Vídeo: El verdadero riesgo de la Piratería 🏴☠️ (De novembre 2024)
Probablement heu trobat un dels esquemes d'autenticació del lloc web que funcionen enviant un codi únic al vostre telèfon intel·ligent i havent-lo introduït en línia. Els números de autenticació de transaccions mòbils (mTAN) utilitzats per molts bancs en són un exemple. Google Authenticator us permet protegir el vostre compte de Gmail de la mateixa manera i altres serveis (LastPass, per exemple, també) ho donen suport. Malauradament, els dolents ja saben com subvertir aquest tipus d’autenticació. L’autenticació SMS de TextKey és un nou enfocament, que protegeix totes les etapes del procés d’autenticació.
Gireu-la
L’autenticació SMS d’estil envia aquell codi únic al número de mòbil registrat per l’usuari. No hi ha manera d’estar segur que el codi malware no ha estat agafat o interceptat mitjançant un clon del telèfon. A continuació, l’usuari escriu el codi al navegador. Si el PC està infectat, la transacció pot veure's compromesa. De fet, una variant de Zeus anomenada zitmo (per "Zeus al mòbil") realitza un atac amb equips d'etiquetes, amb un component al PC i un altre al mòbil que coopera per robar les vostres credencials i els vostres diners.
TextKey inverteix tot el procés. No et fa missatge de text. En lloc d'això, mostra un PIN després d'introduir el vostre nom d'usuari i la vostra contrasenya i us demanarà que envieu aquest PIN a un codi curt especificat. Els operadors mòbils treballen molt per assegurar-se que un número de telèfon coincideix exactament amb un dispositiu, de manera que si el servidor TextKey rep el missatge, significa que l'operador ja ha validat el número de telèfon i l'UDID del telèfon. Allà mateix, TextKey té dos factors d’autenticació afegits de forma gratuïta.
El PIN és diferent cada cop i només val per un parell de minuts. El codi curt també varia. I un lloc web que utilitzi TextKey per a l’autenticació pot requerir de manera opcional que cada usuari crei un PIN personal que s’ha d’afegir al principi o al final del PIN únic.
Què passa si un col·laborador navega per la pantalla amb el codi PIN i codi curt o un programa maliciós informa de la vostra activitat de text al seu propietari? Si el sistema TextKey rep el PIN adequat del número de telèfon equivocat, no simplement rebutja l'autenticació. També registra el número de telèfon com a frau, de manera que el propietari del lloc pot emprendre les accions oportunes.
Feu clic a aquest enllaç per provar TextKey. A efectes demostratius, introduireu el vostre número de telèfon; en una situació del món real, el número seria part del vostre perfil d'usuari. Tingueu en compte que podeu activar l'alerta de frau introduint un número diferent del vostre.
Com ho aconsegueixes?
Per desgràcia, TextKey no és una cosa que puguis implementar com a consumidor. Només podeu fer-ne ús si el banc o un altre lloc segur l’ha implementat. Les petites empreses poden contractar l’autenticació TextKey de forma segura com a servei, pagant des de 5 dòlars fins a 0, 50 dòlars per usuari al mes, segons el nombre d’usuaris. Aquesta és una quota mensual plana per a qualsevol nombre d'inici de sessió. Les operacions a gran escala que allotgen els seus propis servidors TextKey paguen una quota de configuració i la quota per mes.
Pot ser que aquest esquema no sigui 100% inexplicable, però és molt més dur que l'autenticació SMS de l'antiga escola. Va molt més enllà de dos factors; TextPower l'anomena "factor omni". Heu de conèixer la contrasenya, posseir el telèfon amb la UDID correcta, introduir el PIN visualitzat, opcionalment afegir el PIN personal, enviar el text del vostre número de telèfon registrat i utilitzar el codi curt aleatori com a destinació. Davant d'això, probablement el pirata informàtic baixarà amb força i esclafarà uns quants mTAN bancaris.