Ondrey Xolzman OS X Yosemite va iOS 8 da joriy qilingan yangi funksiyalar foydalanuvchilarga bir nechta qurilmalardan foydalanishni soddalashtiruvchi juda ko‘p foydali funksiyalarni keltirsa-da, ular xavfsizlikka tahdid ham keltirishi mumkin. Misol uchun, matnli xabarlarni iPhone-dan Mac-ga yo'naltirish turli xizmatlarga kirishda ikki bosqichli tekshiruvni osongina chetlab o'tadi.
Apple so'nggi operatsion tizimlarda kompyuterlarni mobil qurilmalar bilan bog'laydigan Continuity funktsiyalari to'plami, ayniqsa, iPhone va iPad'larni Mac'larga ulashda foydalanadigan tarmoqlar va texnikalar nuqtai nazaridan juda qiziq. Uzluksizlik Mac-dan qo'ng'iroq qilish, AirDrop orqali fayllarni yuborish yoki tezkor kirish nuqtasi yaratish qobiliyatini o'z ichiga oladi, ammo endi biz kompyuterlarga oddiy SMS yuborishga e'tibor qaratamiz.
Bu nisbatan sezilmaydigan, ammo juda foydali funksiya, eng yomon holatda, tajovuzkorga tanlangan xizmatlarga kirishda ikkinchi tekshirish bosqichi uchun ma'lumotlarni olish imkonini beruvchi xavfsizlik teshigiga aylanishi mumkin. Bu erda biz ikki fazali login deb ataladigan narsa haqida gapiramiz, u banklardan tashqari, ko'plab internet xizmatlari tomonidan allaqachon joriy etilmoqda va sizda faqat klassik va bitta parol bilan himoyalangan hisob qaydnomangiz bo'lganidan ko'ra ancha xavfsizroq.
Ikki bosqichli tekshirish turli yo'llar bilan amalga oshirilishi mumkin, lekin biz onlayn-banking va boshqa internet xizmatlari haqida gapirganda, biz ko'pincha sizning telefon raqamingizga tasdiqlash kodini yuborishga duch kelamiz, keyin uni oddiy parolni kiritish uchun kiritishingiz kerak. Shuning uchun, agar kimdir sizning parolingizni (yoki kompyuter, shu jumladan parol yoki sertifikat) qo'lga kiritsa, ular odatda mobil telefoningiz kerak bo'ladi, masalan, Internet-banking tizimiga kirish uchun, u erda tekshirishning ikkinchi bosqichi uchun parol bilan SMS keladi. .
Ammo siz barcha matnli xabarlaringizni iPhone-dan Mac-ga yo'naltirganingizda va tajovuzkor Mac-ni egallab olgan paytda, ular endi iPhone-ga muhtoj emas. Klassik SMS-xabarlarni yo'naltirish uchun iPhone va Mac o'rtasida to'g'ridan-to'g'ri ulanish shart emas - ular bir xil Wi-Fi tarmog'ida bo'lishlari shart emas, Wi-Fi ham yoqilishi shart emas, xuddi Bluetooth kabi, Buning uchun ikkala qurilmani ham internetga ulash kifoya. SMS Relay xizmati, xabarlarni yo'naltirish rasmiy ravishda deyiladi, iMessage protokoli orqali aloqa qiladi.
Amalda, uning ishlash usuli shundan iboratki, xabar sizga oddiy SMS sifatida kelgan bo'lsa-da, Apple uni iMessage sifatida qayta ishlaydi va Internet orqali Mac-ga uzatadi (SMS Relay paydo bo'lishidan oldin u iMessage bilan shunday ishlagan). , bu erda u yashil pufak bilan ko'rsatilgan SMS sifatida ko'rsatiladi. iPhone va Mac har biri boshqa shaharda bo'lishi mumkin, faqat ikkala qurilma ham Internetga ulanishi kerak.
Shuningdek, siz SMS Relay Wi-Fi yoki Bluetooth orqali ishlamasligini quyidagi tarzda olishingiz mumkin: iPhone-da samolyot rejimini faollashtiring va Internetga ulangan Mac-da SMS yozing va yuboring. Keyin Mac-ni Internetdan uzing va aksincha, iPhone-ni unga ulang (mobil internet etarli). SMS ikki qurilma bir-biri bilan hech qachon to'g'ridan-to'g'ri bog'lanmagan bo'lsa ham yuboriladi - hamma narsa iMessage protokoli bilan ta'minlanadi.
Shunday qilib, xabarlarni yo'naltirishdan foydalanganda, ikki faktorli autentifikatsiya xavfsizligi buzilganligini yodda tutish kerak. Agar kompyuteringiz o'g'irlangan bo'lsa, darhol xabar almashishni o'chirib qo'yish hisoblaringizni buzishning oldini olishning eng tezkor va eng oson usuli hisoblanadi.
Agar siz telefon displeyidagi tasdiqlash kodini qayta yozishingiz shart bo'lmasa, uni Mac-dagi Xabarlar-dan nusxalashingiz shart bo'lsa, Internet-banking xizmatiga kirish qulayroqdir, ammo bu holda xavfsizlik muhimroqdir, bu SMS o'tkazmasi tufayli juda kam. . Ushbu muammoni hal qilish, masalan, Mac-da ma'lum raqamlarni yo'naltirishni istisno qilish imkoniyati bo'lishi mumkin, chunki SMS kodlari odatda bir xil raqamlardan keladi.
Oxirgi xatboshida aytib o'tilganidek - kodni nusxalash qobiliyati ancha qulay va yaxshiroq.
Bundan tashqari, agar kimdir mening MacBook-ni o'g'irlasa, men qiladigan birinchi narsa - uni bloklash va iPhone-dagi barcha "yo'naltirish" va uzluksizlikni o'chirish - shuning uchun Sozlamalar / Xabarlarda bu variant ham mavjud. :)
Va agar kimdir uni sizga bog'lasa, siz ham buni to'xtatasizmi?
Va nega ikki bosqichli avtorizatsiyaga ega bo'lsangiz, o'g'irlangan qurilmani darhol bloklashingiz mumkin, ha?
Ikki bosqichli tekshirish uchinchi tomon xizmatidir, shuning uchun men undan foydalana olmayman yoki hech bo'lmaganda banklar uchun e'tibor bermayman. Men Mac-ni topish orqali Mac-ni bloklayman yoki o'chirib tashlayman. Hamma narsaning ortida shaytonni ko‘rmasam, SMS yuborishning foydasi ko‘p.
Hech kim o'g'irlik haqida qayg'urmaydi, to'liq disk shifrlash buni hal qiladi. Ammo buzilgan kompyuter bilan nima qilmoqchisiz? Ehtimol, hech narsa, siz bu haqda bilmaysiz.
Albatta, afzalliklar ustunlik qiladi, hech kim shaytonni ko'rmaydi va foydalanuvchi har doim xavfsizlikni raqsga tushadigan cho'chqaga almashtiradi.
Darvoqe, banklar sizni shunchaki o‘yin-kulgi uchun SMS yuborishga majburlayotgandek taassurot qoldiryapsizmi?
Agar kimdir tashvishlansa, undan foydalanmang. Men bundan juda mamnunman
Va 2FA bilan birgalikda tashvishlanmaydiganlar undan foydalanmaydilar, chunki ular nima qilayotganlarini bilishmaydi.
Va qanday qilib Macbook-da ma'lum bir raqamni chiqarib tashlab, uni iPhone-da qoldiraman? Javobingiz uchun rahmat
AFAIKning eng yaxshi varianti "Sozlamalardagi Xabarlar ostida (iPhone'ingizdan) matnli xabarlarni yo'naltirishni o'chirib qo'ying".
Adashmasam, jo'natilishi kerak bo'lgan narsalarni oq ro'yxatga kiritish yoki yo'q narsalarni qora ro'yxatga kiritish mumkin emas.
Xo'sh, Mac-dan ko'ra uyali telefonni o'g'irlash osonroq emasmi? Ha, siz mobil uchun parolga ega bo'lishingiz mumkin, lekin MAC uchun ham. Men mutaxassis emasman, lekin parolni bilmasam, Mac-ga kirish oson bo'lmasa kerak (men ma'lumotlarni o'qishni nazarda tutmayman, lekin SMS o'tish boshlanishi uchun tizimga kirish).
Shuni ham unutmangki, biz ikki tomonlama xavfsizlik haqida gapiramiz, bu erda birinchi bosqich asosiy hisoblanadi - hurmat qilish uchun parolni kiritish va agar sizda MAC-da yoki uning ichida biron bir matn hujjatida yozilmagan bo'lsa, unda mavjud. bankka kirish imkoni yo'q (va siz parol sifatida 1111 dan foydalanmaysiz :-))
Shunday qilib, Mac-ni o'g'irlash, ehtimol, Mac-ning haqiqiy narxi tufayli sizga eng katta zarar keltiradi.
2FA asosiy Mac yoki IP o'g'irlanishini hal qilmaydi. Yechim shundaki, tajovuzkor Mac va boshqa narsalarni boshqarishi kerak. Endi unga Mac yetarli. Coz 2FA ning barcha afzalliklarini inkor etadi.
(Maslahat: "Mac-dagi hujumchi faqat brauzerni boshqaradi" variantidan himoyalanishdir, bu butunlay boshqariladigan vaziyat emas.)
Agar siz Mac-ni mutlaqo xavfsiz deb hisoblasangiz (haha), unda siz 2FA bilan shug'ullanishingiz shart emas. Agar yo'q bo'lsa, 2FA sizga driv kabi xavfsizlikni oshirishni to'xtatdi.
Va yana bir marta, juda ravshan - siz "nicnebezpecneho.cz" veb-saytiga kirasiz, bu baxtsiz vaziyatlar to'plami tufayli xavfli. Bu siz bilan juda oson sodir bo'lishi mumkin - siz darhol porno saytlarga borishingiz shart emas, kimdir tashrif buyurayotgan blogingizni himoya qilmasligi va sharhlarga tozalanmagan JavaScript kiritilishiga ruxsat berishi kifoya. Ushbu sahifada brauzeringiz uchun masofaviy ekspluatatsiya mavjud (bu siz bilan hali ham sodir bo'lishi mumkin, juda g'ayrioddiy narsa emas). Yoki ijtimoiy muhandislik bilan shug'ullanasiz ...
...bir necha soatdan keyin siz bankdan pul jo‘natish uchun borasiz (siz gmail, githubga kirasiz...). Shunday qilib, siz allaqachon buzilgan kompyuterga kirish ma'lumotlarini kiritasiz (yoki sizda ushbu parollar saqlangan bo'lsa, buni qilish shart emas) va SMS-dan kodni bir marta nusxalash va joylashtirish.
..va tunda kompyuteringiz bankka (gmail...) o'z-o'zidan kiradi, parol allaqachon zararli dasturga ega bo'lgan kishi tomonidan saqlangan. Siz mobil telefoningizga tasdiq SMS-xabarini olmaysiz, lekin... o'sha buzilgan kompyuterga.
2FA aynan shu stsenariylarni hal qildi. Apple uni buzmaguncha.
Men 2FA o'zimni ikki narsa bilan isbotlashim kerakligini anglatadi, deb o'yladim, masalan:
- parol
– SMS qabul qiluvchi telefon bilan
Xo'sh, SMS-ni Mac-ga telefonga yo'naltirish, shuningdek, Mac-ni (yoki men bog'lagan bir nechta Mac va iPad-ni) muqobil sifatida qo'shadi, lekin u hali ham 2FA. Yoki yo'qmi?
Yana bir bor - oddiy sharoitlarda 2FA "mening Macim buzilgan va men bu haqda bilmayman" kabi vaziyatlarni hal qiladi. Chunki u holda siz Mac sizning xizmat uchun parolingizni biladi deb taxmin qilishingiz mumkin (sizda u allaqachon saqlangan yoki keyingi safar xizmatga kirganingizda uni tinglaysiz). Va endi siz u ham SMS bilishini kutishingiz mumkin (yoki u xohlagan vaqtda so'rashi mumkin va u buni oladi).
Ikki faktorli autentifikatsiyani taklif qiluvchi xizmatlarning aksariyati (Facebook, Dropbox, Google, Microsoft, …) ilova yordamida bir martalik parollarni yaratishga imkon beradi (men Google Authenticator-dan foydalanaman). Ilova doimiy ravishda ro'yxatdan o'tgan xizmatlar uchun cheklangan vaqt kodlarini ishlab chiqaradi. Kodni darhol nusxalash va tizimga kirish uchun foydalanish mumkin. SMS kelishini kutishingiz shart emas va agar ular Mac-ga yuborilsa, maqolada tasvirlangan muammoni hal qiling.
Buzilgan Mac kompyuterlarida tizimga kirishda SMS xabarlar bor...
Buni so'rashingiz mumkin. Agar men ilova yordamida bir martalik kod yaratish bilan ikki bosqichli tekshirishni yoqgan bo'lsam, u holda ushbu xizmat SMS yubormaydi.
Agar biror narsa o'zgarmagan bo'lsa, ko'plab xizmatlar telefonni xohlashdi va SMS-ni standart variant sifatida qoldirdi. Shunday qilib, buzilgan kompyuteringiz qaytib keldi.
Ko'p sonli banklar bilan tanlov yo'q, shunchaki SMS va hammasi.
Men buni juda aniq tushunmayapman. Agar kimdir mening Mac-ni o'g'irlasa, men SMS-ni o'chirib qo'yaman, Mac-ni masofadan o'chirib tashlayman va bankda parolni o'zgartiraman. Yoki qo'lga olish nima?
Ushbu maqolani o'qishdan oldin buni qilasizmi?
Mutlaqo, mutlaqo avtomatik.
Ammo ikki bosqichli autentifikatsiya tajovuzkorga ikkita tasdiqlash kerakligi haqida: PAROL VA SMS. Bu shuni anglatadiki, agar kimdir mening juftlashtirilgan Mac-ni olib qo'yishidan qo'rqsam, parolni u erda saqlamayman va kimdir mening brauzerimni buzsa, iMessage-ga kira olmaydi.
Brauzeringizdan chiqmasligiga qayerdan kafolat olasiz? Pwn4Fun va Pwn2Ownning joriy natijalariga ko'ra, Safari uchun kamida ikki nol kun borga o'xshaydi:
"Pwn4Fun-da Google Apple Safari-ni Mac OS X-da ildiz sifatida Kalkulyatorni ishga tushirishga qarshi juda ta'sirli ekspluatatsiya qildi"
"Keen Teamdan Liang Chen tomonidan:
Apple Safari-ga qarshi, qum qutisini aylanib o'tish bilan birga to'p to'lib toshgan, natijada kod bajarilishiga olib keladi."
Yashil fonda nozik oq harflar - hatto maxsus maktab o'quvchisi ham buni yaxshiroq taklif qila olmasdi...
Buni to'xtatish usullaridan biri kod ishlab chiqarishni dongle orqali almashtirishdir (masalan, bu: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) bu xavfsiz va u yuqori darajadagi xavfsizlikni ta'minlaydi, KB ham shunga o'xshash narsani qilishi kerak - USB diskka yuklangan sertifikat, ularsiz odam Internet-bankingga ulana olmaydi, shuningdek ba'zida telefonga bir martalik parol yuboriladi va hokazo. ... Ko'p imkoniyatlar bor, lekin har kimning o'zi bor, u xavfsizlik uning uchun muhimmi yoki yo'qligini hal qilishi kerak (uning paroli bormi yoki yo'qmi? va hokazo).
Unicredit ajoyib narsaga ega. Smart kalit hech qachon klassik SMS emas, lekin men mobil ilovada bir martalik parol yarataman.
Menga maslahat kerak, nega birdaniga mm qisqa video jo'nata olmayman, shu paytgacha bu mumkin edi? Videoni oddiygina kiritish imkoniyati yo‘q, u javob bermaydi, uni xabarga kiritmaydi
Dokuji