ออนเดรจ โฮลซ์แมน แม้ว่าคุณสมบัติใหม่ที่เปิดตัวใน OS X Yosemite และ iOS 8 จะนำคุณสมบัติที่มีประโยชน์มากมายมาสู่ผู้ใช้ ซึ่งทำให้การใช้งานอุปกรณ์หลายเครื่องง่ายขึ้น แต่ก็สามารถก่อให้เกิดภัยคุกคามความปลอดภัยได้เช่นกัน ตัวอย่างเช่น การส่งต่อข้อความจาก iPhone ไปยัง Mac จะข้ามการตรวจสอบความถูกต้องสองขั้นตอนได้อย่างง่ายดายเมื่อลงชื่อเข้าใช้บริการต่างๆ
ชุดฟังก์ชันความต่อเนื่องที่ Apple เชื่อมต่อคอมพิวเตอร์กับอุปกรณ์เคลื่อนที่ในระบบปฏิบัติการล่าสุดนั้นน่าสนใจมาก โดยเฉพาะอย่างยิ่งในแง่ของเครือข่ายและเทคนิคที่ใช้ในการเชื่อมต่อ iPhone และ iPad กับ Mac ความต่อเนื่องรวมถึงความสามารถในการโทรจาก Mac, ส่งไฟล์ผ่าน AirDrop หรือสร้างฮอตสปอตอย่างรวดเร็ว แต่ตอนนี้เราจะมุ่งเน้นไปที่การส่งต่อ SMS ปกติไปยังคอมพิวเตอร์
ฟังก์ชั่นที่ค่อนข้างไม่โดดเด่น แต่มีประโยชน์มาก ในกรณีที่เลวร้ายที่สุดนี้สามารถกลายเป็นช่องโหว่ด้านความปลอดภัยที่ช่วยให้ผู้โจมตีสามารถรับข้อมูลสำหรับขั้นตอนการตรวจสอบที่สองเมื่อเข้าสู่บริการที่เลือก เรากำลังพูดถึงสิ่งที่เรียกว่าการเข้าสู่ระบบแบบสองเฟส ซึ่งนอกเหนือจากธนาคารแล้ว ยังได้ถูกนำมาใช้กับบริการอินเทอร์เน็ตหลายแห่งแล้ว และมีความปลอดภัยมากกว่าถ้าคุณมีบัญชีที่ได้รับการปกป้องด้วยรหัสผ่านแบบคลาสสิกและรหัสผ่านเดียวเท่านั้น
การยืนยันแบบสองเฟสสามารถเกิดขึ้นได้หลายวิธี แต่เมื่อเราพูดถึงธนาคารออนไลน์และบริการอินเทอร์เน็ตอื่น ๆ เรามักจะพบการส่งรหัสยืนยันไปยังหมายเลขโทรศัพท์ของคุณ ซึ่งคุณจะต้องป้อนถัดจากการป้อนรหัสผ่านปกติของคุณ ดังนั้น หากมีใครได้รับรหัสผ่านของคุณ (หรือคอมพิวเตอร์รวมถึงรหัสผ่านหรือใบรับรอง) พวกเขามักจะต้องใช้โทรศัพท์มือถือของคุณ เช่น เพื่อเข้าสู่ระบบธนาคารทางอินเทอร์เน็ต โดยที่ SMS พร้อมรหัสผ่านสำหรับการตรวจสอบระยะที่สองจะมาถึง .
แต่ทันทีที่คุณส่งต่อข้อความทั้งหมดจาก iPhone ไปยัง Mac และผู้โจมตีเข้ายึด Mac ของคุณ พวกเขาก็ไม่ต้องการ iPhone ของคุณอีกต่อไป ในการส่งต่อข้อความ SMS แบบคลาสสิก ไม่จำเป็นต้องเชื่อมต่อโดยตรงระหว่าง iPhone และ Mac - ไม่จำเป็นต้องอยู่ในเครือข่าย Wi-Fi เดียวกัน ไม่จำเป็นต้องเปิด Wi-Fi เช่นเดียวกับบลูทูธ และสิ่งที่จำเป็นก็แค่เชื่อมต่ออุปกรณ์ทั้งสองเข้ากับอินเทอร์เน็ต บริการ SMS Relay เมื่อมีการเรียกการส่งต่อข้อความอย่างเป็นทางการ จะสื่อสารผ่านโปรโตคอล iMessage
ในทางปฏิบัติ วิธีการทำงานคือ แม้ว่าข้อความจะส่งถึงคุณในรูปแบบ SMS ปกติ แต่ Apple ก็ประมวลผลข้อความดังกล่าวเป็น iMessage และถ่ายโอนข้อมูลผ่านอินเทอร์เน็ตไปยัง Mac (นี่คือวิธีการทำงานร่วมกับ iMessage ก่อนการมาถึงของ SMS Relay) โดยจะแสดงเป็น SMS ซึ่งระบุด้วยฟองอากาศสีเขียว iPhone และ Mac แต่ละเครื่องสามารถอยู่ในเมืองที่แตกต่างกันได้ เฉพาะอุปกรณ์ทั้งสองเครื่องเท่านั้นที่ต้องเชื่อมต่ออินเทอร์เน็ต
คุณยังสามารถรับหลักฐานว่า SMS Relay ไม่ทำงานผ่าน Wi-Fi หรือบลูทูธได้ด้วยวิธีต่อไปนี้: เปิดใช้งานโหมดเครื่องบินบน iPhone ของคุณ และเขียนและส่ง SMS บน Mac ที่เชื่อมต่อกับอินเทอร์เน็ต จากนั้นตัดการเชื่อมต่อ Mac จากอินเทอร์เน็ตและในทางกลับกันให้เชื่อมต่อ iPhone เข้ากับเครื่อง (อินเทอร์เน็ตบนมือถือก็เพียงพอแล้ว) SMS จะถูกส่งแม้ว่าอุปกรณ์ทั้งสองจะไม่เคยสื่อสารกันโดยตรงก็ตาม - ทุกอย่างมั่นใจได้ด้วยโปรโตคอล iMessage
ดังนั้นเมื่อใช้การส่งต่อข้อความ จำเป็นต้องจำไว้ว่าความปลอดภัยของการรับรองความถูกต้องด้วยสองปัจจัยถูกบุกรุก ในกรณีที่คอมพิวเตอร์ของคุณถูกขโมย การปิดใช้งานการส่งข้อความทันทีเป็นวิธีที่เร็วและง่ายที่สุดในการป้องกันการแฮ็กบัญชีของคุณ
การเข้าสู่บริการธนาคารทางอินเทอร์เน็ตจะสะดวกกว่าเมื่อคุณไม่จำเป็นต้องเขียนรหัสยืนยันจากหน้าจอโทรศัพท์ซ้ำ แต่เพียงคัดลอกจาก Messages บน Mac แต่ในกรณีนี้ความปลอดภัยมีความสำคัญมากกว่าซึ่งขาดอย่างมากเนื่องจาก SMS Relay . วิธีแก้ไขปัญหานี้อาจเป็นได้ เช่น ความเป็นไปได้ที่จะยกเว้นหมายเลขเฉพาะจากการส่งต่อบน Mac เนื่องจากรหัส SMS มักจะมาจากหมายเลขเดียวกัน
ตามที่กล่าวไว้ในย่อหน้าสุดท้าย - ความสามารถในการคัดลอกโค้ดสะดวกและดีขึ้นมาก
นอกจากนี้ - หากมีคนขโมย MacBook ของฉัน สิ่งแรกที่ฉันทำคือบล็อกมันและปิด "การส่งต่อ" และความต่อเนื่องทั้งหมดบน iPhone - นั่นคือสาเหตุว่าทำไมจึงมีตัวเลือกนี้ในการตั้งค่า / ข้อความ -
และถ้ามีใครมาขอมันกับคุณ คุณจะหยุดมันด้วยหรือไม่?
แล้วทำไมต้องมีการอนุญาตสองขั้นตอนในเมื่อคุณสามารถบล็อคเครื่องที่ถูกขโมยได้ทันทีล่ะ?
การยืนยันแบบสองขั้นตอนเป็นบริการของบุคคลที่สาม ดังนั้นฉันจึงแทบจะไม่สามารถใช้งานหรือเพิกเฉยได้ อย่างน้อยก็ในกรณีของธนาคาร และฉันบล็อคหรือลบ Mac ของฉันผ่าน Find my Mac ประโยชน์ของการส่งต่อ SMS มีมากกว่าถ้าฉันไม่เห็นปีศาจอยู่เบื้องหลังทุกสิ่ง
ไม่มีใครสนใจเรื่องการโจรกรรม การเข้ารหัสทั้งดิสก์จะช่วยแก้ปัญหานั้นได้ แต่คุณจะทำอย่างไรกับคอมพิวเตอร์ที่ถูกแฮ็ก? คงไม่มีอะไรหรอก คุณจะไม่รู้เรื่องนี้
แน่นอนว่าข้อดีนั้นมีมากกว่า ไม่มีใครเห็นปีศาจ และผู้ใช้มักจะแลกความปลอดภัยกับหมูเต้นเสมอ
คุณรู้สึกประทับใจไหมที่ธนาคารบังคับให้คุณส่ง SMS เพื่อความสนุกสนาน?
ถ้าใครกังวลก็อย่าใช้มัน ฉันพอใจกับมันมาก
และผู้ที่ไม่มีข้อกังวลร่วมกับ 2FA ก็ไม่ใช้ด้วยซ้ำ เพราะพวกเขาไม่รู้ว่ากำลังทำอะไรอยู่
และฉันจะแยกหมายเลขเฉพาะบน Macbook และปล่อยไว้บน iPhone ได้อย่างไร ขอบคุณสำหรับการตอบกลับ
AFAIK ตัวเลือกที่ดีที่สุดคือ "ปิดการส่งต่อข้อความภายใต้ข้อความในการตั้งค่า (จาก iPhone ของคุณ)"
หากฉันจำไม่ผิด มันเป็นไปไม่ได้ที่จะไวท์ลิสต์สิ่งที่ควรส่งต่อ หรือแบล็คลิสต์สิ่งที่ไม่ควรส่งต่อ
การขโมยโทรศัพท์มือถือไม่ง่ายกว่า Mac เหรอ? ใช่ คุณสามารถมีรหัสผ่านสำหรับมือถือ แต่สำหรับ MAC ด้วยเช่นกัน ฉันไม่ใช่ผู้เชี่ยวชาญ แต่การเข้าถึง Mac อาจไม่ใช่เรื่องง่ายหากฉันไม่รู้รหัสผ่าน (ฉันไม่ได้ตั้งใจจะอ่านข้อมูล แต่ต้องเข้าสู่ระบบเพื่อเริ่มการส่งต่อ SMS)
นอกจากนี้อย่าลืมว่าเรากำลังพูดถึงการรักษาความปลอดภัยสองเท่าโดยที่เฟสแรกเป็นเฟสหลัก - การป้อนรหัสผ่านเพื่อเป็นเกียรติและหากคุณไม่ได้เขียนไว้ใน MAC หรือในเอกสารข้อความบางส่วนข้างในก็จะมี ไม่สามารถเข้าถึงธนาคารได้ (และคุณไม่ได้ใช้ 1111 เป็นรหัสผ่าน :-))
ดังนั้นการขโมยเครื่อง Mac อาจทำให้คุณได้รับความเสียหายมากที่สุดเนื่องจากราคาที่แท้จริงของเครื่อง Mac
2FA ไม่สามารถแก้ปัญหา Mac หรือการขโมย IP หลักได้ วิธีแก้ไขคือผู้โจมตีต้องเข้าควบคุม Mac และอย่างอื่น ตอนนี้ Mac ก็เพียงพอแล้วสำหรับเขา เพราะปฏิเสธผลประโยชน์ทั้งหมดของ 2FA
(คำแนะนำคือการป้องกันตัวแปร "ผู้โจมตีบน Mac ที่ควบคุมเบราว์เซอร์เท่านั้น" ซึ่งอาจไม่ใช่สถานการณ์ที่ได้รับการควบคุมอย่างสมบูรณ์)
เพียงแต่ว่าถ้าคุณคิดว่า Mac ปลอดภัยโดยสิ้นเชิง (2) คุณก็ไม่จำเป็นต้องจัดการกับ 2FA และหากไม่เป็นเช่นนั้น XNUMXFA จะหยุดนำเสนอการรักษาความปลอดภัยที่เพิ่มขึ้น เช่น การขับขี่ให้กับคุณ
และอีกครั้งหนึ่งที่ชัดเจนมาก - คุณไปที่เว็บไซต์ "nicnebezpecneho.cz" ซึ่งเป็นอันตรายเนื่องจากสถานการณ์ที่โชคร้าย สิ่งนี้สามารถเกิดขึ้นกับคุณได้อย่างง่ายดาย - คุณไม่จำเป็นต้องไปที่ไซต์ลามกทันที การที่บางคนไม่รักษาความปลอดภัยให้กับบล็อกที่คุณกำลังเยี่ยมชมก็เพียงพอแล้ว และปล่อยให้จาวาสคริปต์ที่ไม่ถูกสุขลักษณะแทรกลงในความคิดเห็น มีการใช้ประโยชน์จากเบราว์เซอร์ของคุณจากระยะไกลบนหน้านั้น (สิ่งนี้ยังสามารถเกิดขึ้นกับคุณได้ ไม่มีอะไรผิดปกติมากนัก) หรือจมอยู่กับวิศวกรรมสังคม...
...หลังจากนั้นไม่กี่ชั่วโมง คุณก็ไปส่งเงินจากธนาคาร (คุณเข้าสู่ระบบ Gmail, GitHub...) ในการทำเช่นนี้ คุณจะต้องป้อนข้อมูลการเข้าสู่ระบบลงในคอมพิวเตอร์ที่ถูกบุกรุกแล้ว (หรือคุณไม่จำเป็นต้องทำเช่นนั้นหากคุณบันทึกรหัสผ่านเหล่านี้ไว้) และคัดลอกและวางรหัสจาก SMS หนึ่งครั้ง
..และในเวลากลางคืน คอมพิวเตอร์ของคุณจะเข้าสู่ระบบธนาคาร (gmail...) ด้วยตัวเอง ผู้ที่มีมัลแวร์บันทึกรหัสผ่านไว้แล้ว คุณจะไม่ได้รับ SMS ยืนยันทางโทรศัพท์มือถือของคุณ แต่... เข้าไปในคอมพิวเตอร์ที่ถูกบุกรุกนั้น
2FA แก้ไขสถานการณ์เหล่านี้ได้อย่างแน่นอน จนกระทั่ง Apple ทำลายมัน
ฉันคิดว่า 2FA หมายถึงฉันต้องพิสูจน์ตัวเองด้วย 2 สิ่ง เช่น
- รหัสผ่าน
– ด้วยโทรศัพท์ที่รับ SMS
การส่งต่อ SMS ไปยัง Mac ไปยังโทรศัพท์ยังเพิ่ม Mac (หรือ Mac และ iPad มากกว่าที่ฉันจับคู่ไว้) เป็นทางเลือก แต่ก็ยังคงเป็น 2FA หรือไม่?
อีกครั้ง - ภายใต้สถานการณ์ปกติ 2FA จะแก้ไขสถานการณ์เช่น "Mac ของฉันถูกแฮ็กและฉันไม่รู้เรื่องนี้" เพราะคุณสามารถสรุปได้ว่า Mac รู้รหัสผ่านของคุณสำหรับบริการ (ที่คุณบันทึกไว้แล้วหรือจะฟังในครั้งถัดไปที่คุณเข้าสู่ระบบบริการ) และตอนนี้คุณสามารถคาดหวังได้ว่าเขาจะรู้ SMS ด้วย (หรือเขาสามารถขอได้ตลอดเวลาเขาก็จะได้รับ)
บริการส่วนใหญ่ที่มีการตรวจสอบสิทธิ์แบบสองปัจจัย (Facebook, Dropbox, Google, Microsoft, …) อนุญาตให้สร้างรหัสผ่านแบบใช้ครั้งเดียวโดยใช้แอป (ฉันใช้ Google Authenticator) แอปพลิเคชันจะสร้างรหัสแบบจำกัดเวลาสำหรับบริการที่ลงทะเบียนไว้อย่างต่อเนื่อง สามารถคัดลอกรหัสได้ทันทีและนำไปใช้เข้าสู่ระบบได้ คุณไม่จำเป็นต้องรอให้ SMS มาถึง และหากส่งต่อไปยัง Mac ก็สามารถแก้ไขปัญหาที่อธิบายไว้ในบทความได้
Mac ที่ถูกบุกรุกจะมีข้อความ SMS เมื่อเข้าสู่ระบบ...
อย่าลังเลที่จะขอสิ่งนั้น หากฉันเปิดการยืนยันแบบสองเฟสด้วยการสร้างรหัสแบบใช้ครั้งเดียวโดยใช้แอปพลิเคชัน แสดงว่าบริการดังกล่าวไม่ส่ง SMS ใด ๆ
หากไม่มีอะไรเปลี่ยนแปลง บริการจำนวนมากต้องการโทรศัพท์และปล่อยให้ SMS เป็นตัวเลือกเริ่มต้น ดังนั้นคอมพิวเตอร์ที่ถูกแฮ็กของคุณจึงกลับมาแล้ว
เนื่องจากมีธนาคารจำนวนมาก ไม่มีทางเลือก มีเพียง SMS เท่านั้น
ฉันไม่เข้าใจเรื่องนี้ชัดเจนนัก หากมีคนขโมย Mac ของฉัน ฉันจะปิด SMS ลบข้อมูล Mac จากระยะไกล และเปลี่ยนรหัสผ่านที่ธนาคาร หรือมีอะไรจับ?
คุณจะทำอย่างนั้นก่อนที่จะอ่านบทความนี้หรือไม่?
โดยอัตโนมัติอย่างแน่นอน
แต่การตรวจสอบสิทธิ์แบบสองเฟสนั้นเกี่ยวกับความจริงที่ว่าผู้โจมตีต้องการการยืนยันสองครั้ง: รหัสผ่านและ SMS ซึ่งหมายความว่าหากฉันกลัวว่าจะมีคนเอา Mac ที่จับคู่ของฉันไป ฉันจะไม่เก็บรหัสผ่านไว้ที่นั่น และหากมีใครแฮ็กเบราว์เซอร์ของฉัน พวกเขาก็จะไม่สามารถเข้าสู่ iMessage ได้
คุณได้รับความมั่นใจจากที่ไหนว่ามันจะไม่แยกออกจากเบราว์เซอร์ของคุณ? ตามผลลัพธ์ปัจจุบันของ Pwn4Fun และ Pwn2Own ดูเหมือนว่า Safari จะมีเวลาเป็นศูนย์อย่างน้อยสองวัน:
"ที่ Pwn4Fun นั้น Google ได้มอบประโยชน์ที่น่าประทับใจอย่างมากต่อ Apple Safari ที่เปิดตัวเครื่องคิดเลขในฐานะรูทบน Mac OS X"
"โดย Liang Chen จาก Keen Team:
เมื่อเทียบกับ Apple Safari ฮีปล้นพร้อมกับแซนด์บ็อกซ์บายพาส ส่งผลให้มีการเรียกใช้โค้ด"
ตัวอักษรสีขาวบางๆ บนพื้นหลังสีเขียว แม้แต่นักเรียนโรงเรียนพิเศษก็ไม่สามารถแนะนำได้ดีกว่านี้...
วิธีหนึ่งที่จะหยุดปัญหานี้ได้คือการแทนที่การสร้างโค้ดผ่านดองเกิล (ตัวอย่างนี้: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) ปลอดภัยและช่วยให้มีความปลอดภัยสูงขึ้น KB ยังต้องทำสิ่งที่คล้ายกัน - ใบรับรองที่อัปโหลดไปยังดิสก์ USB โดยที่บุคคลไม่สามารถเชื่อมต่อกับบริการธนาคารทางอินเทอร์เน็ตได้ รวมถึงบางครั้งรหัสผ่านเพียงครั้งเดียวจะถูกส่งไปยังโทรศัพท์ ฯลฯ ... มีความเป็นไปได้หลายอย่าง แต่ทุกคนต่างก็มีของตัวเอง เธอต้องตัดสินใจว่าความปลอดภัยเป็นสิ่งสำคัญสำหรับเธอหรือไม่ (เธอมีรหัสผ่านหรือไม่ ฯลฯ)
Unicredit มีสิ่งที่ยอดเยี่ยม สมาร์ทคีย์ไม่ใช่ SMS แบบคลาสสิก แต่ฉันสร้างรหัสผ่านแบบใช้ครั้งเดียวในแอปพลิเคชันมือถือ
ฉันต้องการคำแนะนำว่าเหตุใดฉันจึงไม่สามารถส่งวิดีโอสั้นขนาด mm ได้ในกะทันหัน ซึ่งสามารถทำได้จนถึงขณะนี้ ไม่มีตัวเลือกให้แทรกวิดีโอเพียงอย่างเดียว วิดีโอไม่ตอบสนอง และไม่แทรกลงในข้อความ
ขอบคุณ