بيت Securitywatch مفتاح النص المضاد للاختراق يتحول مصادقة الرسائل القصيرة على رأسه

مفتاح النص المضاد للاختراق يتحول مصادقة الرسائل القصيرة على رأسه

فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الفيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)

فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الفيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)
Anonim

ربما واجهت أحد مخططات مصادقة موقع الويب التي تعمل عن طريق إرسال رمز لمرة واحدة إلى هاتفك الذكي وإدخاله عبر الإنترنت. مثال على ذلك أرقام مصادقة المعاملات المتنقلة (mTANs) المستخدمة من قبل العديد من البنوك. يتيح لك Google Authenticator حماية حساب Gmail بنفس الطريقة ، كما تدعمه خدمات أخرى مختلفة - LastPass ، على سبيل المثال. لسوء الحظ ، الأشرار يعرفون بالفعل كيفية تخريب هذا النوع من المصادقة. مصادقة الرسائل النصية في TextKey هي طريقة جديدة تحمي كل مرحلة من مراحل عملية المصادقة.

بدوره حولها

تقوم مصادقة الرسائل القصيرة SMS القديمة بإرسال هذا الرمز لمرة واحدة إلى رقم الجوال المسجل للمستخدم. لا توجد طريقة للتأكد من أن التعليمات البرمجية لم يتم اكتشافها بواسطة البرامج الضارة أو اعتراضها باستخدام نسخة من الهاتف. بعد ذلك ، يقوم المستخدم بكتابة الرمز في المتصفح. إذا كان جهاز الكمبيوتر مصابًا ، فقد يتم اختراق المعاملة. في الواقع ، يقوم متغير Zeus يسمى zitmo (لـ "Zeus في الهاتف المحمول") بهجوم فريق العلامات ، حيث يتعاون مكون واحد على جهاز الكمبيوتر ومكون واحد على الكمبيوتر المحمول لسرقة بيانات الاعتماد الخاصة بك وأموالك.

TextKey يعكس العملية برمتها. لا يرسل لك أي شيء. بدلاً من ذلك ، يعرض رمز PIN بعد إدخال اسم المستخدم وكلمة المرور ويطلب منك كتابة نص PIN في رمز قصير محدد. تعمل شركات الهاتف الخلوي بجد للتأكد من مطابقة رقم هاتف واحد لجهاز واحد تمامًا ، لذلك إذا كان خادم TextKey يتلقى الرسالة على الإطلاق ، فهذا يعني أن الناقل قد قام بالفعل بالتحقق من صحة رقم الهاتف ورقم UDID الخاص بالهاتف. هناك حق ، تحصل TextKey على عاملين مصادقة إضافيين مجانًا!

رقم التعريف الشخصي مختلف في كل مرة ، وهو صالح فقط لبضع دقائق. الرمز القصير يختلف أيضا. ويمكن لموقع الويب الذي يستخدم TextKey للمصادقة أن يطلب اختياريًا من كل مستخدم إنشاء رقم تعريف شخصي شخصي يجب إضافته إلى بداية أو نهاية رقم التعريف الشخصي لمرة واحدة.

ماذا يحدث إذا قام أحد زملاء العمل بتصفح الشاشة باستخدام رمز PIN ورمز قصير ، أو إذا أبلغ أحد البرامج الضارة عن نشاطك في إرسال الرسائل النصية إلى مالكه؟ إذا كان نظام TextKey يتلقى رقم التعريف الشخصي الصحيح من رقم الهاتف الخطأ ، فهو لا يرفض المصادقة فقط. كما يسجل رقم الهاتف كاحتيال ، بحيث يمكن لمالك الموقع اتخاذ الإجراء المناسب.

انقر فوق هذا الرابط لتجربة TextKey. لأغراض العرض التوضيحي ، ستقوم بإدخال رقم هاتفك ؛ في الوضع الواقعي ، سيكون الرقم جزءًا من ملف تعريف المستخدم الخاص بك. لاحظ أنه يمكنك تشغيل تنبيه الاحتيال عن طريق إدخال رقم غير رقمك.

كيف حصلت على هذا الشيء

للأسف ، TextKey ليس شيئًا يمكنك تنفيذه كمستهلك. لا يمكنك الاستفادة منه إلا إذا كان البنك أو أي موقع آمن آخر قد قام بتطبيقه. يمكن للشركات الصغيرة التعاقد على مصادقة TextKey على أساس الأمان كخدمة ، حيث تدفع من 5 دولارات إلى 0.50 دولار لكل مستخدم شهريًا ، اعتمادًا على عدد المستخدمين. هذا رسم شهري ثابت ، لأي عدد من عمليات تسجيل الدخول. تقوم العمليات الكبيرة التي تستضيف خوادم TextKey الخاصة بها بدفع رسوم الإعداد بالإضافة إلى الرسوم الشهرية.

قد لا يكون هذا المخطط غير قابل للتجزئة بنسبة 100 في المائة ، لكنه أكثر صرامة من مصادقة الرسائل القصيرة في المدرسة القديمة. يذهب أبعد من عاملين. TextPower يطلق عليه "اومني عامل". يجب أن تعرف كلمة المرور ، وتمتلك الهاتف باستخدام UDID الصحيح ، وأدخل رقم التعريف الشخصي المعروض ، وقم بإضافة رقم PIN الشخصي الخاص بك ، ثم أرسل النص من رقم هاتفك المسجل ، واستخدم الرمز القصير العشوائي كوجهة. في مواجهة هذا الأمر ، من المحتمل أن يتسلل القراصنة العاديون ويتخلصوا من عدد قليل من mTANs بدلاً من ذلك.

مفتاح النص المضاد للاختراق يتحول مصادقة الرسائل القصيرة على رأسه