persone mostrare un comportamento credulone per tutto il tempo; gli hacker potrebbero anche l'assistenza clienti telefonica che fingono di essere voi e richiedere tutte le chiamate e il testo essere inoltrate a un numero di telefono diverso.
Mobili vettori e cosa si può fare per evitare che un'intrusione di verificarsi
Si consiglia di stare lontano da servizi di autenticazione a due fattori che i codici degli utenti di testo. Invece, potresti prenderti un momento e verificare se i servizi online che utilizzi e che offrono un'autenticazione a due fattori potrebbero anche utilizzare un metodo di autenticazione basato su app come Google Authenticator e Authy. Le organizzazioni sono state recentemente sollecitate dal National Institute of Standards and Technology ad adottare altre forme di autenticazione a due fattori in una nuova proposta di linea guida per l'autenticazione digitale: le password monouso basate sul tempo generate dalle applicazioni mobili sono un'alternativa proposta al metodo di messaggio di testo comunemente utilizzato.
Krebsonsecurity ha evidenziato in larga misura quanto la tua e-mail possa essere preziosa per gli hacker e i pericoli a cui un'e-mail compromessa espone il suo proprietario. Gli utenti sono incoraggiati a prendere tempo fuori del vostro programma di rivedere tutte le opzioni di autenticazione disponibili per i servizi online utilizzati su base regolare. Puoi farlo visitando twofactorauth.org. Per esempio, un “Facebook” di ricerca di base rivelerà che la piattaforma di social networking offre opzioni di autenticazione secondarie attraverso altri mezzi diversi messaggi di testo che comprendono token hardware (sotto forma di una chiave di sicurezza USB fisica o di un token software (Google Authenticator).
In alcuni casi, come è con Facebook, se si fosse in precedenza optato per un'autenticazione a due fattori e ha ricevuto un token one-time via SMS, potrebbe essere necessario disattivare temporaneamente la funzionalità di autenticazione a due fattori tramite SMS se si decide di passare a un diverso metodo di autenticazione che non coinvolge i tuoi operatori di telefonia mobile.
Ci sono naturalmente altri piccoli inconvenienti per coloro che si occupano di grandi capitali per sé e la necessità che la maggiore tranquillità che la loro sicurezza è garantita e le attività ben protetto. Molti siti di grandi dimensioni che si occupano di grande capitale vincolato a servizi on-line non forniscono ancora molto conforto e serenità per i loro utenti principalmente a causa di non così solide opzioni di autenticazione.
Nel malaugurato caso che il telefono viene rubato o si perde, gli esperti suggeriscono che il telefono il tuo gestore di telefonia mobile e richiedere che la scheda SIM è bloccata al dispositivo, impedendo il telefono venga utilizzato con un'altra carta SIM. Si potrebbe anche chiedere al vostro provider di impostare un codice di accesso o un PIN sul tuo account che deve essere fornita prima che un rappresentante del servizio clienti ha il compito di discutere o modificare uno qualsiasi dei tuoi dati e le informazioni personali.
Su un'altra nota, è importante applicare un sistema di autenticazione a due fattori per il tuo account, anche se l'unico disponibile è l'autenticazione tramite un codice di una volta inviato attraverso come messaggio di testo. Si tratta di un passo di sicurezza utile che non dovrebbe escludere disponibili opzioni di autenticazione a due fattori, in assenza di metodi alternativi di autenticazione a due fattori. Detto ciò, qualsiasi forma di autenticazione a due fattori è meglio che fare affidamento esclusivamente su un semplice nome utente e una password per quanto complessa e sofisticata possa essere.
Va da sé, ma operatori di telefonia mobile non sono l'unica potenziale vulnerabilità, si dovrebbe rimanere vigili e sagace durante l'installazione di applicazioni sul tuo dispositivo mobile. Facciamo in modo di trascorrere del tempo alla ricerca l'applicazione e la reputazione dello sviluppatore prima di impegnarsi ad installarlo. Un'altra cosa da essere cauti è alcuna autorizzazione poste da applicazioni così come i permessi che avete già dato a nessuna delle vostre applicazioni esistenti. Se il telefono è compromesso da malware mobile, non va bene, o qualsiasi utilità per voi se si decide di una funzione di autenticazione a due fattori.