Os sistemas de autenticação de dois fatores não são tão seguros quanto parecem. Na verdade, um invasor não precisa do seu token de autenticação física se conseguir enganar sua empresa telefônica ou o próprio serviço seguro para permitir que eles entrem.

A autenticação adicional é sempre útil. Embora nada ofereça a segurança perfeita que todos queremos, o uso de autenticação de dois fatores coloca mais obstáculos para os invasores que querem suas coisas.

A sua empresa de telefonia é um link fraco

RELACIONADOS: Proteja-se usando dois Verificação de etapa nesses 16 serviços da Web

Os sistemas de autenticação de duas etapas em muitos sites funcionam enviando uma mensagem para seu telefone via SMS quando alguém tenta efetuar login. Mesmo se você usar um aplicativo dedicado no telefone para gerar códigos, Há uma boa chance de o seu serviço de escolha oferecer para que as pessoas façam login enviando um código SMS para o seu telefone. Ou, o serviço pode permitir que você remova a proteção de autenticação de dois fatores da sua conta após confirmar que você tem acesso a um número de telefone que você configurou como um número de telefone de recuperação.

Tudo isso soa bem. Você tem seu celular e tem um número de telefone. Ele tem um cartão SIM físico dentro dele que o vincula a esse número de telefone com o seu provedor de celular. Tudo parece muito físico. Mas, infelizmente, o seu número de telefone não é tão seguro quanto você pensa.

Se você já precisou mover um número de telefone existente para um novo cartão SIM depois de perder seu telefone ou apenas comprar um novo, sabe o que você pode fazer por telefone - ou talvez online. Tudo o que um invasor precisa fazer é ligar para o departamento de atendimento ao cliente da sua empresa de telefonia celular e fingir que é você. Eles precisarão saber qual é o seu número de telefone e saber alguns detalhes pessoais sobre você. Esses são os tipos de detalhes - por exemplo, número do cartão de crédito, últimos quatro dígitos de um SSN e outros - que vazam regularmente em grandes bancos de dados e são usados ​​para roubo de identidade. O invasor pode tentar transferir o número do seu telefone para o telefone.

Há maneiras ainda mais fáceis. Ou, por exemplo, eles podem obter o encaminhamento de chamadas configurado no final da empresa telefônica para que as chamadas de voz recebidas sejam encaminhadas para o telefone e não cheguem à sua.

Heck, um invasor talvez não precise acessar seu número de telefone completo . Eles podem obter acesso ao seu correio de voz, tentar acessar os sites às 3 da manhã e, em seguida, pegar os códigos de verificação do seu correio de voz. Quão seguro é o sistema de correio de voz da sua empresa de telefonia, exatamente? Quão seguro é o seu PIN de correio de voz - você já definiu um? Nem todo mundo tem! E, em caso afirmativo, quanto esforço seria necessário para um invasor redefinir o PIN do correio de voz ligando para sua empresa de telefonia?

Com seu número de telefone, está tudo

RELACIONADOS: Como evitar Ficando bloqueado ao usar a autenticação de dois fatores

Seu número de telefone se torna o elo mais fraco, permitindo que o invasor remova a verificação em duas etapas da sua conta ou receba códigos de verificação em duas etapas via SMS ou chamadas de voz. Quando você percebe que algo está errado, eles podem ter acesso a essas contas.

Este é um problema para praticamente todos os serviços. Os serviços on-line não querem que as pessoas percam o acesso às suas contas, de modo que geralmente permitem que você ignore e remova a autenticação de dois fatores com seu número de telefone. Isso ajuda se você teve que redefinir seu telefone ou obter um novo e perdeu seus códigos de autenticação de dois fatores - mas você ainda tem seu número de telefone.

Teoricamente, deve haver muita proteção aqui . Na realidade, você está lidando com o pessoal de atendimento ao cliente em provedores de serviços de telefonia celular. Esses sistemas costumam ser configurados para a eficiência, e um funcionário de atendimento ao cliente pode ignorar algumas das salvaguardas enfrentadas por um cliente que parece irritado, impaciente e tem o que parece ser informação suficiente. Sua empresa de telefonia e seu departamento de atendimento ao cliente são um elo fraco na sua segurança.

A proteção do seu número de telefone é difícil. Realisticamente, as empresas de telefonia celular devem oferecer mais garantias para tornar isso menos arriscado. Na realidade, você provavelmente quer fazer algo por conta própria, em vez de esperar que as grandes corporações corrijam seus procedimentos de atendimento ao cliente. Alguns serviços podem permitir que você desative a recuperação ou redefina os números de telefone e avise-os amplamente - mas, se for um sistema de missão crítica, talvez seja melhor escolher procedimentos de redefinição mais seguros, como códigos de redefinição que você pode bloquear em um cofre de banco você sempre precisa deles.

Outros procedimentos de reinicialização

RELACIONADOS: As perguntas de segurança são inseguras: como proteger suas contas

Não se trata apenas do seu número de telefone. Muitos serviços permitem que você remova essa autenticação de dois fatores de outras maneiras, se você afirma que perdeu o código e precisa fazer o login. Contanto que você saiba detalhes pessoais suficientes sobre a conta, você poderá entrar.

Tente você mesmo - vá para o serviço que você protegeu com autenticação de dois fatores e finja que perdeu o código. Veja o que é preciso para entrar. Você pode ter que fornecer detalhes pessoais ou responder a “perguntas de segurança” inseguras no pior dos casos. Depende de como o serviço está configurado. Você pode redefini-la enviando um link por e-mail para outra conta de e-mail e, nesse caso, essa conta de e-mail pode se tornar um link fraco. Em uma situação ideal, você só precisa acessar um número de telefone ou códigos de recuperação - e, como vimos, a parte do número de telefone é um link fraco.

Aqui está algo mais assustador: não se trata apenas de ignorar dois verificação de etapas. Um invasor pode tentar truques semelhantes para ignorar sua senha completamente. Isso pode funcionar porque os serviços on-line querem garantir que as pessoas possam recuperar o acesso a suas contas, mesmo se perderem suas senhas.

Por exemplo, dê uma olhada no sistema de recuperação de conta do Google. Essa é a última opção para recuperar sua conta. Se você alegar não conhecer senhas, você será solicitado a receber informações sobre sua conta, como quando a criou e com quem você envia e-mails com frequência. Um invasor que sabe o suficiente sobre você poderia, teoricamente, usar procedimentos de redefinição de senha como esses para obter acesso às suas contas.

Nunca ouvimos falar do abuso do processo de recuperação de conta do Google, mas o Google não é a única empresa com ferramentas como esta. Eles não podem ser totalmente infalíveis, especialmente se um invasor souber o bastante sobre você.

Quaisquer que sejam os problemas, uma conta com a configuração de verificação em duas etapas sempre será mais segura do que a mesma conta sem verificação em duas etapas. Mas a autenticação de dois fatores não é uma bala de prata, como vimos com ataques que abusam do maior elo fraco: sua companhia telefônica.

Como usar o SmartThings para acender luzes automaticamente ao entrar em um quarto

Se você está cansado de ter que encontrar e se atrapalhar com o interruptor de luz toda vez que entra em um quarto escuro, você pode use o SmartThings para automatizar esse processo e faça as luzes se acenderem automaticamente quando você entrar. Existem algumas maneiras de fazer isso, e isso depende do tipo de produto que você tem em seu arsenal.

(how-to)

Como agrupar rapidamente renomear arquivos no Windows, no Mac OS X ou no Linux

O Windows, o Mac OS X e a maioria dos computadores Linux possuem ferramentas internas para renomear rapidamente vários arquivos. Use uma ferramenta de renomeação em lotes em vez de corrigi-los um por um. Recursos mais poderosos de renomeação de lotes podem exigir uma ferramenta de terceiros ou a linha de comando.

(how-to)