Предполагается, что двухфакторная авторизация приведет к повышению безопасности. Предполагается, что этот дополнительный шаг предотвратит проникновение спамеров в вашу учетную запись. Изучив только одну точку доступа, им все равно придется сделать дополнительный шаг, о котором они, скорее всего, не знают. Однако исследователи выяснили, что 2FA может привести к угрозе безопасности при использовании переработанных телефонных номеров.
Использованные номера телефонов раскрывают аккаунты двухфакторной аутентификации
Из-за переезда или смены оператора сотовой связи люди время от времени меняют свои номера телефонов. Но не существует неограниченного количества неиспользуемых телефонных номеров. По этой причине выброшенные телефонные номера часто перерабатываются. Возможно, вы обнаружили это, когда выбрали новый номер и вас беспокоит череда звонков от человека, который ранее был подключен к этому номеру.
Возможно, вас беспокоит нечто большее. Если номер ранее был привязан к 2FA, информация из аккаунтов подвергается угрозе безопасности. Теперь вместо двух факторов для доступа достаточно только номера телефона.
Исследователи Принстонского университета обнаружили угрозу безопасности, связанную с двухфакторной аутентификацией и переработанными телефонными номерами. Из более чем 250 телефонных номеров, выбранных исследователями, 17 были связаны с учетными записями на популярных сайтах. Те номера, которые были выбраны, были доступны двум крупным операторам связи.
Кроме того, большинство доступных номеров привели к обращениям к службам поиска людей, которые предоставляют личную информацию о предыдущих владельцах. Кроме того, значительная часть (100 из 259) номеров была связана с утечкой учетных данных для входа в Интернет, что могло позволить взломать учетные записи и обойти многофакторную аутентификацию на основе SMS», — подробно рассказали исследователи в своем исследовании.
«Мы также обнаружили недостатки в дизайне онлайн-интерфейсов операторов связи и политики повторного использования номеров, которые могут облегчить атаки, связанные с повторным использованием номеров».
Новые владельцы телефонных номеров подвергаются звонкам и сообщениям, связанным с безопасностью и конфиденциальностью, включая такие вещи, как пароли аутентификации. Исследователи из Принстона полагают, что у новых владельцев может возникнуть стимул использовать аккаунты, с которыми связаны эти новые номера.
Ограничение риска безопасности
Что вы можете сделать, если меняете свой номер телефона, чтобы ограничить угрозу безопасности ваших учетных записей, которые когда-то были подключены к 2FA? Отследить все учетные записи, защищенные 2FA, было бы кошмаром.
Исследователи из Принстона считают, что вам следует «припарковать» свой старый номер, когда вы переходите на новый. Вы можете сделать это с помощью службы парковки, оператора мобильной виртуальной сети (MVNO) или провайдера VOIP. Это может дать вам время, необходимое для обновления настроек 2FA в старых учетных записях.
Знайте, что, несмотря на эту проблему, 2FA по-прежнему остается важным методом безопасности. Читайте дальше, чтобы узнать, как настроить 2FA в различных социальных сетях, кроме Twitter, которому больше не нужны номера телефонов для 2FA.
