Video: COSIC researchers hack Tesla Model X key fob (Oktober 2024)
Du har sannsynligvis støtt på et av nettstedets autentiseringsskjemaer som fungerer ved å sende en engangskode til smarttelefonen og la deg oppgi den online. Mobilt transaksjonsautentiseringsnumre (mTAN) som brukes av mange banker er ett eksempel. Med Google Authenticator kan du beskytte Gmail-kontoen din på samme måte, og forskjellige andre tjenester - for eksempel LastPass - støtter den også. Dessverre vet skurkene allerede hvordan de skal undergrave denne typen autentisering. TextKey sin SMS-godkjenning er en ny tilnærming, en som beskytter hvert trinn i autentiseringsprosessen.
Turn It Around
Gammeldags SMS-godkjenning sender den engangskoden til brukerens registrerte mobilnummer. Det er ingen måte å være sikker på at koden ikke ble fanget av malware eller blitt snappet opp ved hjelp av en klone på telefonen. Deretter skriver brukeren koden i nettleseren. Hvis PC-en er infisert, kan transaksjonen bli kompromittert. Faktisk utfører en Zeus-variant kalt zitmo (for "Zeus i mobilen") et tag-team-angrep, med en komponent på PC-en og en på mobilen som samarbeider for å stjele legitimasjon og pengene dine.
TextKey reverserer hele prosessen. Det tekst ikke noe til deg. I stedet viser den en PIN-kode etter at du har skrevet inn brukernavnet og passordet ditt og ber deg sende tekst-PIN-koden til en spesifisert kortkode. Mobiloperatører jobber veldig hardt for å sikre at ett telefonnummer stemmer nøyaktig med en enhet, så hvis TextKey-serveren i det hele tatt mottar meldingen, betyr det at transportøren allerede har validert telefonnummeret og telefonens UDID. Akkurat der får TextKey to lagt til autentiseringsfaktorer gratis!
PIN-koden er forskjellig hver gang, og den er bare gyldig i et par minutter. Kortkoden varierer også. Og et nettsted som bruker TextKey for autentisering, kan eventuelt kreve at hver bruker oppretter en personlig PIN-kode som må legges til begynnelsen eller slutten av engangs-PIN-koden.
Hva skjer hvis en medarbeider skal surfe på skjermen med PIN-koden og kortkoden, eller et skadelig program rapporterer tekstaktiviteten din til eieren? Hvis TextKey-systemet mottar riktig PIN-kode fra feil telefonnummer, avviser det ikke bare autentiseringen. Den logger også telefonnummeret som en svindel, slik at eieren av nettstedet kan iverksette passende tiltak.
Klikk på denne lenken for å prøve TextKey. For demonstrasjonsformål skriver du inn telefonnummeret ditt; i en virkelig situasjon ville tallet være en del av brukerprofilen din. Merk at du kan utløse svindelvarslingen ved å oppgi et annet nummer enn ditt eget.
Hvordan får du det
Dessverre, TextKey er ikke noe du kan implementere som forbruker. Du kan bare bruke det hvis banken eller et annet sikkert nettsted har implementert det. Små bedrifter kan inngå kontrakt for TextKey-godkjenning på en sikkerhet-som-en-tjeneste-basis, og betaler fra $ 5 ned til $ 0, 50 per bruker per måned, avhengig av antall brukere. Det er en flat månedlig avgift for et hvilket som helst antall pålogginger. Operasjoner i stor skala som vert for sine egne TextKey-servere betaler et installasjonsgebyr samt en avgift per måned.
Denne ordningen er kanskje ikke 100 prosent uknekelig, men den er enormt tøffere enn SMS-godkjenning fra old school. Det går langt utover to-faktor; TextPower kaller det "Omni-Factor." Du må kjenne passordet, ha telefonen med riktig UDID, angi den viste PIN-koden, eventuelt legge til din personlige PIN-kode, sende teksten fra det registrerte telefonnummeret ditt og bruke den tilfeldige kortkoden som destinasjon. Konfrontert med dette, vil den gjennomsnittlige hackeren sannsynligvis smelle av og sprekke noen få bankmTAN-er i stedet.
