Video: COSIC researchers hack Tesla Model X key fob (Oktober 2024)
Du har sandsynligvis stødt på et af webstedsgodkendelsesordningerne, der fungerer ved at sende en engangskode til din smartphone og få dig til at indtaste den online. Mobiltransaktionsautentificeringsnumre (mTAN'er), der bruges af mange banker, er et eksempel. Med Google Authenticator kan du beskytte din Gmail-konto på samme måde og forskellige andre tjenester - for eksempel LastPass - understøtter den også. Desværre ved de onde allerede, hvordan man undergraver denne type godkendelse. TextKey's SMS-godkendelse er en ny tilgang, der beskytter hvert trin i godkendelsesprocessen.
Vend det rundt
Gammeldags SMS-godkendelse sender den engangskode til brugerens registrerede mobilnummer. Der er ingen måde at være sikker på, at koden ikke blev fanget af malware eller opfanget ved hjælp af en klon af telefonen. Dernæst indtaster brugeren koden i browseren. Hvis pc'en er inficeret, kan transaktionen blive kompromitteret. Faktisk udfører en Zeus-variant kaldet zitmo (for "Zeus i mobilen") et tag-team-angreb, med en komponent på pc'en og en på mobilen, der samarbejder om at stjæle dine legitimationsoplysninger og dine penge.
TextKey vender hele processen. Det tekst ikke noget til dig. I stedet viser den en PIN-kode, når du har indtastet dit brugernavn og din adgangskode og beder dig om at sende denne PIN-kode til en specificeret kort kode. Mobilholdere arbejder virkelig hårdt for at sikre, at et telefonnummer matcher nøjagtigt en enhed, så hvis TextKey-serveren overhovedet modtager meddelelsen, betyder det, at transportøren allerede har valideret telefonnummeret og telefonens UDID. Lige der får TextKey to tilføjede godkendelsesfaktorer gratis!
PIN-koden er forskellig hver gang, og den er kun gyldig i et par minutter. Den korte kode varierer også. Og et websted, der bruger TextKey til godkendelse, kan valgfrit kræve, at hver bruger opretter en personlig PIN-kode, der skal føjes til begyndelsen eller slutningen af den engangs-PIN-kode.
Hvad sker der, hvis en medarbejder skulder-surfer skærmen med pinkoden og kortkoden, eller et ondsindet program rapporterer din SMS-aktivitet til dens ejer? Hvis TextKey-systemet modtager den rigtige PIN-kode fra det forkerte telefonnummer, afviser det ikke blot godkendelsen. Det logger også telefonnummeret som en svig, så webstedsejeren kan tage passende handling.
Klik på dette link for at prøve TextKey. Til demonstrationsformål indtaster du dit telefonnummer; i en situation i den virkelige verden ville antallet være en del af din brugerprofil. Bemærk, at du kan udløse svigadvarslen ved at indtaste et andet nummer end dit eget.
Hvordan får du det
Desværre er TextKey ikke noget, du kan implementere som forbruger. Du kan kun bruge det, hvis banken eller et andet sikkert sted har implementeret det. Små virksomheder kan indgå kontrakt om TextKey-godkendelse på basis af sikkerhed som service og betale fra $ 5 ned til $ 0, 50 pr. Bruger pr. Måned afhængigt af antallet af brugere. Det er et fast månedligt gebyr for ethvert antal login. Operationer i stor skala, der er vært for deres egne TextKey-servere, betaler et installationsgebyr samt et gebyr pr. Måned.
Denne ordning er muligvis ikke 100 procent uknækkelig, men den er meget hårdere end SMS-autentificering fra old school. Det går langt ud over to faktorer; TextPower kalder det "Omni-Factor." Du skal kende adgangskoden, besidde telefonen med den rigtige UDID, indtaste den viste PIN-kode, eventuelt tilføje din personlige PIN-kode, sende teksten fra dit registrerede telefonnummer og bruge den tilfældige korte kode som destination. Konfronteret med dette vil den gennemsnitlige hacker sandsynligvis falde af og knække et par bankmTAN'er i stedet.
