PayPal улеснява заобикалянето на двуфакторното удостоверяване - добро или лошо АНКЕТА - Голи
Sophos Home защитава всеки Mac и PC във вашия дом
PayPal улеснява заобикалянето на двуфакторното удостоверяване - добро или лошо? [ИЗСЛЕДВАНЕ]
Обикновено това е знак, че съм направил нещо лошо.
Например, наскоро изпаднах в един постоянно досаден навик да си тананикам Peddlers, по-известен като темата Tetris, разбираемото раздразнение на Troy.
Но този път не аз, а Paypal беше причината за недоумението на Троя.
„Не може да е вярно“, каза той, „че Paypal прави толкова лесно заобикалянето на моята двуфакторна автентификация. Платих им за токен за сигурност и сега разбрах, че мога да разрешавам транзакции без него. Което не може да бъде!“
Нека обясня.
С PayPal вашият втори код за удостоверяване е постоянно променящият се и неоткриваем номер на вашия токен. Това подобрява сигурността по два основни начина:
- Кодът на маркера се променя на всеки 30 секунди. Нападател, който намери кода на вашия токен днес, например с помощта на кийлогър или поглед през рамо, не може да го използва отново утре. Това е еднократна парола.
- Маркерът е защитен блок, който работи самостоятелно. Той не може да бъде повлиян от злонамерен софтуер за шпиониране или кийлогър, който може да зарази компютъра ви.
Базираната на токени 2FA не може да елиминира киберпрестъпността, но прави нещата много по-трудни за измамниците.
ВиеМожете да прочетете повече за това как и защо в моя доклад от конференцията VB2006, който остава актуален въпреки възрастта си: Може ли силната автентификация да разреши фишинга и измамите?
(Не се изисква регистрация за изтегляне).
Чрез закупуването на токен на PayPal Трой реши, че може да настрои акаунта си така, че да изисква код на токен да се използва всеки път.
Защо маркер, ако не за подобряване на сигурността? Защо да повишаваме сигурността, но само от време на време?
Но така не става. Тримата забравиха обичайната си парола и също трябваше да я нулират.
Първоначално той предположи, че ще бъде някакъв вид ограничен достъп, свързан само с нулиране на пароли, но не беше.
Той успя да изплати пари, без изобщо да използва токена си.
(Татко Трой – ако четете тази статия, щедрият подарък от 3 долара, който получихте вчера, не само демонстрира щедростта на вашия любящ син, но и ви включи в научен експеримент в реалния свят. Благодарим ви за участието.).
Сега можете, ако сте толкова склонни, да заявите, че процесът за нулиране на паролата на PayPal спестява 2FA.
Всъщност можете малко да разтегнете фактите и да кажете, че тук има три фактора: един личен имейл и две специални пароли.
Но не се изисква код на токен - въпреки че една от основните цели на токена е да ви предпази от кийлогъри, това е само вид атака, която би ви позволила да измамите вашия имейл акаунт и идентификационни данни в PayPal във вторични пароли.
Всъщност измамник, който вече „притежава“ вашия компютър с помощта на шпионски софтуер, може лесно да ви подмами да извършите повторно задаване на парола, например като добави фалшиви знаци къмполето за парола на PayPal, докато влизате, което ви кара да мислите, че сте го запомнили погрешно.
След това той улавя вашата имейл парола плюс вторичната ви paypal, докато избирате новата си парола. Тази информация би била достатъчна, за да промените паролата си по-късно и едновременно с това да заобиколите токена.
И затова Трой започна тази статия с думите: „Това не може да е вярно!“
Съгласен ли си? Кажете ни какво мислите, като гласувате в нашата анкета:
Следвайте@NakedSecurity в Twitter за последните новини за компютърната сигурност.
Следвайте@NakedSecurity в Instagram за ексклузивни снимки, gifs, видео и LOL!