わずか数日で、クリストファーはパスワードの変更だけでなく、携帯電話番号の変更も余儀なくされました。 その理由は簡単です-パスワードを入力すると、Twitterはワンタイムコードの送信先の電話番号を表示します(ちなみに、他の多くのサービスはこれを行わず、一部の番号を非表示にします)。 つまり、電話番号は既知であり、使用できます。たとえば、この番号から誰かにメッセージを送信します。 クリストファーは、送信者のフィールドに自分の番号が記載されたSMSを受信すると、自分が愚かな行為をしたことに気付きました。 彼は電話番号を変更し、攻撃者が彼を利用して彼を「代理」することを恐れて-たとえば、彼に代わってメッセージを送信します。
彼の記事の後半では、ワンタイムパスワードの生成にアプリケーションを使用することを推奨し、電話による認証方法はそれほど安全ではないことを例で示しています。 この点で彼は絶対に正しいのですが、実際、ここでのリスクはまったく異なる規模です-彼は自分の携帯電話番号を使用したなりすましの可能性だけでなく、アカウントを直接ハッキングするリスクもありました。
すべてのリスクをより詳細に検討してください。
なりすまし
クリストファーはこれを最も恐れていましたが、結果は最小限であり、これはラリーにのみ使用できます(ただし、ラリーは重大な結果をもたらす可能性があります)。 事実、インターネット上に非常に多くあるSMSゲートウェイでは、送信者の名前として任意の文字セットを指定できます。これは、主に送信者のアルファベット名に使用されますが、数字や任意のものに置き換えることができます。 私がテストしたいくつかのSMSゲートウェイのうち、送信者の名前の「モデレーション」手順があったのは1つだけでしたが、理解しているように、番号の所有権を確認することを意味しません。問題なく友人の番号を送信者のフィールドに追加し、テストSMSを送信しました。
Simカードの複製
すべての銀行で、本人確認手続きは非常に厳格です(時には不条理に達します)。 しかし、多くのオンラインバンキングシステムが携帯電話番号を使用して取引を確認しているという事実にもかかわらず、モバイルオペレーターの場合はそうではありません。 私の経験から例を挙げましょう:今年は重複したSIMカードを2回注文しました(ナノSIMが必要でした)どちらの場合も、電話番号のみを要求し、IDは要求しませんでした。 昨日より遅く、興味のために、私はすでに前払いで隣国で同じ操作をしました、そして、状況は正確に繰り返されました-文書は尋ねられませんでした。 上記のすべての例で、アクションは中央ヨーロッパの国で行われました。
ボイスメール
Googleシステムを含む多くの2要素認証システムは、SMSに加えて、ロボットがワンタイムパスワード番号を送信する通常の電話を提供します。 これは、携帯電話がない場合、または部屋の信号レベルに問題がある場合に便利です。 ただし、その番号でボイスメールが有効になっていると、ボイスメールが傍受されるリスクが生じます。 たとえば、これは2012年にCloudflare CEOのMatthew Princeとともに起こりました。 このインシデントでは、ソーシャルエンジニアリングが部分的に使用されていましたが、この方法を使用せずに、発信者の番号を変更するサービス(たとえば、 SpoofCard )を使用できます。 この攻撃は、ボイスメールにアクセスするときに、発信者の発信者IDが加入者番号と一致する場合、多くのオペレーターが追加の検証を必要としないという事実に基づいています。 オーストラリアのセキュリティ専門家であるShubham Shahはかなり広範な調査を実施し、Linkedin、Facebook、Googleなどのリソースに問題が存在することを発見しました(現在も存在します)。今日、多くの人々が問題を修正していますが、 GoogleとYahooはこれを脆弱性とは見なしておらず、何もしません。 したがって、ヒント-これらのサービスのメインメソッドとして音声通話が選択されている場合は、SMSに変更するか、モバイルアプリケーションでメソッドを選択することをお勧めします。
結論
SMSと音声通話は確かに便利ですが、結局のところ、同じモバイルアプリケーションやハードウェアキーほど安全で信頼性が高くありません。 ところで、モバイルアプリケーションも理想的ではありませんが、そこにあるリスクは桁違いに少なくなります。
しかし、多くの人にとって、それは一般的な真実のように思えますが、それでもパスワードは依然として重要であることを思い出します:2要素認証の利点は正確に2つの要素にあり、プロセスからパスワードを削除することで、1つの要素を他の要素と一緒に取得しますが、それでもリスクがあります。