Ondrej Holzman Sanajan fitur anyar diwanohkeun dina OS X Yosemite sarta ios 8 mawa loba fitur mangpaat pikeun pamaké nu simplify pamakéan sababaraha alat, aranjeunna ogé bisa ngabalukarkeun ancaman kaamanan. Contona, diteruskeun pesen téks ti iPhone ka Mac pisan gampang bypasses verifikasi dua-hambalan nalika asup ka sagala rupa layanan.
Setélan fungsi Continuity, dimana Apple ngahubungkeun komputer sareng alat sélulér dina sistem operasi anu pang anyarna, pikaresepeun pisan, khususna dina hal jaringan sareng téknik anu aranjeunna anggo pikeun nyambungkeun iPhone sareng iPad ka Mac. Continuity kalebet kamampuan nelepon ti Mac, ngirim file via AirDrop atanapi gancang ngadamel hotspot, tapi ayeuna urang bakal difokuskeun neraskeun SMS biasa ka komputer.
Ieu rélatif inconspicuous, tapi fungsi pohara kapaké bisa, dina kasus awon, ngahurungkeun kana liang kaamanan anu ngamungkinkeun hiji lawan pikeun ménta data pikeun fase verifikasi kadua nalika logging kana jasa dipilih. Urang ngobrol di dieu ngeunaan anu disebut login dua-fase, anu, salian ti bank, parantos diwanohkeun ku seueur jasa internét sareng langkung aman tibatan upami anjeun gaduh akun ngan ukur ditangtayungan ku sandi klasik sareng tunggal.
Verifikasi dua fase tiasa lumangsung dina cara anu béda, tapi nalika urang ngobrol ngeunaan perbankan online sareng jasa internét anu sanés, urang paling sering mendakan ngirim kode verifikasi ka nomer telepon anjeun, anu anjeun kedah lebetkeun sabeulah ngasupkeun sandi biasa anjeun. Ku alatan éta, lamun batur meunang nyekel sandi anjeun (atawa komputer kaasup sandi atawa sertipikat), maranéhanana biasana bakal butuh handphone anjeun, contona, pikeun log in ka internet banking, dimana SMS jeung sandi pikeun fase kadua verifikasi bakal anjog. .
Tapi pas anjeun gaduh sadaya pesen téks anjeun diteruskeun tina iPhone anjeun ka Mac anjeun sareng panyerang nyandak Mac anjeun, aranjeunna henteu peryogi deui iPhone anjeun. Pikeun neraskeun pesen SMS klasik, teu aya sambungan langsung antara iPhone sareng Mac - aranjeunna henteu kedah dina jaringan Wi-Fi anu sami, Wi-Fi henteu kedah dihurungkeun, sapertos Bluetooth, Sareng sadaya anu diperyogikeun nyaéta nyambungkeun kadua alat éta ka internét. Ladenan SMS Relay, sakumaha diteruskeun pesen sacara resmi disebut, komunikasi ngaliwatan protokol iMessage.
Dina prakna, cara gawéna nya éta sanajan talatah datang ka anjeun salaku SMS biasa, Apple ngolah eta salaku iMessage jeung nransper ngaliwatan Internet ka Mac (ieu kumaha gawéna jeung iMessage saméméh mecenghulna SMS Relay). , dimana eta mintonkeun eta salaku SMS, nu dituduhkeun ku gelembung héjo . iPhone sareng Mac tiasa masing-masing aya di kota anu béda, ngan ukur kadua alat éta peryogi sambungan Internét.
Anjeun ogé tiasa kéngingkeun bukti yén SMS Relay henteu tiasa dianggo dina Wi-Fi atanapi Bluetooth ku cara kieu: aktipkeun mode pesawat dina iPhone anjeun sareng nyerat sareng ngirim SMS dina Mac anu nyambung ka Internét. Teras cabut Mac tina Internét sareng, sabalikna, sambungkeun iPhone ka dinya (internét mobile cekap). SMS dikirim sanaos dua alat éta henteu pernah langsung saling komunikasi - sadayana dipastikeun ku protokol iMessage.
Janten, nalika nganggo pesen diteruskeun, kedah émut yén kaamanan auténtikasi dua faktor dikompromi. Upami komputer anjeun dipaling, nganonaktipkeun olahtalatah langsung mangrupikeun cara panggancangna sareng panggampangna pikeun nyegah kamungkinan peretasan akun anjeun.
Lebetkeun perbankan Internét langkung saé upami anjeun henteu kedah nyerat deui kodeu verifikasi tina tampilan telepon, tapi ngan salin tina Messages dina Mac, tapi kaamanan langkung penting dina hal ieu, anu kirang pisan kusabab SMS Relay. . Solusi pikeun masalah ieu tiasa, contona, kamungkinan ngaluarkeun nomer khusus tina diteruskeun dina Mac, sabab kodeu SMS biasana asalna tina nomer anu sami.
Sakumaha anu disebatkeun dina paragraf terakhir - kamampuan pikeun nyalin kodeu langkung saé sareng langkung saé.
Salaku tambahan - upami aya anu nyolong MacBook kuring, hal anu kahiji anu kuring lakukeun nyaéta meungpeuk sareng mareuman sadaya "neraskeun" sareng Kontinuitas dina iPhone - éta naha aya ogé pilihan ieu dina Setélan / Pesen. :)
Sareng upami aya anu ngaitkeun ka anjeun, naha anjeun ogé ngeureunkeunana?
Jeung naha boga otorisasina dua-hambalan mun anjeun bisa meungpeuk alat dipaling langsung, huh?
Verifikasi dua-hambalan nyaéta layanan pihak katilu, jadi kuring boro teu bisa make atawa malire eta, sahenteuna dina kasus bank. Sareng kuring meungpeuk atanapi ngahapus Mac kuring liwat Milarian Mac kuring. Mangpaat SMS diteruskeun langkung ageung upami kuring henteu ningali setan di tukangeun sadayana.
Teu aya anu paduli ngeunaan maling, énkripsi disk pinuh ngabéréskeun éta. Tapi naon anu anjeun badé laksanakeun sareng komputer anu diretas? Panginten nanaon, anjeun moal terang ngeunaan éta.
Muhun, tangtosna, kaunggulan lumaku, taya sahijieun nilik Iblis jeung pamaké salawasna trades kaamanan pikeun babi nari.
Ngomong-ngomong, naha anjeun gaduh kesan yén bank maksa anjeun ngirim SMS ngan ukur pikeun senang?
upami aya anu hariwang teras henteu nganggo. I am pisan wareg jeung eta
Sareng jalma anu henteu ngagaduhan masalah dina kombinasi sareng 2FA malah henteu nganggo éta, sabab écés henteu terang naon anu aranjeunna laksanakeun.
Na kumaha kuring ngaluarkeun nomer husus dina Macbook sarta ninggalkeun eta dina iPhone? Hatur nuhun kana waleran
AFAIK pilihan pangsaéna nyaéta "pareuman Neraskeun Pesen Teks dina Pesen dina Setélan (tina iPhone anjeun)."
Upami teu lepat, teu tiasa whitelist naon anu kedah diteruskeun, atanapi blacklist naon anu henteu.
Nya, naha henteu langkung gampang maok telepon sélulér tibatan Mac? Leres, anjeun tiasa gaduh kecap konci pikeun sélulér, tapi ogé pikeun MAC. Kaula mah ahli, tapi meureun teu gampang pikeun meunangkeun ka Mac lamun kuring teu nyaho sandi (Kuring teu maksudna maca data, tapi log in supados SMS relay dimimitian).
Ogé, tong hilap yén urang nyarioskeun kaamanan ganda, dimana fase kahiji mangrupikeun anu utama - ngalebetkeun kecap konci pikeun ngahormatan sareng upami anjeun henteu nyerat dina MAC atanapi dina sababaraha dokumén téks di jero, teras aya euweuh aksés ka bank (jeung anjeun teu make 1111 salaku sandi a :-))
Janten, maok Mac sigana bakal nyababkeun karusakan anu paling ageung kusabab harga Mac anu leres.
2FA henteu ngabéréskeun maling Mac atanapi IP primér. Solusina nyaéta panyerang kedah ngontrol Mac sareng anu sanés. Mac geus cukup keur manehna ayeuna. Coz negates sagala kauntungan tina 2FA.
(Naséhatna nyaéta pikeun ngajagi tina varian "penyerang dina Mac ngan ukur ngatur browser", anu sigana sanés kaayaan anu dikontrol sacara lengkep.)
Ngan upami anjeun nganggap Mac leres-leres aman (haha), maka anjeun henteu kedah ngurus 2FA. Sareng upami henteu, teras 2FA lirén nyangking anjeun kaamanan anu ningkat, sapertos drive.
Sarta hiji deui, pisan vividly - anjeun buka ramatloka "nicnebezpecneho.cz", nu bahaya alatan hiji set musibah tina kaayaan. Ieu tiasa kajantenan ka anjeun kalayan gampang - anjeun henteu kedah langsung langsung ka situs porno, cekap pikeun batur henteu ngamankeun blog anu anjeun kunjungi sareng ngantepkeun javascript anu teu sanitized diselapkeun kana koméntar. Aya mangpaatkeun jauh pikeun panyungsi anjeun dina kaca éta (ieu masih bisa lumangsung ka anjeun, euweuh pisan mahiwal). Atanapi kajebak dina rékayasa sosial ...
... sanggeus sababaraha jam anjeun balik pikeun ngirim duit ti bank (anjeun asup ka Gmail, github ...). Dina ngalakukeun kitu, anjeun ngasupkeun data login kana komputer geus compromised (atawa anjeun malah teu kudu ngalakukeun éta lamun geus disimpen kecap akses ieu) jeung nyalin jeung nempelkeun kode tina SMS hiji waktu.
..jeung peuting, komputer anjeun asup ka bank (gmail...) ku sorangan, sandi geus disimpen ku batur kalawan malware. Anjeun moal nampi SMS konfirmasi dina telepon sélulér anjeun, tapi... kana éta komputer compromised.
2FA direngsekeun persis skenario ieu. Nepi ka Apple megatkeun eta.
Kuring ngira yén 2FA hartosna kuring kedah ngabuktikeun diri ku 2 hal, contona:
– kecap akses
– jeung telepon nu narima SMS
Nya, neraskeun SMS ka Mac ka telepon ogé nambihan Mac (atanapi langkung seueur Mac sareng iPad anu kuring parantos dipasangkeun) salaku alternatip, tapi éta masih 2FA. Atanapi henteu?
Sakali deui - dina kaayaan normal, 2FA ngarengsekeun kaayaan sapertos "Mac kuring diretas sareng kuring henteu terang ngeunaan éta". Kusabab teras anjeun tiasa nganggap yén Mac terang kecap konci anjeun pikeun jasa éta (anu anjeun parantos disimpen atanapi bakal ngadangukeun éta nalika anjeun lebet kana jasa). Sareng ayeuna anjeun tiasa ngarepkeun yén anjeunna ogé bakal terang SMS (atanapi anjeunna tiasa naroskeun iraha waé sareng anjeunna bakal nampi).
Kaseueuran jasa anu nawiskeun auténtikasi dua faktor (Facebook, Dropbox, Google, Microsoft, ...) ngamungkinkeun kecap akses sakali-waktos didamel nganggo aplikasi (Kuring nganggo Google Authenticator). Aplikasi ieu terus-terusan ngahasilkeun kode terbatas waktos kanggo jasa anu kadaptar. Kodeu tiasa langsung disalin sareng dianggo pikeun log in. Anjeun teu kedah ngantosan SMS sumping sareng, upami aranjeunna diteruskeun ka Mac, ngajawab masalah anu dijelaskeun dina tulisan.
Macs anu dikompromi gaduh pesen SMS nalika asup...
Ngarasa Luncat nanya eta. Upami kuring parantos ngaktipkeun verifikasi dua fase kalayan ngahasilkeun kode hiji waktos nganggo aplikasi, maka jasa anu dipasihkeun henteu ngirim SMS.
Upami aya anu henteu robih, seueur jasa anu hoyong telepon sareng ngantepkeun SMS salaku pilihan standar. Jadi komputer Anjeun hacked deui.
Kalayan jumlah bank anu ageung, henteu aya pilihan, ngan ukur SMS sareng éta.
Kuring teu ngarti pisan ieu. Upami aya anu nyolong Mac kuring, kuring mareuman SMS, ngusap Mac tina jarak jauh sareng ngarobih sandi di bank. Atawa naon nu nyekel?
Naha anjeun badé ngalakukeun éta sateuacan maca tulisan ieu?
Leres pisan, leres pisan otomatis.
Tapi auténtikasi dua fase nyaéta ngeunaan kanyataan yén panyerang peryogi dua konfirmasi: PASSWORD AND SMS. Ieu ngandung harti yén lamun kuring sieun yén batur bakal nyandak Mac dipasangkeun kuring, Kuring teu nyimpen sandi di dinya, sarta lamun batur hacks browser kuring, aranjeunna moal meunang kana iMessage.
Dimana anjeun meunang jaminan yén éta moal kaluar tina panyungsi anjeun? Numutkeun hasil ayeuna Pwn4Fun sareng Pwn2Own, sigana aya sahenteuna dua enol dinten pikeun Safari:
"Di Pwn4Fun, Google ngirimkeun garapan anu luar biasa ngalawan Apple Safari ngaluncurkeun Kalkulator salaku akar dina Mac OS X"
"Ku Liang Chen ti Tim Keen:
Ngalawan Apple Safari, tumpukan mumbul sareng bypass kotak pasir, nyababkeun palaksanaan kode."
Hurup bodas ipis dina latar héjo - bahkan murid sakola khusus henteu tiasa nyarankeun langkung saé ...
Salah sahiji cara pikeun ngeureunkeun ieu nyaéta ngagentos generasi kode via dongle (contona ieu: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) éta aman sareng ngamungkinkeun kaamanan anu langkung luhur, KB ogé kedah ngalakukeun hal anu sami - sertipikat anu diunggah kana disk USB, tanpa éta jalma henteu tiasa nyambung ka perbankan Internét, ditambah kadang kecap konci sakali dikirim ka telepon, jsb. ... Aya loba kemungkinan, tapi dulur boga sorangan manehna kudu mutuskeun lamun kaamanan penting pikeun dirina (lamun manehna boga sandi atawa henteu? jsb)
Unicredit gaduh hal anu saé. Konci pinter henteu pernah janten SMS klasik, tapi kuring ngahasilkeun kecap konci sakali dina aplikasi sélulér.
Abdi peryogi nasihat on naha kuring ujug-ujug teu bisa ngirim mm video pondok, nu éta mungkin nepi ka ayeuna? Teu aya pilihan pikeun ngan saukur nyelapkeun pidéo, éta henteu ngabales, éta henteu ngalebetkeun kana pesen
hatur nuhun