Ondrej Holzman OS X Yosemite-n eta iOS 8-n sartutako eginbide berriek gailu askoren erabilera errazten duten erabiltzaileei funtzio erabilgarria asko ekartzen dieten arren, segurtasun mehatxu bat ere sor dezakete. Adibidez, iPhone batetik Mac batera testu-mezuak birbidaltzeak oso erraz saihesten du bi urratseko egiaztapena hainbat zerbitzutan saioa hastean.
Continuity funtzioen multzoa, zeinaren barnean Applek ordenagailuak gailu mugikorrekin konektatzen dituen azken sistema eragileetan, oso interesgarria da, batez ere iPhone eta iPadak Macekin konektatzeko erabiltzen dituzten sare eta teknikei dagokienez. Continuity-k Mac batetik deiak egiteko, fitxategiak AirDrop bidez bidaltzeko edo hotspot bat azkar sortzeko gaitasuna barne hartzen du, baina orain ohiko SMSak ordenagailuetara birbidaltzera bideratuko gara.
Funtzio nahiko ezezagun baina oso erabilgarria hau, kasurik txarrenean, segurtasun-zulo batean bihur daiteke, aukeratutako zerbitzuetan saioa hastean erasotzaileak bigarren egiaztapen-faseko datuak eskura ditzakeela. Bi faseko saio-hasiera deritzonari buruz ari gara hemen, bankuez gain, Interneteko zerbitzu askok dagoeneko sartzen ari diren eta askoz ere seguruagoa den kontu bat pasahitz klasiko eta bakarrarekin soilik babestuta baduzu baino.
Bi faseko egiaztapena modu ezberdinetan egin daiteke, baina lineako bankuari eta Interneteko beste zerbitzu batzuei buruz hitz egiten dugunean, gehienetan zure telefono-zenbakira egiaztapen-kode bat bidaltzea topo egiten dugu, eta, ondoren, zure ohiko pasahitza sartu ondoan sartu behar duzu. Hori dela eta, norbaitek zure pasahitza eskuratzen badu (edo ordenagailua pasahitza edo ziurtagiria barne), normalean zure telefono mugikorra beharko du, adibidez, Interneteko bankuan saioa hasteko, non egiaztapenaren bigarren faserako pasahitza duen SMS bat iritsiko da. .
Baina zure testu-mezu guztiak zure iPhonetik zure Mac-era birbidaltzen dituzunean eta erasotzaile batek zure Mac-a hartzen duen momentuan, jada ez dute zure iPhonea behar. SMS mezu klasikoak birbidaltzeko, ez da zuzeneko konexiorik behar iPhone eta Mac artean - ez dute zertan Wi-Fi sare berean egon, Wi-Fi-a ez da aktibatu beharrik ere, Bluetooth-a bezala. eta behar dena da bi gailuak Internetera konektatzea. SMS Relay zerbitzua, mezuak birbidaltzea ofizialki deitzen den bezala, iMessage protokoloaren bidez komunikatzen da.
Praktikan, funtzionatzen duen modua da mezua SMS normal gisa iristen bazaizu ere, Apple-k iMessage gisa prozesatzen du eta Internet bidez Mac-era transferitzen du (horrela funtzionatu zuen iMessage-rekin SMS Relay sortu aurretik) , non SMS gisa bistaratzen duen, burbuila berde batez adierazten dena. iPhone eta Mac bakoitza hiri ezberdin batean egon daiteke, bi gailuek soilik behar dute Interneterako konexioa.
SMS Relay-ak Wi-Fi edo Bluetooth bidez funtzionatzen ez duen froga ere lor dezakezu honela: aktibatu hegazkin modua zure iPhonean eta idatzi eta bidali SMS bat Internetera konektatuta dagoen Mac batean. Ondoren, deskonektatu Mac Internetetik eta, alderantziz, konektatu iPhone-a (Internet mugikorra nahikoa da). SMSa bidaltzen da, nahiz eta bi gailuak inoiz zuzenean elkarren artean komunikatu - dena iMessage protokoloak bermatzen du.
Beraz, mezuen birbidalketa erabiltzean, kontuan izan behar da bi faktoreko autentifikazioaren segurtasuna arriskuan dagoela. Zure ordenagailua lapurtzen bazaizu, mezularitza berehala desgaitzea da zure kontuak pirateatzea saihesteko modurik azkarrena eta errazena.
Interneteko bankuan sartzea erosoagoa da egiaztapen-kodea telefonoaren pantailatik berridatzi behar ez baduzu, baizik eta mezuak Mac-en kopiatu besterik ez baduzu, baina segurtasuna askoz ere garrantzitsuagoa da kasu honetan, eta hori asko falta da SMS Relay dela eta. . Arazo honen konponbidea izan daiteke, adibidez, zenbaki zehatzak Mac-en birbidaltzetik kanpo uzteko aukera, SMS kodeak normalean zenbaki beretik datoz eta.
Azken paragrafoan esan bezala - kodea kopiatzeko gaitasuna askoz erosoagoa eta hobea da.
Horrez gain, norbaitek nire MacBook lapurtzen badu, egiten dudan lehenengo gauza blokeatu eta iPhoneko "birbidaltze" eta Jarraitutasun guztiak desaktibatu egiten ditu - horregatik ere badago aukera hau Ezarpenak / Mezuak. :)
Eta norbaitek engantxatzen badizu, zuk ere gelditzen al duzu?
Eta zergatik izan bi urratseko baimena lapurtutako gailua berehala blokeatu dezakezunean, eh?
Bi urratseko egiaztapena hirugarrenen zerbitzu bat da, beraz, nekez ezin dut erabili edo baztertu, bankuen kasuan behintzat. Eta nire Mac blokeatu edo ezabatzen dut Bilatu nire Mac bidez. SMSak birbidaltzearen onurak gainditzen ditu guztiaren atzean deabrua ikusten ez badut.
Inori ez zaio axola lapurretaz, disko osoko enkriptatzeak hori konpontzen du. Baina zer egingo duzu hackeatutako ordenagailu batekin? Seguruenik ezer ez, ez duzu horren berri izango.
Beno, noski, abantailak dira nagusi, inork ez du deabrua ikusten eta erabiltzaileak beti trukatzen du segurtasuna dantzan dagoen txerri baten truke.
Bide batez, irudipena al duzu bankuek dibertsio hutsagatik SMSak bidaltzera behartzen zaituztela?
inor kezkatuta badago, ez erabili. Oso pozik nago horrekin
Eta 2FArekin konbinatuta kezkarik ez dutenek ere ez dute erabiltzen, jakina ez baitakite zer egiten ari diren.
Eta nola baztertu zenbaki zehatz bat Macbook-en eta utzi iPhone-n? Eskerrik asko erantzunagatik
AFAIK aukerarik onena "desaktibatu Testu-mezuen birbidaltzea Ezarpenetako Mezuak atalean (zure iPhonetik)" da.
Oker ez banago, ezin da bidali behar dena zerrenda zuririk jarri, ezta zer ez den zerrenda beltzean ere.
Tira, ez al da errazagoa sakelako telefono bat lapurtzea Mac bat baino? Bai, mugikorrerako pasahitz bat izan dezakezu, baina baita MACrako ere. Ez naiz aditua, baina seguruenik ez da erraza pasahitza ezagutzen ez badut Mac-era iristea (ez dut esan nahi datuak irakurtzea, baizik eta saioa hastea, SMSen transmisioa abiarazteko).
Gainera, ez ahaztu segurtasun bikoitzaz ari garela, non lehen fasea nagusia den - ohorezko pasahitza sartzea eta MAC-n edo testu-dokumenturen batean idatzita ez baduzu barruan, orduan dago. bankurako sarbiderik ez (eta ez duzu 1111 pasahitz gisa erabiltzen :-))
Beraz, mac bat lapurtzeak kalterik handiena eragingo dizu ziurrenik mac-aren benetako prezioa dela eta.
2FAk ez du konpontzen lehen Mac edo IP lapurreta. Irtenbidea da erasotzaileak Mac eta beste zerbaiten kontrola lortu behar duela. Mac nahikoa da orain. Coz-ek 2FAren onura guztiak ezeztatzen ditu.
(Aholkua "Mac-en erasotzaileak arakatzailea bakarrik kontrolatzen du" aldaeraren aurka babestea da, ziurrenik ez baita guztiz kontrolatutako egoera.)
Mac guztiz segurua dela uste baduzu (jaja), ez duzula 2FAri aurre egin behar. Eta ez bada, 2FAk segurtasun handitu hori ekartzeari utzi zion, driv bezala.
Eta beste behin, oso bizi-bizi - "nicnebezpecneho.cz" webgunera joaten zara, eta hori arriskutsua da zorigaiztoko egoera multzo baten ondorioz. Hau nahiko erraz gerta dakizuke: ez duzu porno guneetara berehala joan beharrik, nahikoa da norbaitek bisitatzen ari zaren bloga ez babestea eta garbitu gabeko javascript iruzkinetan sartzea. Orri horretan zure nabigatzailearentzat urruneko ustiaketa bat dago (hau gerta dakioke oraindik, ez da oso arraroa). Edo ingeniaritza sozialean harrapatu...
...ordu batzuen buruan bankutik dirua bidaltzera joaten zara (gmail-en, github-en... sartzen zara). Hori eginez gero, dagoeneko konprometituta dagoen ordenagailuan sartuko dituzu saioa hasteko datuak (edo pasahitz hauek gordeta badituzu ere ez duzu hori egin beharrik) eta behin SMSko kodea kopiatu eta itsatsi.
..eta gauez, zure ordenagailua bankuan sartzen da (gmail...) berez, pasahitza dagoeneko malwarea duen norbaitek gorde du. Ez duzu konfirmazio SMSrik jasoko zure telefono mugikorrean, baina... konprometitutako ordenagailu horretan.
2FAk agertoki hauek konpondu zituen. Applek hautsi zuen arte.
Pentsatu nuen 2FA esan nahi dudala 2 gauzarekin frogatu behar dudala, adibidez:
– pasahitza
– SMSak onartzen dituen telefono batekin
Tira, SMSak Mac-ra telefonora birbidaltzeak Mac-a ere gehitzen du (edo parekatu ditudan Mac eta iPad gehiago) alternatiba gisa, baina oraindik 2FA da. Edo ez?
Berriro ere, egoera normalean, 2FAk "nire Mac pirateatu egin da eta ez dut horren berri" bezalako egoerak konpontzen ditu. Orduan, Mac-ek zerbitzurako zure pasahitza ezagutzen duela pentsa dezakezu (dagoeneko gordeta duzula edo zerbitzuan saioa hasten duzun hurrengoan entzungo duzula). Eta orain espero dezakezu SMSak ere jakingo dituela (edo edozein unetan eska dezake eta jasoko du).
Bi faktoreko autentifikazioa eskaintzen duten zerbitzu gehienek (Facebook, Dropbox, Google, Microsoft, ...) aplikazio bat erabiliz behin-behineko pasahitzak sortzeko aukera ematen dute (Nik Google Authenticator erabiltzen dut). Aplikazioak etengabe sortzen ditu erregistratutako zerbitzuetarako denbora mugatuko kodeak. Kodea berehala kopiatu eta saioa hasteko erabil daiteke. Ez duzu SMSak iritsi arte itxaron beharrik eta, Mac-era bidaltzen badira, artikuluan deskribatutako arazoa konpondu.
Konprometitutako mac-ek SMS mezuak dituzte saioa hastean...
Anima zaitez hori eskatzera. Bi faseko egiaztapena aktibatu badut aplikazioa erabiliz behin-behineko kodea sortuta, emandako zerbitzuak ez du SMSrik bidaltzen.
Zerbait aldatu ez bada, zerbitzu askok telefonoa nahi zuten eta SMS aukera lehenetsi gisa utzi zuten. Beraz, hackeatutako ordenagailua itzuli da.
Banku kopuru handiarekin, ez dago aukerarik, SMS bat besterik ez eta kitto.
Ez dut hau oso argi ulertzen. Norbaitek nire Mac lapurtzen badu, SMSak itzaltzen ditut, urrunetik ezabatzen dut Mac eta pasahitza bankuan aldatzen dut. Edo zein da harrapaketa?
Hori egingo zenuke artikulu hau irakurri aurretik?
Erabat, erabat automatikoki.
Baina bi faseko autentifikazioa erasotzaileak bi baieztapen behar dituela da: PASAHITZA ETA SMSa. Horrek esan nahi du norbaitek nire parekatutako Mac hartuko ote duen beldur naizela, ez dudala pasahitza hor gordetzen, eta norbaitek nire arakatzailea pirateatzen badu, ez duela iMessagen sartuko.
Nondik lortzen duzu arakatzailetik apurtuko ez den ziurtasuna? Pwn4Fun eta Pwn2Own-en egungo emaitzen arabera, Safarirako gutxienez bi zero egun daudela dirudi:
"Pwn4Fun-en, Google-k oso ustiapen ikusgarria eman zuen Apple Safari-ren aurka Calculator Mac OS X-en root gisa abiarazteko"
"Keen Team-eko Liang Chen-ek:
Apple Safari-ren aurka, pila bat gainezkatzea sandbox saihesbidearekin batera, kodea exekutatzen da".
Letra zuri meheak hondo berdearen gainean - eskola berezi bateko ikasle batek ere ezin zuen hoberik iradoki...
Hau geldiarazteko moduetako bat dongle baten bidez kodea sortzea da (adibidez, hau: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) segurua da eta segurtasun handiagoa ahalbidetzen du, KB-k ere antzeko zerbait egin behar du - USB disko batera kargatutako ziurtagiria, hori gabe pertsona bat ezin da Interneteko bankura konektatu, eta batzuetan behin-behineko pasahitza bidaltzen da telefonora, etab. ... Aukera asko daude, baina bakoitzak berea du erabaki behar du segurtasuna beretzat garrantzitsua den (pasahitza duen ala ez? etab.)
Unicreditek gauza handia du. Gako adimenduna ez da inoiz SMS klasiko baten bidez iristen, baina behin-behineko pasahitza sortzen dut mugikorreko aplikazioan.
Aholkua behar dut zergatik ezin dudan bat-batean mm bideo laburra bidali, orain arte posible zena? Ez dago bideo bat besterik gabe txertatzeko aukerarik, ez du erantzuten, ez du mezuan txertatzen
eskerrik asko