Ciekawą historię zhakowanego własnego konta Gmail opowiedział programista Grant Blakeman. Włamywaczowi chodziło tylko o konto na Instagramie o nazwie „gb” – najwyraźniej krótkie loginy ciągle są na topie giełdy próżności. Historia ciekawa, ponieważ Grant miał włączone dwuskładnikowe uwierzytelnienie w Google oparte o kody SMS. Śledztwo wykazało, że atakującemu udało się przekonać obsługę klienta sieci komórkowej, której Grant był klientem, by przekierowała połączenia jego telefonu na inny numer. W ten sposób atakujący uzyskał dostęp do jednorazowego kodu, umożliwiającego przejęcie konta w procedurze odzyskiwania hasła. Rekomendujemy lekturę całej historii.
Lepsze będą kody generowane w aplikacji
Główne morały z historii:
- ze swoimi ważnymi kontami skojarzcie niezbyt oczywiste konto pocztowe (imię[email protected] jest zbyt trywialne do odgadnięcia)
- miejcie nadzieję, że Wasz dostawca usługi telefonicznej stanie na wysokości zadania
- lub przejdźcie na kody generowane w dedykowanej aplikacji
Jakieś inne pomysły?
Komentarze
Niestety kody generowane da się obejść właśnie przez SMS :/ bezpieczniejsza jest lista haseł jednorazowych schowana głęboko (jednak na tyle płytko żeby dało się ją odnaleźć ;)
widzę, że nie wiesz co to są kody generowane -> wróć się dokształć
Merytoryczny poziom Twojego komenarza pozostawiam innym. Koledze chodziło o kody generowane w dedykowanej aplikacji – znasz inną definicję może? Oświeć nas proszę!
Co z tej aplikacji jak zazwyczaj jest fallback na gsm
Ręce opadają. Jeśli się człowiek postara, to pogrąży go ktoś inny…
Dedykowany numer telefonu do podwójnej autoryzacji.
Od kiedy to można przekierować SMSy na inny numer w sieci komórkowej? Coś tu się nie zgadza w tej hidtorii, chyba że mowa o połączeniu głosowym na numer telefonu gdzie automat czyta kod autoryzacyjny!
Technicznie jest taka mozliwosc. O ile dobrze pamietam wpisy w HLR to obok numerow do przekierowania polaczen glosowych czy faxow jest takze miejsce na przekazywanie smsow. Tyle ze ta usluga nie jest powszechnie swiadczona.
Google oferuje również opcję połączenia głosowego. Poza tym istnieją np. usługi SMS2Email.