Давно собирался написать об этом, но как то не доходили руки. На днях уже на себе ощутив всю прелесть данного метода защиты, решил что время таки пришло.
Итак, двухэтапная аутентификация подразумевает под собой дополнительную защиту ваших электронных данных через привязку мобильного телефона и подтверждения входов или иных операций через SMS.
Ситуация: человек теряет телефон. В моем случае, не новый, но любимый, телефон подаренный девушке. Спустя пол часа после «утери» его успешно отвязывают от iCloud. На телефоне был установлен нестандартный пароль разблокировки, активирован TouchID, пароль iCloud уверенно попадает под категорию сложных. Телефон блокирован через службу FindMyIphone.
Первый кейс
Злоумышленник узнает Apple ID под который подвязан телефон, а также номер телефона. Методов для этого — на любой вкус, так что пропустим этот момент. Допустим это почта зарегистрированная в Google.
Действие первое: человек заходит на адрес почтовика и жмет восстановление пароля к имеющемуся адресу, выбирая смс подтверждение.
Действие второе: телефон защищен паролем и отображение входящих сразу на экране отключено. Окей, просим Siri озвучить последнее сообщение и несмотря на блокированное устройство — получаем код.
Альтернативный вариант: после отправки смс, выбираем звонок и спокойно принимаем его на блокированном устройстве. Код получаем через озвучивание его IVR’ом.
Действие третье: вводим код сброса пароля в форму почтовика, придумываем новый пароль и получаем контроль над учетной записью.
Действие четвертое: идем на appleid.com запрашиваем сброс и получаем код для этого на уже захваченную почту.
Действие пятое: отвязываем устройство от учетной записи, проделав уже совсем простые операции по смене секретных вопросов.
Занавес.
Стоит отметить, что процедура восстановления доступа к аккаунту Apple, может отличаться и в некоторых случаях подразумевать и более легкий способ — выбор в форме восстановления доступа к аккаунту «телефон» и получения кода для ввода пароля напрямую на сайте Apple ID. Способ работает в случае, если устройство уже некоторое время закреплено за учетной записью и защищено паролем или TouchID. Не будем останавливаться на этом.
Второй кейс
Предположим, злоумышленнику требуется получить доступ к данным, но телефона к которому подключено подтверждение через номер доступа нет. Более того, в отличии от первого кейса, злоумышленник изначально знает «кого» он пытается взломать. Целью выступает почта.
Не возьмусь говорить о других странах, но в Украине у операторов сотовой связи существуют процедуры, следуя которым и ответив на определенные вопросы оператора кол центра можно попросить сброс пароля личного кабинета.
Действие первое: Злоумышленник звонит в том время, когда жертва спит, в КЦ оператора, с любого телефона, говорит, что ему требуется получить доступ к личному кабинету, но перезвонить с телефона к которому этот кабинет привязан возможности нет. Далее следует серия вопросов, ответы на которые несложно получить заранее. Не буду останавливаться на этом пункте, но примерно с пяти попыток, не привлекая внимание и используя разные номера телефона для тестовых звонков в КЦ можно собрать список всех необходимых вопросов, которые одинаковы и для получения информации по расходам абонента, и для восстановления сим карты абонентов предоплаченной формы связи и для восстановления доступа к личному кабинету.
Действие второе: злоумышленник получает доступ к кабинету жертвы, где устанавливает переадресацию всех звонков на свой номер телефона. Или же переадресацию SMS, если это технически позволяет кабинет.
Действие третье: на gmail запрашивается сброс пароля через номер телефона. После отправки смс, можно указать, что оно не было получено и запросить звонок, тестово, кнопка звонка появилась через 60 секунд после отправки SMS.
Действие четвертое: получив код для сброса пароля на gmail через IVR почтовика, злоумышленник получает доступ к почте жертвы, и соответственно, к большей части аккаунтов, которые закреплены за этой почтой.
Выше я указывал, что такие действия обычно выполняются в ночное время суток. Расчет на то, что при получении SMS с кодом, жертва его не увидит т.к. будет спать. Если же личный кабинет мобильного оператора жертвы взлома поддерживает функцию установки переадресации SMS сообщений, время суток перестаёт играть роль.
Третий кейс
Кейс может быть применен, когда жертва взлома представляет определенный финансовый или личный интерес, лежащий за пределами «почитать переписку в соц. сети» или разблокировать ворованный телефон. Третий кейс идентичен второму, однако подразумевает большие денежные затраты.
Несложно найти человека, который будет устроен на работу в КЦ интересующего оператора связи, где уже с первых дней стажировки, этому сотруднику представят личный пароль к системе обслуживания абонентов, в том числе к функции просмотра детализации звонков (с или без последних цифр, возможно), а так же панели управления пользовательскими сервисами, в том числе переадресациями, о которых писал в кейсе выше. Возможно, личный пароль будет предоставлен позже, в таком случае, обучение нового сотрудника производят на логине\пароле уже опытного сотрудника КЦ, который с большей долей вероятности уже имеет доступ ко всем нужным функциям. Данный кейс затратен, только если не с чем сравнивать и, разумеется, целиком зависит от цели.
Используя приведенные элементарные кейсы, или их вариации, на которых нет смысла останавливаться, достаточно несложно получить доступы к различным сервисам и кабинетам. К сожалению, хорошо работающие меры защиты при комбинировании, порой, могут дать обратный результат лишь повысив шанс взлома.
Методы защиты: не использовать двухэтапную аутентификацию в любых важных сервисах. По возможности, избегать добавки используемого номера телефона в любых интернет сервисах, даже если номер в итоге скрыт настройками приватности. Он может быть скрыт из отображения, но получен через средства поиска или восстановления паролей этих же самых сервисов.
В части операторов связи действуют иные процедуры обслуживания абонентов, в той или иной мере повышающие безопасность пользователя, однако в любом случае — вопрос лишь в том, насколько лично вы интересны тому, кто будет работать над получением доступа к вашим личным данным. Кроме того, я постарался поверхностно описать возможные и проверенные векторы атаки, но это не означает, что я описал их все, как не означает и то, что защищаясь от одних, мы не подставимся под другие.
В завершении поста, хочу добавить, что не являюсь экспертом в вопросах ИБ, не имею к ней никакого отношения по роду занятий, скорее это просто личный интерес.
Это моя первая публикация. Не судите строго, возможно, для кого то я описал очевидные вещи, но может быть кому то другому эта информация будет полезной и позволит хоть немного сократить шанс потери или компрометирования своей личной информацией.
Комментарии (162)
nazarpc
02.11.2016 15:15+6К сожалению, хорошо работающие меры защиты при комбинировании, порой, могут дать обратный результат лишь повысив шанс взлома.
Я так и не понял из статьи, как пароль может быть надежнее пароль+второй фактор, при условии что пароль тот же? А это как раз то, что вы говорите в заголовке.
DSolodukhin
02.11.2016 15:40+4Потому что пароль+yetAnotherFactor можно свести только ко второму фактору. Вот забыли вы пароль от своей почты, воспользовались функцией восстановления пароля, вам пришла смс с кодом на телефон, вы поменяли пароль на новый.
Аналогично может поступить мошенник, либо получив доступ к вашему телефону, либо к инструменту доставки кода вам, и ваш пароль превращается в тыкву.nazarpc
02.11.2016 15:43+2Вот забыли вы пароль от своей почты, воспользовались функцией восстановления пароля, вам пришла смс с кодом на телефон, вы поменяли пароль на новый.
Какая ещё СМС? Вы вообще понимаете что такое двухфакторная аутентификация?
QDeathNick
02.11.2016 15:53+1В заголовке не про двухфакторную аутентификацию.
nazarpc
02.11.2016 15:58+7Двухэтапная значит что у вас есть два этапа. Первый: ввод пароля. Второй: ввод кода смс (к примеру).
Следовательно, вы не приступите ко второму этапу, не пройдя первый. То же самое во время ввода пароля, получения смс не достаточно для смены пароля, иначе какой в этом смысл? Кто-то называет это этапами, кто-то факторами. Суть не меняется.QDeathNick
02.11.2016 16:33Смысл смены пароля без ввода пароля в том чтобы восстановить пароль. Как же вы восстановите забытый пароль вводя этот пароль?
Если бы получения смс было не достаточно и требовался пароль, то как бы люди восстанавливали пароли?nazarpc
02.11.2016 16:38+2Нужно различать смену и восстановление. Если вы забыли пароль — на почту (к примеру) отправляется ссылка на восстановление (у Google/Yandex/Hetzner есть возможность отправлять на резервный email). Но перейдя по ссылке вам всё ещё нужно будет ввести второй фактор, тот же код из смс.
Если бы написанное мной не было правдой, то зачем вообще придумывали двухфакторную аутентификацию, если она на порядок упрощает взлом людей, находящихся рядом?
QDeathNick
02.11.2016 16:55+2Опять вы в одном комментарии смешали двухфакторную аутентификацию и восстановление по телефону.
Не она упрощает, а возможность восстановить пароль имея лишь доступ к телефону.nazarpc
02.11.2016 16:58Опять вы в одном комментарии смешали двухфакторную аутентификацию и восстановление.
Первая часть отвечает на восстановление.
Не она упрощает, а возможность восстановить пароль имея лишь доступ к телефону.
В том то и дело что нет.
DagothNik
02.11.2016 16:41Я глубоко не копал, но от Apple ID восстановить пароль можно только при наличии двух других факторов: устройства на iOS (или привязанного телефона) и ключа восстановления. Через поддержку — возможны варианты, не пробовал. Надо будет как-нибудь попробовать сбросить пароль от третьего ID.
w1nterfell
02.11.2016 20:33Через поддержку вроде как только при наличии чека и коробки
Firz
02.11.2016 21:54+1~Два года назад восстанавливал пароль. Были авторизованные устройства, доступ к почте, на которую зарегистрирован appleid, но то ли не мог все три контрольных ответа на вопросы правильно вспомнить, то ли не мог Recovery Key от двухфакторной авторизации найти, чтобы через сайт запросить сброс пароля. Пришлось звонить в техподдержку.
Сказал серийник и что-то еще от авторизованных устройств, когда они были первый раз авторизованы этим appleid, информацию о том, какой картой и когда оплачивал покупки в itunes/store, какие последние покупки и когда совершал на аккаунте, ответил на контрольные вопросы(причем сразу еще и не вспомнил к какому вопросу какой именно ответ), еще какие-то наводящие вопросы. В итоге, минут через 15 общения одобрили запрос на смену пароля. На все почты, сообщениями на устройства, по-моему даже смской на телефон пришло оповещение что был запрошен сброс пароля и если в течении 24 часов я не предприму никаких действий, на основной e-mail адрес будет выслана ссылка для смены пароля.
Не знаю откуда у автора статьи информация что так легко завладеть аккаунтом, но я сам еле сбросил пароль.
https
02.11.2016 21:59Если речь о поддержке Apple, попробуйте, любопытства ради, позвонить на их номер поддержки в России и попросить сброс контрольных вопросов. (По ним, кстати, тоже можно скинуть пароль)
Звоните со своего девайса. Узнаете много нового :)
edd_k
02.11.2016 17:02+3Вот только два этапа и два фактора — это разные вещи
QDeathNick
02.11.2016 18:21Это мне понятно, но вот как классифицировать не очень понятно. Почему код из sms называют этапом, а из приложения фактором?
edd_k
03.11.2016 02:54+3sms является вторым фактором, только если приходит на другое устройство. Как у Apple при входе в аккаунт с нового / не доверенного устройства. sms приходит на одно из доверенных.
А если пароль вводится и sms/звонок поступает на одном и том же устройстве — это лишняя возня, а не двух факторная авторизация.
edd_k
03.11.2016 04:12+1Хотя если честно, мне и самому не очень понятно, чем у эппла двух факторная от двух этапной отличается, по тому как они их описывают. Что еще остается простому пользователю, кроме как перестать различать эти понятия?
https://support.apple.com/ru-ru/HT204152
https://support.apple.com/ru-ru/HT204915
Tatikoma
02.11.2016 15:41-1Пароль без привязки к телефону надежнее в случае перехвата доступа к смс/звонкам. Если кто-то перехватит ваши смс/звонки, а пароль не привязан к телефону — злоумышленнику это ничем не поможет.
Т.е. фактически усложняя угон аккаунта при подборе пароля, — упрощается угон аккаунта при компрометации второго фактора аутентификации.nazarpc
02.11.2016 15:45+6Пароль без привязки к телефону надежнее в случае перехвата доступа к смс/звонкам
Не кажется, вы тоже не понимаете что такое двухфакторная аутентификация. Если второй фактор смс/звонок, то для входа вам нужен И пароль, И смс/звонок.
Какам образом использование второго фактора что-либо упрощает?
QDeathNick
02.11.2016 15:56-1Проблема в том, что уже не надо входить со старым паролем, если у тебя есть доступ к телефону.
Во многих сервисах ты можешь сменить пароль не зная его, а просто имея доступ к телефону.nazarpc
02.11.2016 16:01+6Кто вам доктор, что вы положили два яйца в одну корзину? Это не будет двухфакторной (двухэтапной) аутентификацией, ибо у вас оба фактора одинаковые, а должны быть разными (один то, что вы знаете — пароль, второе что вы имеете — телефон, аппаратный генератор токенов). В этом случае получение доступа к одному из факторов не позволяет войти в систему или изменить пароль.
istui
02.11.2016 16:04к сожалению, многие путают понятия. Второй фактор должен действительно отличаться ФИЗИЧЕСКИ, а не приходить на украденное устройство PUSH'ем или в виде SMS и отображаться на экране.
nazarpc
02.11.2016 16:06+1Он может приходить на украденное устройство, но на устройстве не должно быть доступного пароля. Если пароль в голове а второй фактор на украденном телефоне, то система всё ещё работает.
Ziptar
03.11.2016 03:10+2Так тут уже вопросы не к концепции двухфакторности, а к конкретной реализации у конкретных поставщиков услуг.
https
02.11.2016 15:47-2В случае, если вторым фактором является подтверждение через коды в SMS, текстовое сообщение сводит надежность пароля до нуля. Если же использовать другие дополнительные меры защиты (например, приложения, как верно заметили ниже), то эти кейсы не работают.
nazarpc
02.11.2016 15:53+4В случае, если вторым фактором является подтверждение через коды в SMS, текстовое сообщение сводит надежность пароля до нуля
При чем тут надежность пароля? Надежность пароля ровно такая же, как и до этого. Просто кроме самого пароля вам нужно иметь в руках телефон. Следовательно пароль ниже никогда не станет.
Мне кажется, вы тоже не до конца понимаете что такое двухфакторная аутентификация.
ValdikSS
04.11.2016 12:47+1У меня такое чувство, что https привязал телефон к почте Google, но не включил двухфакторную аутентификацию в ней (Google часто просит привязать номер телефона именно для восстановления, если до этого вы его не указывали), а в Apple уже настроил двухфакторную аутентификацию. В таком случае, естественно, доступ к почте Google можно восстановить, не зная пароля, и имея доступ только к номеру телефона, а дальше восстановить доступ к аккаунту Apple, используя оба фактора восстановления: номер телефона и почту.
https
04.11.2016 13:25тоже хороший кейс, спасибо.
Но в конкртено моем случае, двухфакторная в Apple не использовалась. Видимо, код выслали на устройство пушом и этого хватило.
areht
02.11.2016 16:42+2Возможность восстановить пароль к двухфакторной аутентификации отношения не имеет. Это совершенно разные вещи, хотя в обоих может применяться телефон.
edd_k
02.11.2016 18:03Сводит до нуля в указанных вами кейсах. Для 99.99% пользователей — с точностью до наоборот. Ради этих пользователей никто не станет тратить деньги и силы на возможность перехвата смс. Но вот стырить пароль — это можно. И смс не даст им воспользоваться.
Т.е. второй этап повышает безопасность почти всех и повышает риски для единиц, которым стоит дополнительно инвестировать в свою безопасность.
QDeathNick
02.11.2016 15:48Просто пароль без привязанного телефона не позволяет сменить его без подбора этого самого пароля. А вот пароль + привязанный телефон всё упрощает, так как пароль уже не надо подбирать, достаточно получить доступ к телефону, а это во многих случаях не проблема.
nazarpc
02.11.2016 15:55так как пароль уже не надо подбирать
Вы не понимаете что такое двухфакторная аутентификация. Вы никогда не смените пароль без двух факторов. Второй фактор ДОПОЛНЯЕТ, а не заменяет пароль. То есть кроме такого же подбора пароля вам нужно ещё получить доступ ко второму фактору — телефону, аппаратному токену, и так далее.
QDeathNick
02.11.2016 15:58Не знаю чам вы пользуетесь, но я часто меняю пароль забыв его. И точно так же злоумышленник может сменить пароль имея только один фактор. Такая уж реализация у gmail например.
nazarpc
02.11.2016 16:04Нет, не может. Войдите с неизвестного компьютера (достаточно открыть окно в приватном режиме) и запустите процедуру восстановления пароля. А потом расскажите нам об успехах.
QDeathNick
02.11.2016 16:19+1Вот не поленился и сменил ещё раз. На предложение ввести пароль, который помню — ввел случайный пароль. Далее пришло смс на телефон привязанный в аккаунте. Именно в разделе восстановления пароля, а не в разделе двухэтапной аутентификации. Потом ещё письмо на резервный адрес почты.
И всё, я сменил пароль, не вводя старый.
В статье вообще ни слова про ненадежность двухэтапной аутентификации, только заголовок. Написано про то, что при получении доступа к телефону возможна смена пароля привязанного к этому телефону, что совсем не относится к двухфакторной аутентификации.nazarpc
02.11.2016 16:31+1Потом ещё письмо на резервный адрес почты
На то он и резервный адрес. Аналогично есть резервные коды восстановления на случай если у вас нет устройства, которое генерирует TOTP токены. То есть формально вы можете даже не иметь доступа к устройству.
В статье вообще ни слова про ненадежность двухэтапной аутентификации, только заголовок. Написано про то, что при получении доступа к телефону возможна смена пароля привязанного к этому телефону, что совсем не относится к двухфакторной аутентификации.
Совершенно согласен.
QDeathNick
02.11.2016 16:38+1Но резервный адрес это уже третий фактор. И не факт, что он добавляет надежности, люди и этот резервный адрес привязывают к тому же телефону. Просто на один шаг усложняется получение пароля.
Смысл статьи я вижу такой: Если вы хотите большей надежности, не привязывайте телефон к восстановлению пароля, так как телефон у вас увести легче, чем подобрать пароль.nazarpc
02.11.2016 16:55Но резервный адрес это уже третий фактор
Это фактор той же категории, того же типа, что и основной адрес. То есть он не третий, он не является обязательным, он альтернативный первому, следовательно, уменьшает общую безопасность, поскольку есть альтернатива — взломать один из двух почтовых ящиков на выбор. То есть можно выбрать более слабое звено. Если это два ящика на разных серверах с разными паролями и разными телефонами — то безопасность может быть аналогичной, но точно не выше.
люди и этот резервный адрес привязывают к тому же телефону
Это явно проблема в другой плоскости, с этим технологии ничего не поделают.
Если вы хотите большей надежности, не привязывайте телефон к восстановлению пароля, так как телефон у вас увести легче, чем подобрать пароль.
It depends, но на мобильную сеть (звонки, смс) я бы и правда не надеялся. Жаль, что у тех же Namecheap только смс и поддерживаются.
https
02.11.2016 17:45+1https://www.google.com/intl/ru/landing/2step/features.html
на этой странице опис. все доступные средства, применительно к аккаунту на Gmail.
Согласитесь, что применение большей части из них сводит подобные описанным векторы атаки на нет, однако сколько людей реально ими пользуются? На мой взгляд, в большем % случаев человек просто предоставляет свой номер сервису который использует, как средство «дополнительной защиты аккаунта», но простая высылка пароля на него — все же позволяет войти в аккаунт. Тогда в чем же смысл такого пароля?
Для примера, повторил операцию только что: c нового устройства; в браузере выбрано «не отслеживать»; вход через левый IP.
Начинал от сюда.
https://accounts.google.com/signin/recovery
далле — см. скрин. Что я сделал не так?
ValdikSS
04.11.2016 13:21+2У вас двухэтапная аутентификация-то у почты отключена, поэтому вам для восстановления доступа и предлагают только один этап, и вы выбираете прием СМС. Если у вас включена двухэтапная аутентификация, то в момент восстановления, после приема СМС и ввода кода из СМС, вам нужно подтвердить восстановление еще и вторым фактором, в моем случае Google предлагает либо ввести дополнительный адрес email, который был указан в аккаунте, и выслать код на него, либо ввести дату создания аккаунта.
То, что злоумышленник может получить доступ ко второму фактору какого-то сервиса (в вашем случае это Apple), обладая первым, не проблема двухфакторной аутентификации, а проблема вашего выбора факторов.https
04.11.2016 13:29+1Одним из доп. вопросов может служить не только дата активации аккаунта, но и, к примеру, фамилия и имя владельца. (чтобы получить скрины выше я несколько раз перевходил в форму восстановления).
Фамилию и имя несложно получить через соц сети, зная адрес почты или телефон. через тот же фейсбук. Даже если эти данные не отображаются на странице согл. выбранным вами настройкам приватности.ValdikSS
04.11.2016 13:31+1Такие дополнительные вопросы комбинируются, т.е. вам, вместо первого вопроса про дату создания аккаунта, показали вопрос с именем и фамилией, но вам все равно нужно было бы вводить дату создания аккаунта позже. Там 3 вопроса подряд, что ли.
MicCheck
02.11.2016 17:19Как вам это удалось?
Вчера только переписывался в gmail'овском коммьюнити по поводу не то чтобы восстановления пароля, я тупо в почту зайти не могу через браузер.
Суть проблемы: есть гугловский ящик, который использовался для всяких там регистраций. С него почтовик собирает почту по pop3, а через веб-морду я заходил туда раза 2-3 всего.
Захотел сменить пароль, пытаюсь зайти, а мне выдается: «Мы не уверены, что это вы. Пройдите процедуру сброса пароля». Ну ок, запускаю процедуру. Спрашивает последний пароль, который помню (спасибо, keepass), спрашивает дату создания аккаунта — ок, ввожу, спрашивает другой ящик для отправки кода — пишу, получаю код, ввожу код: «Извините, но мы все равно не уверены, что это вы. Доступ невозможен!»
Все! В собственный ящик не могу зайти!
Человеческой поддержки у них нет — сервис типа бесплатный, не положено. В коммьюнити сотни таких тем. В день по 10 новых открывают. Кому-то везет и сотрудники идут на уступку. Мне же отказали даже при том факте, что я могу читать письма с того ящика.
Причина — не заходил год в веб-морду. За этот год я переехал, переустановил винду, пересел на фаерфокс. Гугл считает, что этого достаточно, чтобы лишить меня аккаунта, которым я пользуюсь 5 лет. Благо, у меня к этому акку только всякие одноразовые регистрации привязаны. Но я теперь за другой ящик переживать начинаю. Вдруг и туда перестанет пускать.QDeathNick
02.11.2016 17:24Ну мне то удалось потому, что у меня привязан телефон для восстановления и резервная почта. А у вас я так понимаю ни того ни другого.
MicCheck
03.11.2016 07:45Телефон не привязан, но доп. почта была, как я написал.
Да уж, печально, что сейчас приходится светить свой номер везде, где только можно…
Pakos
03.11.2016 10:35У mail.ru та же фигня была(много лет назад). Всё было хорошо, запомненный пароль в браузере слетел, обращение в поддержку, ответы на вопросы о последних письмах и… ничего.
temazosin
03.11.2016 03:14Не уловил смысла названия. По мне так показ дыры айфонов, но никак не аргумент отказа от 2фв.
sheknitrtch
02.11.2016 15:32+5Почему-то в статье ставится равенство между «Двухэтапная аутентификация» и «SMS с кодом». Отсюда неправильный вывод «не использовать двухэтапную аутентификацию». А как же TOTP через приложение в телефоне или аппаратный токен? А ещё можно высылать одноразовый код через почту (как в Steam или GOG.com).
https
02.11.2016 15:45Вы правы, конечно, речь преимущественно о SMS.
Не использовал ранее приложения для авторизаций.QDeathNick
02.11.2016 16:25+3Вы пишете вообще не про аутентификацию, а про восстановление пароля. И это разные вещи, они даже в настройках сервисов в разных местах и можно указать разный телефон для этих двух вещей.
И можно, включив двухэтапную аутентификацию, не включать возможность восстановить пароль по SMS.
Areldar
02.11.2016 15:47А вы зачемто ставите равенство между двухэтапной и двухфакторной
Двухэтапная — SMS с кодом
Двухфакторная — TOTPnazarpc
02.11.2016 16:09А какая разница, смс или TOTP? Первый фактор/этап ведь пароль. Это два названия одного подхода.
Вот у Namecheap приходит смс, у множества других сервисов типа GitHub, Google, Facecbook, vk.com — TOTP. Это сути не меняет.
istui
02.11.2016 16:22+2Статья вообще не о двухфакторке, а, скорее, о «side-channel attack» — взломе основного аккаунта через сброс пароля к нему на почту, от которой тоже сбрасывается пароль, причем с получение кода проверки на телефон. И о том, что узким местом в конечном итоге является уязвимость сервисов к контролю над SMS — но это вполне известно. Другое дело, что не будет лишним напомнить об этом еще раз.
Вообще имело бы смысл указать это в статье или даже поменять заголовок, чтобы не путать людей.
«Безопасность системы равна безопасности самого слабого звена» — об этом нельзя забывать. Можно иметь хоть десять факторов входа, но если их все можно сбросить через контроль над почтой — система слаба.
NetBUG
02.11.2016 19:12Ещё было бы прекрасно понять, когда сервисы перестанут жадно требовать номер телефона, объясняя это «безопасностью».
areht
02.11.2016 16:48-1> Двухэтапная — SMS с кодом
> Двухфакторная — TOTP
Это откуда такая классификация?QDeathNick
02.11.2016 16:50SMS нельзя считать фактором, так как его можно получить и не «имея» ничего.
areht
02.11.2016 17:03Как именно, не имея контроля над соответствующей SIM, предполагается получить SMS?
QDeathNick
02.11.2016 17:19Как угодно, вариантов масса в сети описана. Даже в посте написаны несколько.
areht
02.11.2016 17:26«Код получаем через озвучивание его IVR’ом» — это не способ получить SMS.
Зайдём с другого конца, с чего вы взяли, что TOTP через приложение фактором является?QDeathNick
02.11.2016 17:46+21. fakebts, ss7 способы получить sms.
2. Я такое ни с чего не брал, это так везде пишут. Согласен, что приложение тоже не очень похоже на фактор «я имею». И я бы его тоже определил как этап, а не фактор, как и Google prompt.areht
02.11.2016 18:10> fakebts, ss7
Напрашивается аналогия о квадрокоптере за окном, подглядывающим мои пароли. КМК такие частности это не убирает «факторность», они оправдывают саму многофакторность.Nordicx86
03.11.2016 15:57а почему нет? хорошая оптика(недорогой телескоп) + хорошая камера(штатное крепление к телескопу) и с высотки можно МНОГО чего углядеть такого… в Общем то это конечно изврат, но если вы «цель»… то у всего появляется всего лишь вопрос ЦЕНЫ…
areht
03.11.2016 20:09Так и я об этом. У нас так ни одного фактора не останется.
Странная классификация получилась.
somniator
02.11.2016 15:39+5В статье перепутаны двухэтапная аутентификация и возможность восстановления пароля через телефон. Двухэтапная аутентификация повышает безопасность (но не так хорошо, как двухфакторная). Восстановление пароля через смс/звонок сводит получение доступа а аккаунту к получению доступа к номеру телефона. Ничего особенного.
nazarpc
02.11.2016 16:09Чем второй этап (после пароля) отличается от ввода второго фактора (после пароля)?
somniator
02.11.2016 16:37+1Пароль — это фактор «я знаю». Смс — это тоже фактор «я знаю», потому что он генерируется на стороне и передается получателю. В итоге его «знает» мобильный оператор и мало ли кто еще. Два одинаковых фактора — это двухэтапная, но однофакторная аутентификация. Одноразовый пароль в Google Authenticator или одноразовый пароль на бумажке — фактор типа «я имею». Два разных фактора — двухфакторная аутентификация.
nazarpc
02.11.2016 16:39Нет, смс это фактор "имею" (имею телефон). Этот код каждый раз разный, вы его наперед не знаете и подобрать не можете не имея в руках телефон, на который приходит код (уязвимости мобильных сетей здесь не учитываем, смс только один из способов).
somniator
02.11.2016 16:43+1Вашу смску можно получить без телефона, который вы «имеете». Почитайте «А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?»
nazarpc
02.11.2016 16:50+1Хак мобильной сети или ОС телефона это надежность второго фактора, она никак не влияет на первый (если восстановление пароля проходит через email, а доступ к email у вас через тот же телефон и смс то кто тут вам доктор). Статья же в заголовке этого не декларирует, поэтому я переживаю что люди начнут отказываться от второго фактора "потому что я это где-то читал/слышал".
somniator
02.11.2016 16:58Хак здесь вообще ни при чём. Вы правильно заметили, что владение телефоном может быть вторым фактором, когда он становится аппаратным токеном. Но смска не является вторым фактором, потому что для её получения обладание телефоном не обязательно.
nazarpc
02.11.2016 17:02+2Для её получения (при условии надежности сети) нужен телефон. Иначе можно сказать что телефон можно хакнуть удаленно и получить доступ к приложению, генерирующему токены, то есть телефон опять перестал быть вторым фактором. Но это всё не проблемы сервиса, использующего двухфакторную аутентификацию. Это всё ещё совершенно другой способ подтвердить что вы это вы с точки зрения сервиса. Сервис генерирует одноразовый токен и отправляет по смс. То, что канал доставки скомпрометирован на вашей стороне не проблема сервиса.
nazarpc
02.11.2016 17:15+1Это скорее проблема реализации, чем подхода. К примеру, у вас вместо смс может быть отправка сообщения в Tox на заранее согласованный профиль. Суть остается той же, но перехват сообщения без доступа к устройству с профилем Tox становится невозможным.
Bronx
05.11.2016 13:29А, скажем, отпечатки пальцев — они, по-вашему, тоже не являются фактором? Ведь обладание пальцами не обязательно — человеку можно подсунуть чистый бокал, снять отпечатки и сделать по ним гелевую накладку.
istui
02.11.2016 15:57Рекомендаций немного, и все они просты. Использовать для AppleID отдельную и надежную почту, не вымагающую номер телефона. Не светить AppleID. Для iMessage — общаться только с номера, не с почты. Регистрировать все важное (то, что таки требует номер тлф) на отдельную симку, которая лежит в шкафу. В качестве действительно двухфакторной аутентификации везде использовать TOTP, где возможно. Не ставить на один телефон симку для приема кодов от банка и приложение самого банка. Соцсети — отдельно.
Для Украины также актуально подписать контракт на основные симки всей семьи + симку в шкафу, + узнать у оператора про различные дополнительные опции по защите номера.
Ghedeon
02.11.2016 17:24И что вы будете делать с этой симкой в шкафу? Каждый раз тратить по 10 мин. чтобы залогиниться? А если в дороге приспичело? Может купить дешевый второй телефон… Все равно громоздко. Интересно, есть gsm модемы с экранами, только на прием смс? Будет что-то вроде банковского токена.
QDeathNick
02.11.2016 18:08+1Отдельную SIM имеет смысл хранить в шкафу для восстановления, а не для аутентификации.
xforce
02.11.2016 19:03+1И через 3 месяца неактивности её просто молча у вас отберут :)
istui
02.11.2016 20:59-1В статье речь про Украину, у большинства операторов срок неактивности — год.
А если sim на контракте, наверное, так просто «отобрать» нельзя будет (кто лучше владеет материалом, поправьте).https
02.11.2016 21:06На самом деле срок немного отличается в зависимости от оператора. У одного из большой тройки- год с момента последнего самостоятельного пополнения счета, любым способом, кроме перевода с другого номера и на сумму от 5 грн. при этом в случае отсутствия (исходящей) активности по номеру его могут блокировать и раньше.
Блокировка подразумевает под собой два периода — первые на 60 суток, в течении которых можно принимать входящие звонки и смс, и вторые 30, в течении которых карта полностью оффлайн но может быть восстановлена через обращение в КЦ оператора. После полной блокировки номер уходит в перевыпуск после отстойника на ещё… месяцев.
У двух других больших операторов схема ± та же. Все таки номерная емкость дорогая штука.
Да, забыл- это касается только абонентов предоплаты. Контрактные номера (дополнительные) могут лежать без дела голами, при условии пользования любым другим номером на контракте.istui
02.11.2016 21:10два раза в год (для надежности) пополнять на 5грн и звонить куда-нибудь — не такая уж и большая цена за безопасность. Это все-таки удобнее, чем проделывать то же самое каждые 90 или 45 дней, как иногда бывает.
Интересно, есть в мире операторы с большим сроком неактивности, чем год?https
02.11.2016 21:14+1Если упрощённо, то срок неактивности напрямую зависит от таких факторов как объём номерной емкости и второго, более тривиального- желания показать определённый объём абонентской базы:) хотя со вторым пунктом есть свои ньюансы, как например ARPU
ChiefMate
03.11.2016 01:39+1Рекордсмен из известных мне — молдавский Unite 3G, там препейд-карточка живет в активном режиме полгода после последнего пополнения, и потом еще год в анабиозе (звонки и смс недоступны, но если пополнить счёт, симка оживет). Итого полтора года.
istui
02.11.2016 21:02да, речь именно про восстановление пароля от особо важных сервисов. Все «ежедневное» — на основную либо вторую сим, если аппарат двухсимочный.
Ziptar
03.11.2016 03:38Нигде не видел возможности восстановления по аппаратному токену. А ведь его в шкафу можно хранить горааааздо дольше, чем симку.
istui
03.11.2016 10:41вообще неплохо б написать универсальную либу/фреймворк аутентификации/восстановления пароля на всех популярных языках и продвигать как «стандарт». И в ней уже реализовать все возможные методы.
Ziptar
03.11.2016 16:23Не вполне понятно зачем. Крупные сервисы все равно будут использовать свои реализации, а мелким все равно не нужна двухфакторка.
В любом случае высказанное мной пожелание — задача больше административная.
ValdikSS
04.11.2016 13:43+1Внезапно, такой стандарт уже есть!
https://en.wikipedia.org/wiki/Universal_2nd_Factor
Двухэтапная аутентификация в браузере с помощью USB-токена U2F
eznububtuc
02.11.2016 16:37+1Едва ли можно считать SMS надежным и защищенным способом коммуникации. Я всегда рассматривал предложение сайтов ввести номер мобильного для «дополнительной защиты аккаунта» исключительно как способ выудить мой номер телефона для идентификации или в целях маркетинга. Да и какая это нафиг двухэтапная аутентификация, если для получения контроля над аккаунтом в результате достаточно только SMS?
lexor
02.11.2016 17:39Двухэтапная аутентификация. Хорошая идея, но на практике только упрощающая получение доступа к вашим данным, т.к. включает в себя слишком много дополнительных участников, которые тоже могут иметь свои уязвимости.
То есть ее придумали (и мало того, активно используют как люди так и различные структуры самого разного уровня) для того, чтобы упростить взлом? Может не надо так резко?https
02.11.2016 17:48Нет, но она (сейчас строго о SMS) предполагает, что дополнительные звенья в процессе безопасны. Но это не так.
stardust1
02.11.2016 17:51У меня смартфон защищен паролем и отображение входящих на экране отключено. «Ok, Google!» тоже отключен, поэтому если попросить мой смартфон озвучить последнее сообщение — ничего не услышите.
Я правильно понимаю, что единственный способ (помимо keylogger) сменить пароль к моему аккаунту — это получить у провайдера дубликат моей симки с новым ПИН-кодом?https
02.11.2016 17:52Не совсем. Получив доступ к личному кабинету пользователя оператора, вам могут поставить дистанционную переадресацию вызовов и запрошенный код можно будет получить так, как указ. во втором кейсе
stardust1
02.11.2016 18:17Ну для получения доступа нужно знать пароль от кабинета (т.е. тоже только через тот же keylogger) или обратиться к провайдеру, что равносильно получению дубликата симки.
https
02.11.2016 18:25Вы правы, но в посте указывал — для подачи заявки на восстановление карты и для сброса пароля в ЛК данные требуются одинаковые.
Ловить карту жертве могут в любое время суток, но получать дубликат — только в рабочие часы точек обслуживания. И это требует обращения в точку, а значит и времени. У жертвы больше шансов увидев отсутствие сигнала на трубке обратиться в тому же оператору и пройдя идентификацию отменить заявку.
С ЛК в этом смысле значительно проще. Хотя тут и цели разные, наверноеstardust1
02.11.2016 20:12Это когда воруют «свои» или те кто будет искать по соцсетям, чтобы добыть информацию о владельце телефона для связи с провайдером. Провайдер потребует назвать номер телефона, а он на симке не написан. Так что последние скорее всего отпадут. Или его можно считать с симки без ПИН-кода?
relia
02.11.2016 20:18«Свой номер» в памяти телефона и/или СИМ-карты.
«Звонок другу» в конце концов :)stardust1
02.11.2016 20:43Так надо ведь сначала получить доступ к памяти телефона, а он то заблокирован. Можно ли получить доступ к памяти симки без ПИН-кода?
Аналогично и со «звонком другу».
AleVaKa
03.11.2016 12:50ПИН проверяет телефон, а не симка. Читал про телефоны с прошивкой, не спрашивающие ПИН.
https
02.11.2016 20:20Ну согласитесь, что имея доступ к трубке, узнать номер уже не такая большая проблема. Добавим сюда возможные «Сири отправь смс на номер...»; использование стандартных пин кодов (не изменённых 0000, например) или вообще их неиспользование…
но в таких случаях правильно писали выше: ССЗБstardust1
02.11.2016 20:46О каком доступе к трубке идёт речь? Она ведь заблокирована паролем/отпечатком пальца. И «Ok, Google!» отключен.
abstractbug
02.11.2016 20:16+1Разве все эти действия не требуют личного присутствия с паспортом у оператора? До сих пор не всякие тарифы можно через личный кабинет поменять, а вы хотите дубликат симки.
По поводу стати, она для домохозяек который используют один пароль и одну почту для всего, для людей которые хоть чуть чуть задумывают о безопасности, она не актуальна в принципе:
кейс первый — завладев моим смартфоном могут узнать мой гугловский аккаунт и даже угнать его допустим, но единственное что я потеряю, это телефонную книжку, и плеймаркет гугловский. ВСЕ остальные данные на других не связанных аккаунтах, о которых из телефона в принципе не узнать. Код восстановления привязан на другую сим карту в другом аппарате, который используется только для восстановления и входа в банк клиенты.
кейс второй — откуда злоумышленнику знать хотя бы номер второй сим карты которая нигде не светится и не используется для коммуникаций?
кейс третий — третий кейс, не работает по той же причине что и второй.
Решение как всегда стандартное и старое — используйте разные пароли для разных целей, используйте различные не связанные между собой почтовые ящики для разных сервисов, и несколько лет назад к этому добавилось еще — используйте разные номера телефонов. Вот и все.
А так, могу написать такую же статью «Использовать нескольких почтовых ящиков/паролей — давай до свидания»https
02.11.2016 20:39Мне кажется вы ошиблись комментарием. я не предлагал смены симки.
В целом же, давайте не мешать в кашу все вместе.
Втоая часть вашего комментария полностью верна: с использованием разных номеров телефона, разных и никак не связанных между собой учёток — такие (да и другие, думаю), атаки на ваши данные опис. методами, логично, исключены.
Многие так заморачиваются такими с схемами? К сожалению нет.
По поводу же остального комментария — какая разница, какой пароль (одинаковый или нет) на разных сервисах, если в итоге есть возможность получить доступ не используя пароля вообще? Выше в комментариях выложил картинку- имея только телефон без всяких проблем сменил себе пароль в G.
По поводу телефонной книжки и аккаунта в play market- тут каждому своё. Допустим я ценю свою телефонную книгу больше стоимости устройства, а на учётной записи AppStore у меня подвязаны ещё 5 устройств, которые легко могут уйти в lost режим в случае доступа того, кому это понадобится и куплено приложений на большую сумму, так что у меня потеря как то не воспринималась бы как «ай, и ладно».
Пост был о том, что не следует везде использовать такую удобную и крутую штуку как номер телефона, и не следует доверять защиту своих данных операторам и прочим.
Для вас это и так очевидно? Это хорошо, я за вас рад.abstractbug
03.11.2016 15:43+1Я думаю люди, для которых это не очевидно, данный и подобные ресурсы в принципе не читают. Вы же не от домохозяек ожидали комментарии?
Дело в том, что вы предлагает не использовать то, что не использовать невозможно в обычной жизни. Во всяком случае это будет выглядеть как извращение. Как написали в комментариях — не позаботились о простейшей безопасности и по надеялись на других людей которым в большинстве случаев это не важно? — ССЗБ.
Есть такая замечательная книжка от Кевина Митника, то что там описано, сейчас элементарно можно применять в России, потому что культуры безопасности у нас нет. Звонишь, представляешь сотрудником ит отдела и тебе все предоставят, включая удаленный доступ, потому что никто айтишников никогда в глаза не видел, а про «безопасность» слышали только в фильмах. И это не фантазии, я лично путал телефонный номер и звонил не на ту фирму, и народ пытался найти указанный мной компьютер, было весело.
stardust1
02.11.2016 21:31«Разве все эти действия не требуют личного присутствия с паспортом у оператора? До сих пор не всякие тарифы можно через личный кабинет поменять, а вы хотите дубликат симки.»
Был недавно случай в Германии по банковским махинациям с mTAN. Преступники использовали трояна или присылали Phishing-письма с переадрессацией на поддельный сайт банка, где пользователи заносили свои данные как номер банковского счёта и номер мобилки. Потом преступники звонили провайдеру (при чём самому крупному провайдеру в Германии) и представлялись как продавцы мобилок/сим-карт. Провайдеру они говорили, что к ним в «магазин» пришли люди, которые потеряли симку и поросили выслать новую на адресс этого «магазина». Потом с дубликатом симки переводили деньги со счёта с помощью mTAN.
Вот так просто можно было получить дубликат симки. После этого случая сказали, что усложнят систему, но кто их знает.
(Пруф этой истории: https://www.heise.de/security/meldung/Online-Banking-Neue-Angriffe-auf-die-mTAN-2851624.html)
на другую сим карту в другом аппарате, который используется только для восстановления и входа в банк клиенты.
Сейчас набирают обороты такие системы как Apple Pay, где всё идёт через смартфон. Удобно. Тут уже способ с двумя мобилками не проканает. Да можно отказаться от них и везде платить наличными, но так же можно и отказаться от смартфона и использовать только мобилку с функцией звонилки.
Я пока такими системами не пользуюсь и банковский счёт у меня к смартфону не привязан, но уже на Западе поговаривают об отмене наличных. У скандинавов вообще чуть ли не 80% расчётов идёт безналичными.
stardust1
02.11.2016 21:44Вот вчера например был репортаж на ТВ, что почти все аддоны (как AdblockPlus, Ghostery и WOT) собирают полную информацию о пользователях. При чём неанонимно как они все утверждают. И эту инфу можно купить у тех, кому принадлежат эти аддоны. Официально. Журналисты купили и смогли много чего узнать. При чём они узнали по этой инфе кто эти люди, кем работают и какие страницы посещают. Были там и судьи, и полицейские с садомазо.
Nordicx86
03.11.2016 16:01ПД особенно паспорт не так сложно найти, а ВОТ уже с ЭТИМИ данными все становится ГОРАЗДО проще…
Zibx
02.11.2016 18:24Или сделать дубликат симки. Для этого не требуется пин код. Вероятность успеха операции близка к 99 процентам.
stardust1
02.11.2016 18:30А разве для того, чтобы симка работала не нужен PIN-код для первого её включения в другом устройстве? Вроде как если три раза задать этот PIN неправильно, то симка блокируется и там уже нужен PUK-код.
relia
02.11.2016 17:53+1кейс №1: почему не залочена СИМ-карта? ССЗБ
кейс №2: переадресация СМС? У кого? В Киевстар мне два раза пытались подобрать вход в личный кабинет — закончилось перезвоном оператора и одновременной блокировкой номера до моего визита в СЦ
кейс №3: фантазии на тему ограбления какого-то предпринимателя в Симферополе зимой 2013/14 через сотрудников местного офиса Киевстар (выпустили СИМ-карту двойника номера предпринимателя). От таких маневров не спасут никакие системы персональной защиты, если СБ сервиса протупила.
В общем все эти кейсы просто фантазии автора на тему имеющихся махинаций с применением спецслужб или откровенный криминалитет. Хотя история с «Телеграмом» кое-кого так и не получила однозначного объяснения — возможно и фантазии.https
02.11.2016 18:02К моему сожалению, это не фантазия автора, а краткое описание ситуации имевшей место в прошлую субботу и разбирательства того, как докатились до такой жизни.
Сим карту блокировать — верный шаг, но конкретно в моем случае, не хотелось этого делать сразу т.к. была надежда, что человек засветит свое местоположение через iCloud и мобильный интернет.
о кейсе №3 вашего комментария: я не знаю об этой ситуации, но случаи мошенничества с ПБ24 через подмену сим карты (предоплаты) — распространенное явление. я вас уверяю, как бывший сотрудник телекома.relia
02.11.2016 18:08> Сим карту блокировать — верный шаг, но конкретно в моем случае, не хотелось этого делать сразу т.к. была надежда, что человек засветит свое местоположение через iCloud и мобильный интернет.
Повторю еще раз: ССЗБ (сам себе злобный буратино). Больше мне добавить нечего.
> я не знаю об этой ситуации, но случаи мошенничества с ПБ24 через подмену сим карты (предоплаты) — распространенное явление. я вас уверяю, как бывший сотрудник телекома.
Телекомам таким надо яйца отрывать за набор на работу непонятно кого за непонятно какие деньги и совершенно безконтрольно. Из-за вас при малейшем нестандарте от типовых входов мне «Приват24» теперь голосом оператора звонит и требует подтверждения операции. И что мне делать, когда телефон принял вызов и отрубился из-за батареи? :)
PS
Вы явно не бывший сотрудник «КС»/«МТС». Life:)?https
02.11.2016 18:12Ну Приват в своё время сильно понадеялся на операторов их процедуры, привязав все действия к мобильному телефону пользователя, это да… Симки на бомжей всяких восстанавливали подбирая наиболее оптимальное время.
Контрактным абонентам обычно проще. А получение доступа к ЛК предоплаты, которые в Украине продаются без идентификации лица — не представляет особой проблемы.
на счет PS, да просто бывший и всё :)relia
02.11.2016 18:16+1> Симки на бомжей всяких восстанавливали подбирая наиболее оптимальное время.
Контрактным абонентам обычно проще.
И чего это я с 1999 года на контракте сижу? Неужели только из-за статуса «золотого абонента»? :) Вести что-то важное через анонимные средства доступа может только полный даун. ССЗБ.
> А получение доступа к ЛК предоплаты, которые в Украине продаются без идентификации лица — не представляет особой проблемы.
Так на то оно и анонимное, что ты обезличен для оператора. Еще раз: ССЗБ.
PS
«От жлобства одни неудобства» © народная мудрость
«Скупой платит дважды» © народная мудрость
Loki3000
02.11.2016 18:03Как-то излишне дофига допущений. У хакера и пароль есть, и доступ к телефону, и к личной информации… А все двухфакторная аутентификация виновата, да…
SandroSmith
02.11.2016 18:15+1Может быть кому-то будет интересно — недавно наткнулся на очень красивое описание разницы между двухэтапной и двухфакторной авторизацией.
Всего есть 4 фактора: ты что-то знаешь, у тебя что-то есть, ты находишься в определённом месте и ты являешься кем-то. В применении к компьютерной авторизации это, соответственно: пароль, одноразовый пароль сгенерированый на устройстве, гео-локация и сканер отпечатка/сетчатки/etc.
Для того что бы авторизация была именно двухфакторной, эти самые факторы должны быть разными. И вот тут основное отличие. Если одноразовый пароль присылают по СМС, в почту или как-то ещё, то работает фактор знания. Для того, что бы работал фактор владения, то этот пароль должен генерироваться непосредственно у тебя в руках. Это может быть Google-authenticator, E-NUM, аппаратный токен.
А по статье — соглашусь с мнением somniator. И, наверное, nazarpc. Но он не смог внятно аргументировать позицию. То, что пароль можно восстановить, имея на руках телефон жертвы (или доступ к СМС), никак не связано с двухэтапной аутентификацией. Последняя может быть вообще отключена, а пароль через СМС сбросить можно будет.SandroSmith
02.11.2016 18:20А ещё я буду обновлять страницу перед отправкой комментария. Тут уже дали ссылку на статью, с которой я скомпилировал это сообщение.
DirecTwiX
02.11.2016 18:32Злоумышленник узнает Apple ID под который подвязан телефон, а также номер телефона. Методов для этого — на любой вкус, так что пропустим этот момент.
И как же можно узнать Apple ID? Недавно на работе не могли разлочить айпад бывшего сотрудника.lexor
02.11.2016 18:42Сотрудника пробовали разговорить? :)
Если не поможет, в запасе есть угрозы, пытки, или в крайнем случае можно взять обратно :)DirecTwiX
03.11.2016 11:57IPad даренный, к тому времени уже пару раз перешёл от одного сотрудника к другому. И вот последний сотрудник решил его обновить… Он и залочился -.-
sumanai
02.11.2016 19:25Так проблема не в двухэтапной аутентификации, а в возможности восстановить пароль на привязанный номер. Номер может быть привязан и без двухэтапной, так же как и номер для двухэтапной вполне может быть запрещено использовать для восстановления.
Doverchiviy_kot
02.11.2016 19:40Поможет ли такая схема: вставляем симку в звонилку за 100руб. и кладём рядом с пк, а ходить с симкой на которую ничего не привязано, поможет ли такая схема при угоне (не учитывается естественно прямой брутфорс)?
semmaxim
02.11.2016 21:30Есть ещё вариант, когда из-за двухфакторной аутентификации нельзя войти в аккаунт. Так было у меня с Dropbox-ом. На новый компьютер попытался поставить, а он требует пароль из SMS-ки. В течении 2-х дней я пытался послать себе в сумме десяток SMS-ок. Ни одна не дошла до телефона. Хорошо, что был вариант зайти с компьютера, где уже установлен и настроен аккаунт — там пароль с телефона не потребовался.
Bronx
05.11.2016 13:46Посылали, случаем, не на номер от Google Voice или от подобного ему? Там есть проблемы совместимости с SMS-гейтами:
Sending text messages from a website like Skype or Facebook to your Google number currently won't be received. This is because these websites treat text messages as though they are sending a text message to an email address, which Google Voice doesn’t support. Please contact the other provider for further information.
© Google
Ilyasyakubov
02.11.2016 22:58Только что попробовал восстановить пароли в Google аккаунте и Appli ID. Ни там ни там нет возможности восстановить пароль через СМС.
Qu3st
03.11.2016 08:22На iOS 9, вроде как, действительно Siri читала последнее сообщение, но сейчас, с последними обновлениями, просит пароль.
https
03.11.2016 11:14Это не так. Даже под паролем экрана на os10+, Сири позволяет это сделать. А еще, кстати, и отправить смс. Например о переводе с банковской карточки или номера мобильного, да :)
пример
mgaga
03.11.2016 11:35+1Я это отключил, а так же голосовой помощник (не Siri, а именно голосовой помощник, сильно был ещё до Siri) на лок-скрине не работает — говорит, что голосовой помощник недоступен при заблокированном экране. Кстати, вроде даже не айфонс/макдигер/апплинсайдер пару недель назад про это писали.
Кстати, что заметил, если открыть верхнюю шторку с уведомлениями, то там есть поле поиска и буфер обмена таким образом открыт — я вставил какой-то телефон, который копировал ранее из контактов в мессенджер. Никак с топиком не связано, просто интересный факт.https
03.11.2016 11:44У меня 10.2Pbeta1 ещё. в ней проверил — работает таки.
Вообще же, если отключать все, что теоретически может повлечь за собой проблемы и риски, можно вообще просто не включать телефон :)
Шучу конечно.mgaga
03.11.2016 11:47Хм, забавно. А по поводу «отключить всё» — угу, становится некомфортно жить, особенно, если раньше пользовался. Я отключил предварительный показ текста в сообщениях, не только потому, что банковские коды приходят, сколько от посторонних глаз и вот это реально печалька. Вот бы ещё скрыть имя отправителя, что бы было видно только инициирующее приложение вообще без подробностей.
istui
03.11.2016 11:56Этого функционала не хватает, увы. Пишем все в поддержку Эппл, возможно отреагируют?
Я пару месяцев назад выключил случайно сири и пока не включал снова. Собственно, я ей пользовался только тогда, когда на мне гарнитура, а телефон в другой комнате — для набора номера. И ничего, вполне обхожусь :)
mgaga
03.11.2016 10:37+1На новых SIM-картах PIN-код отключён по умолчанию и является стандартным (обычно 0000), а не как раньше рандомно сгенеренный и в конверте запечатан. Как уже говорилось, будь включён PIN-код, ничего бы не произошло. Но множество людей не пользуются PIN-кодом не то, что для SIM-карты, но и для телефона.
Тут уже давали ссылку, я лишь ещё раз её повторю, т.к. именно она полностью сделала для меня видимой разницу между двухэтапной/двухфакторной аутентификацией: http://www.outsidethebox.ms/18372/
Ну и на Wiki так же доступно написано: https://ru.wikipedia.org/wiki/Многофакторная_аутентификация
Кстати говоря, есть вполне доступные, «попсовые» токены, которые могут быть более надёжной альтернативой OTP на смартфоне и уж тем более SMS. Например такой: http://www.aladdin-rd.ru/catalog/jacarta_u2f/ (от Российского производителя и продаётся у нас) либо такой https://www.yubico.com/products/yubikey-hardware/fido-u2f-security-key/ (в РФ, как я понял, его не найти, только ebay/ali/etc)
На первом аппаратном токене, от Джакарты, при аутентификации надо нажать на токене на аппаратную кнопочку, тогда аутентификация успешно проходит. Есть ли на аппаратном токене от Yubikey такое — не знаю.
Вот тут есть список сервисов, которые поддерживают аппаратные U2F-токены: http://www.dongleauth.info/#email
На хабре про U2F как минимум пара статей точно есть:
https://habrahabr.ru/post/256579/
https://habrahabr.ru/post/305508/
Теоретически, можно отвязать от сервиса телефон, добавить туда аппаратный токен, добавить OTP. Хранить токен дома, а OTP иметь на телефоне. ИМХО, в данном случае сочетается удобство и приемлемая безопасность — когда нужно на новом устройстве аутентифицироваться, то используется OTP, однако в случае, когда OTP более недоступен (утеря смартфона, его поломка), то всегда можно с помощью токена зайти. Так же есть Резервные коды, которые так же можно хранить рядом с аппаратным токеном (вдруг поломается). Другое дело, что всё вышеперечисленное есть у Gmail и, вроде, у Mail.Ru, но у подавляющего большинства остальных — такого нет.istui
03.11.2016 10:56Статья действительно хорошая. Грань для SMS между 2SV & 2FA лежит в том, можно ли злоумышленнику принять смс (вытащить незащищенную пин-кодом симку, через сири, прочитать на экране и т.д.). Хотя все же лучше схема с разделением — описанная вами или мной (про сим для восстановления пароля «в шкафу»)
Yubico поддерживает U2F, более того, есть даже дешевые ключики по 5$ (точнее были, на момент написания комментария на амазоне пока нет в наличии, но можно же погуглить… :) )
На гмайл для привязки токена все равно нужно вводить телефон. Возможно ли привязяв токен, удалить телефон — не в курсе.
shifttstas
03.11.2016 10:46Это всё конечно хорошо, но что бы отвязать устройство от AppleID нужно знать не только пароль а еще ответы на секретные вопросы
https
03.11.2016 11:38+1Имея телефон (не выполняя сброса, разумеется) и зная пароль, можно без особого труда сбросить эти вопросы через обращение в поддержку по телефону, а иногда и без таковой. Try it — https://iforgot.apple.com/password/verify/appleid
Ответы требуемые странице могут отличаться, но если устройство не новое, то часто доступен метод «девайс», с получением пуша на устройстве.
webdiez
03.11.2016 11:31Кейс четвертый:
К тебе подходят типы со стволом и просят перерегистрировать айфон на одного из них…relia
03.11.2016 11:33К тебе подходят типы со стволом и просят перерегистрировать айфон на одного из них…
Лучше терморектальный криптоанализатор :)
https
03.11.2016 11:40а ты им такой «парниши, палехше. у меня подтверждение через аппаратный токен».
sumanai
03.11.2016 17:31Аппаратный токен вскрывается аппаратным утюгом или паяльником.
https
03.11.2016 17:52как в принципе и любой другой токен…
хотя может выйти глупая ситуация, когда вскрывать то тебе нечего или нечем:) а вот аппаратные методы уже готовы к работе и ребятки по… мммм… криптоанализу, явно не собираются уходить ни с чем :)
satandyh
03.11.2016 17:56Как-то плоховатенько с третьим кейсом получилось. Вроде в наше время в полосатом операторе стоит система отслеживания действий сотрудника КС. То не было у него доступа к профилям, которые он не обслуживал в данный момент (не получил звонка/инцидента в ближайшие 10 минут — нет прав открывать сторонний профиль), то просто все действия фиксировались и возникала алярма на компе ведущего группы или сотрудника отдела качества. Т.е. устраивали в каком-то виде разборы с СБ.
О других операторах не могу утверждать.https
03.11.2016 18:02В КС стоит подобная «аппаратная» система? Т.е. не административный запрет, а конкретно, технический?
Честно говоря, если так — то рад за них (без иронии), но верится слабо — если я банально утерял карту или мой телефон сел, и мне нужно обращаясь с одного номера, получить информацию или что то предпринять по другому (пройдя идентификацию в зависимости от процедуры), не должны отказывать.
Возможно, такие действия сотрудников оцениваются процедурно, при еже*(дневной? месячной? квартальной?) аттестации сотрудника с выбором рандомных разговоров (например) и с снятием рубля за действия не по процедуре, но что они ВООБЩЕ никак не могут увидеть информацию… очень маловероятно.relia
03.11.2016 18:11+1В КС стоит подобная «аппаратная» система? Т.е. не административный запрет, а конкретно, технический?
Честно говоря, если так — то рад за них (без иронии), но верится слабо — если я банально утерял карту или мой телефон сел, и мне нужно обращаясь с одного номера, получить информацию или что то предпринять по другому (пройдя идентификацию в зависимости от процедуры), не должны отказывать.
Таки Вы не работали в КС, как я и предположил :)))
Банальное разделение прав доступа — такой переход делается через передачу вызова на «старшего по смене» или через СБ. Никаких проблем.https
03.11.2016 18:16Так и не говорил, что работал :)
но справедливости ради, стоит отметить, что в рамках одной компании, далеко не всегда одни подразделения знают «жизнь и обычаи» других.
satandyh
03.11.2016 18:17+1Система конечно же не аппаратная, а софтварная. Мой пост был направлен в первую очередь на тот факт, что такого рода действия фиксируются. И по мере возможности жестко пресекаются.
И если раньше в КС было «не лазать туда, не делать того, иначе бо-бо», то сейчас пришли к автоматизации сего действа. Которая так или иначе глубже контролирует сотрудников.
Т.е. я хотел сказать, что указанный автором третий кейс маловероятен. По крайней мере у некоторых сотовых операторов.
Может среди остальных читателей geektimes найдется кто-то из реального КС и прольет свет на этот кейс?
jakshi
04.11.2016 19:48Автор сосредоточился на недостатках использования телефона для двухэтапной аутентификации.
Двухэтапная аутентификация может использовать токен.
Или приложение.
В одном из банков с которым я имел дело для доступа в интернет банкинг тебе нужен пароль и цифровой код генерируемый аппаратным токеном.
Такая двухэтапная аутентификация безопасней чем использование одного пароля.SandroSmith
04.11.2016 21:00+1Почитайте комментарии. Или можно сразу статью.
Двухэтапная аутентификация может использовать токен
Тогда это уже будет двухфакторная. И да, она намного безопаснее.
uterr
>>Первый кейс
>>Действие второе: телефон защищен паролем и отображение
Наиболее частый кейс — пароль к аккаунту подобран или собран кейлоггером и злоумышленник даже не знает кто вы, откуда, а если и знает, то очень часто он за пределами вашей локации, а не когда у злоумышленника уже есть ваш физический телефон.
https
Если речь о простоте подбора и слабых паролях — конечно. Но часто двухэтапную включают стараясь обезопаситься, а может выйти с точностью до наоборот.
DirecTwiX
https, так ты прокомментируешь как-нибудь вот этот момент:
Как можно узнать Apple ID телефона?? В интернете есть платные сервисы, которые якобы могут сказать Apple ID по imei, но звучит всё это очень сомнительно. Да и результат обещают только через 2-14 дней
https
Этот вопрос уже задавали выше. Извините, но я не буду на него отвечать. Цель — напомнить, что не надо доверять защиту своих аккаунтов провайдерам связи или прочим, а не показ дыр или слабых мест, которые могут быть использованы напрямую во вред. Был тут парень, давно уже, который описал процесс отвязки… старого iPad, кажется, от iCloud c некоторой потерей функционала. Могу ошибаться. Рабочий метод, судя по всему, но не думаю что такое действительно стоит пускать в массы.
Хотя при желании, все гуглится (особенно для не самых новых версиях ПО).