Video: If Everything Was Like Among Us (Tháng mười một 2024)
Bạn có thể đã gặp một trong các chương trình xác thực trang web hoạt động bằng cách gửi mã một lần đến điện thoại thông minh của bạn và yêu cầu bạn nhập trực tuyến. Số xác thực giao dịch di động (mTAN) được nhiều ngân hàng sử dụng là một ví dụ. Google Authenticator cho phép bạn bảo vệ tài khoản Gmail của mình theo cùng một cách và nhiều dịch vụ khác khác Last LastPass, ví dụ, cũng hỗ trợ nó. Thật không may, những kẻ xấu đã biết cách lật đổ loại xác thực này. Xác thực SMS của TextKey là một cách tiếp cận mới, một phương pháp bảo vệ mọi giai đoạn của quy trình xác thực.
Xoay nó
Xác thực SMS kiểu cũ gửi mã một lần đến số điện thoại di động đã đăng ký của người dùng. Không có cách nào để chắc chắn rằng mã không bị phần mềm độc hại bắt hoặc chặn bằng cách sử dụng bản sao của điện thoại. Tiếp theo, người dùng nhập mã vào trình duyệt. Nếu PC bị nhiễm, giao dịch có thể bị xâm phạm. Trên thực tế, một biến thể Zeus có tên zitmo (cho "Zeus trong điện thoại di động") thực hiện một cuộc tấn công nhóm thẻ, với một thành phần trên PC và một trên điện thoại di động hợp tác để đánh cắp thông tin đăng nhập và tiền của bạn.
TextKey đảo ngược toàn bộ quá trình. Nó không nhắn tin cho bạn. Thay vào đó, nó sẽ hiển thị mã PIN sau khi bạn nhập tên người dùng và mật khẩu và yêu cầu bạn nhắn tin mã PIN đó đến một mã ngắn được chỉ định. Các nhà mạng di động làm việc rất chăm chỉ để đảm bảo một số điện thoại khớp chính xác với một thiết bị, vì vậy nếu máy chủ TextKey hoàn toàn nhận được tin nhắn, điều đó có nghĩa là nhà mạng đã xác thực số điện thoại và UDID của điện thoại. Ngay tại đó, TextKey được thêm hai yếu tố xác thực miễn phí!
Mã PIN mỗi lần khác nhau và nó chỉ có hiệu lực trong một vài phút. Các mã ngắn khác nhau quá. Và một trang web sử dụng TextKey để xác thực có thể tùy chọn yêu cầu mỗi người dùng tạo mã PIN cá nhân phải được thêm vào đầu hoặc cuối mã PIN một lần.
Điều gì xảy ra nếu đồng nghiệp lướt vai trên màn hình bằng mã PIN và mã ngắn hoặc chương trình độc hại báo cáo hoạt động nhắn tin của bạn cho chủ sở hữu? Nếu hệ thống TextKey nhận được mã PIN đúng từ số điện thoại sai, thì nó không chỉ từ chối xác thực. Nó cũng ghi lại số điện thoại là lừa đảo, vì vậy chủ sở hữu trang web có thể có hành động thích hợp.
Nhấp vào liên kết này để thử TextKey. Đối với mục đích trình diễn, bạn sẽ nhập số điện thoại của bạn; trong tình huống thực tế, số sẽ là một phần trong hồ sơ người dùng của bạn. Lưu ý rằng bạn có thể kích hoạt cảnh báo gian lận bằng cách nhập một số khác với số của bạn.
Làm thế nào để bạn có được nó
Than ôi, TextKey không phải là thứ bạn có thể thực hiện với tư cách là người tiêu dùng. Bạn chỉ có thể sử dụng nó nếu ngân hàng hoặc trang web bảo mật khác đã triển khai nó. Các doanh nghiệp nhỏ có thể ký hợp đồng xác thực TextKey trên cơ sở bảo mật như một dịch vụ, trả từ $ 5 xuống $ 0, 5 mỗi người dùng mỗi tháng, tùy thuộc vào số lượng người dùng. Đó là một khoản phí cố định hàng tháng, cho bất kỳ số lần đăng nhập nào. Các hoạt động quy mô lớn lưu trữ các máy chủ TextKey của riêng họ phải trả phí thiết lập cũng như phí mỗi tháng.
Chương trình này có thể không bị bẻ khóa 100 phần trăm, nhưng nó khó khăn hơn nhiều so với xác thực SMS trường học cũ. Nó đi xa hơn hai yếu tố; TextPower gọi nó là "Yếu tố Omni." Bạn phải biết mật khẩu, sở hữu điện thoại với UDID chính xác, nhập mã PIN được hiển thị, tùy chọn thêm mã PIN cá nhân, gửi văn bản từ số điện thoại đã đăng ký của bạn và sử dụng mã ngắn ngẫu nhiên làm đích. Đối mặt với điều này, tin tặc trung bình có thể sẽ giảm bớt và bẻ khóa một số mTAN ngân hàng thay thế.