Видео: IMPOSTOR HACKER AMONG US ANIMATION #2 (Ноябрь 2024)
Вероятно, вы столкнулись с одной из схем аутентификации веб-сайта, которые работают, отправив одноразовый код на ваш смартфон и попросив ввести его онлайн. Номера аутентификации мобильных транзакций (mTAN), используемые многими банками, являются одним из примеров. Google Authenticator позволяет таким же образом защищать свою учетную запись Gmail, а также поддерживают ее другие различные службы, например LastPass. К сожалению, плохие парни уже знают, как подорвать этот тип аутентификации. SMS-аутентификация TextKey - это новый подход, который защищает каждый этап процесса аутентификации.
Поверни это другой стороной
При аутентификации по старому типу SMS этот одноразовый код отправляется на зарегистрированный мобильный номер пользователя. Нет никакого способа убедиться, что код не был перехвачен вредоносным ПО или перехвачен с помощью клона телефона. Затем пользователь вводит код в браузер. Если компьютер заражен, транзакция может быть скомпрометирована. Фактически, вариант Zeus под названием zitmo (для «Zeus в мобильном телефоне») выполняет атаку команды тегов, при этом один компонент на ПК и один на мобильном устройстве взаимодействуют, чтобы украсть ваши учетные данные и ваши деньги.
TextKey полностью изменяет процесс. Это ничего вам не пишет. Вместо этого он отображает PIN-код после ввода имени пользователя и пароля и просит вас отправить этот PIN-код на указанный короткий код. Операторы сотовой связи работают очень усердно, чтобы убедиться, что один телефонный номер соответствует точно одному устройству, поэтому, если сервер TextKey вообще получает сообщение, это означает, что оператор уже подтвердил номер телефона и UDID телефона. Тут же, TextKey получает два дополнительных фактора аутентификации бесплатно!
Каждый раз ПИН-код меняется, и он действителен только в течение нескольких минут. Краткий код тоже меняется. И веб-сайт, использующий TextKey для аутентификации, может по желанию каждого пользователя создать персональный PIN-код, который необходимо добавить в начало или конец одноразового PIN-кода.
Что произойдет, если коллега по экрану с помощью PIN-кода и короткого кода будет работать на плечах, или если вредоносная программа сообщит о ваших действиях в области текстовых сообщений своему владельцу? Если система TextKey получает правильный PIN-код с неправильного номера телефона, она не просто отклоняет аутентификацию. Он также регистрирует номер телефона как мошенничество, чтобы владелец сайта мог предпринять соответствующие действия.
Нажмите на эту ссылку, чтобы попробовать TextKey. В демонстрационных целях вы введете свой номер телефона; в реальной ситуации число будет частью вашего профиля пользователя. Обратите внимание, что вы можете вызвать предупреждение о мошенничестве, введя номер, отличный от вашего.
Как вы его получите
Увы, TextKey - это не то, что вы можете реализовать как потребитель. Вы можете использовать его только в том случае, если его внедрил банк или другой защищенный сайт. Малые предприятия могут заключать договоры на проверку подлинности TextKey на основе принципа «безопасность как услуга», выплачивая от 5 до 0, 50 долл. США на пользователя в месяц в зависимости от количества пользователей. Это фиксированная ежемесячная плата за любое количество входов. Крупномасштабные операции, размещающие свои собственные серверы TextKey, оплачивают как плату за установку, так и ежемесячную плату.
Эта схема не может быть на 100 процентов безотказной, но она намного сложнее, чем старая школа аутентификации SMS. Это выходит далеко за рамки двух факторов; TextPower называет это «Омни-Фактором». Вы должны знать пароль, иметь телефон с правильным UDID, ввести отображаемый PIN-код, при желании добавить свой персональный PIN-код, отправить текст с зарегистрированного номера телефона и использовать случайный короткий код в качестве пункта назначения. Столкнувшись с этим, средний хакер, вероятно, ускользнет и взломает несколько банковских mTAN.