05.11.2014 | 16:45

Adam Haertle

Jak zhakowano konto Gmail z 2FA

Ciekawą historię zhakowanego własnego konta Gmail opowiedział programista Grant Blakeman. Włamywaczowi chodziło tylko o konto na Instagramie o nazwie „gb” – najwyraźniej krótkie loginy ciągle są na topie giełdy próżności. Historia ciekawa, ponieważ Grant miał włączone dwuskładnikowe uwierzytelnienie w Google oparte o kody SMS. Śledztwo wykazało, że atakującemu udało się przekonać obsługę klienta sieci komórkowej, której Grant był klientem, by przekierowała połączenia jego telefonu na inny numer. W ten sposób atakujący uzyskał dostęp do jednorazowego kodu, umożliwiającego przejęcie konta w procedurze odzyskiwania hasła. Rekomendujemy lekturę całej historii.

Lepsze będą kody generowane w aplikacji

Lepsze będą kody generowane w aplikacji

Główne morały z historii:

  • ze swoimi ważnymi kontami skojarzcie niezbyt oczywiste konto pocztowe (imię[email protected] jest zbyt trywialne do odgadnięcia)
  • miejcie nadzieję, że Wasz dostawca usługi telefonicznej stanie na wysokości zadania
  • lub przejdźcie na kody generowane w dedykowanej aplikacji

Jakieś inne pomysły?

Powrót

Komentarze

  • 2014.11.05 17:11 durzy

    Niestety kody generowane da się obejść właśnie przez SMS :/ bezpieczniejsza jest lista haseł jednorazowych schowana głęboko (jednak na tyle płytko żeby dało się ją odnaleźć ;)

    Odpowiedz
    • 2014.11.05 18:19 dzek

      widzę, że nie wiesz co to są kody generowane -> wróć się dokształć

      Odpowiedz
      • 2014.11.06 15:18 Reeme

        Merytoryczny poziom Twojego komenarza pozostawiam innym. Koledze chodziło o kody generowane w dedykowanej aplikacji – znasz inną definicję może? Oświeć nas proszę!

        Odpowiedz
  • 2014.11.05 17:12 Andrzej

    Co z tej aplikacji jak zazwyczaj jest fallback na gsm

    Odpowiedz
  • 2014.11.05 17:35 steppe

    Ręce opadają. Jeśli się człowiek postara, to pogrąży go ktoś inny…

    Odpowiedz
  • 2014.11.05 17:56 LeszekR

    Dedykowany numer telefonu do podwójnej autoryzacji.

    Odpowiedz
  • 2014.11.05 19:32 Paweł

    Od kiedy to można przekierować SMSy na inny numer w sieci komórkowej? Coś tu się nie zgadza w tej hidtorii, chyba że mowa o połączeniu głosowym na numer telefonu gdzie automat czyta kod autoryzacyjny!

    Odpowiedz
    • 2014.11.05 19:52 marian

      Technicznie jest taka mozliwosc. O ile dobrze pamietam wpisy w HLR to obok numerow do przekierowania polaczen glosowych czy faxow jest takze miejsce na przekazywanie smsow. Tyle ze ta usluga nie jest powszechnie swiadczona.

      Odpowiedz
    • 2014.11.05 20:29 Adam

      Google oferuje również opcję połączenia głosowego. Poza tym istnieją np. usługi SMS2Email.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak zhakowano konto Gmail z 2FA

Komentarze