Видео: IMPOSTOR HACKER AMONG US ANIMATION #2 (Ноември 2024)
Вероятно сте се сблъскали с една от схемите за удостоверяване на уебсайтове, които работят, като изпратите еднократен код на вашия смартфон и го въведете онлайн. Мобилните номера за удостоверяване на транзакции (mTAN), използвани от много банки, са един пример. Google Authenticator ви позволява да защитите своя акаунт в Gmail по същия начин, а различни други услуги - например LastPass - също го поддържат. За съжаление, лошите момчета вече знаят как да подриват този тип удостоверяване. SMS автентификацията на TextKey е нов подход, който защитава всеки етап от процеса на удостоверяване.
Обърни го
Удостоверяването чрез SMS в стар стил изпраща този еднократен код до регистрирания от потребителя мобилен номер. Няма начин да сте сигурни, че кодът не е бил хванат от злонамерен софтуер или прихващан с помощта на клонинг на телефона. След това потребителят въвежда кода в браузъра. Ако компютърът е заразен, транзакцията може да бъде компрометирана. Всъщност вариант на Зевс, наречен zitmo (за „Зевс в мобилния телефон“), извършва атака на екип с етикети, като един компонент на компютъра и един на мобилния телефон съдействат за открадване на вашите идентификационни данни и вашите пари.
TextKey обръща целия процес. Това не ви изпраща нищо. Вместо това той показва ПИН, след като въведете вашето потребителско име и парола и ви помоли да изпратите този ПИН на определен кратък код. Клетъчните оператори работят много усилено, за да се уверят, че един телефонен номер съвпада точно с едно устройство, така че ако TextKey сървърът получи съобщението изобщо, това означава, че операторът вече е потвърдил телефонния номер и UDID на телефона. Точно там TextKey получава два добавени фактора за удостоверяване безплатно!
ПИН кодът е различен всеки път и е валиден само за няколко минути. Краткият код също варира. И уебсайт, използващ TextKey за удостоверяване, по желание може да изисква от всеки потребител да създаде личен ПИН, който трябва да бъде добавен към началото или края на еднократния ПИН.
Какво се случва, ако един колега сърфира през рамо с екрана с ПИН и кратък код или злонамерена програма докладва на вашата собственик за текстови съобщения? Ако системата TextKey получи правилния ПИН от грешен телефонен номер, тя не само отхвърля удостоверяването. Той също така регистрира телефонния номер като измама, така че собственикът на сайта може да предприеме подходящи действия.
Кликнете върху тази връзка, за да опитате TextKey. За демонстрационни цели ще въведете телефонния си номер; в реална ситуация номерът ще бъде част от потребителския ви профил. Имайте предвид, че можете да задействате сигнала за измама, като въведете номер, различен от вашия собствен.
Как го получавате
Уви, TextKey не е нещо, което можете да внедрите като потребител. Можете да се възползвате от него само ако банката или друг защитен сайт го е приложил. Малките фирми могат да сключват договор за автентификация на TextKey на базата на сигурност като услуга, като плащат от $ 5 до $ 0, 50 на потребител на месец, в зависимост от броя на потребителите. Това е фиксирана месечна такса за произволен брой влизания. Операциите с голям мащаб, хостващи собствени сървъри TextKey, плащат такса за настройка, както и месечна такса.
Тази схема може да не е 100 процента невъзможности, но е значително по-трудна от автентифицирането на SMS в старата школа. Той надхвърля двуфакторния; TextPower го нарича "Omni-Factor." Трябва да знаете паролата, да притежавате телефона с правилния UDID, да въведете показания ПИН, по желание да добавите личния си ПИН, да изпратите текста от регистрирания си телефонен номер и да използвате случайния кратък код като дестинация. Сблъсквайки се с това, средният хакер вероятно ще се отскубне и ще напука няколко банкови mTAN.