Video: HOW TO FIX ANDROID IN SENDING SMS FAILED (Octombrie 2024)
Probabil ați întâlnit una dintre schemele de autentificare a site-ului web care funcționează prin trimiterea unui cod unic pe smartphone-ul dvs. și prin introducerea acestuia online. Numerele de autentificare a tranzacțiilor mobile (mTAN) utilizate de multe bănci sunt un exemplu. Google Authenticator vă permite să vă protejați contul Gmail în același mod, precum și diverse alte servicii - LastPass, de exemplu - să îl susțină. Din păcate, cei răi știu deja să subverteze acest tip de autentificare. Autentificarea prin SMS a TextKey este o abordare nouă, care protejează fiecare etapă a procesului de autentificare.
Rotiți-l în jurul
Autentificarea SMS în stil vechi trimite acel cod unic la numărul de telefon înregistrat al utilizatorului. Nu există nicio modalitate de a fi sigur că codul nu a fost prins de malware sau interceptat folosind o clonă a telefonului. În continuare, utilizatorul introduce codul în browser. Dacă computerul este infectat, tranzacția poate fi compromisă. De fapt, o variantă Zeus numită zitmo (pentru „Zeus în mobil”) efectuează un atac de echipă de etichete, cu o componentă pe PC și una pe mobil care cooperează pentru a-ți fura acreditările și banii.
TextKey inversează întregul proces. Nu vă scrie nimic. În schimb, afișează un PIN după ce introduceți numele de utilizator și parola și vă solicită să trimiteți textul PIN la un cod scurt specificat. Operatorii de telefonie mobilă lucrează foarte mult pentru a vă asigura că un număr de telefon se potrivește exact cu un dispozitiv, astfel încât dacă serverul TextKey primește mesajul, înseamnă că operatorul a validat deja numărul de telefon și UDID al telefonului. Chiar acolo, TextKey primește doi factori de autentificare adăugați gratuit!
Codul PIN este diferit de fiecare dată și este valabil doar câteva minute. Codul scurt variază și el. Și un site web care utilizează TextKey pentru autentificare poate solicita opțional fiecărui utilizator să creeze un PIN personal care trebuie adăugat la începutul sau la sfârșitul codului PIN unic.
Ce se întâmplă dacă un coleg de serviciu navighează pe ecran cu codul PIN și codul scurt sau un program rău intenționat raportează activitatea dvs. de mesaje către proprietarul său? Dacă sistemul TextKey primește PIN-ul potrivit de la numărul de telefon greșit, nu respinge doar autentificarea. De asemenea, înregistrează numărul de telefon ca o fraudă, astfel încât proprietarul site-ului poate lua măsurile adecvate.
Faceți clic pe acest link pentru a încerca TextKey. În scop demonstrativ, veți introduce numărul dvs. de telefon; într-o situație reală, numărul ar face parte din profilul dvs. de utilizator. Rețineți că puteți declanșa alerta de fraudă, introducând un alt număr decât al dvs.
Cum îl obții
Din păcate, TextKey nu este ceva ce poți implementa ca consumator. Îl puteți folosi doar dacă banca sau alt site securizat l-au implementat. Întreprinderile mici pot contracta pentru autentificarea TextKey în condiții de securitate ca servicii, plătind de la 5 USD până la 0, 50 USD pe utilizator pe lună, în funcție de numărul de utilizatori. Aceasta este o taxă lunară forfetară pentru orice număr de conectări. Operațiunile pe scară largă care găzduiesc propriile servere TextKey plătesc o taxă de configurare, precum și o taxă pe lună.
Este posibil ca această schemă să nu fie 100% neatinsă, dar este mult mai dură decât autentificarea SMS-ului din vechile școli. Ea depășește mult dincolo de doi factori; TextPower îl numește „Omni-Factor”. Trebuie să știți parola, să dețineți telefonul cu UDID corect, să introduceți PIN-ul afișat, să adăugați opțional PIN-ul personal, să trimiteți textul de la numărul dvs. de telefon înregistrat și să folosiți codul scurt aleatoriu ca destinație. În confruntare cu acest lucru, probabil că hacker-ul obișnuit va slink off și va sparge câțiva mTAN-uri bancare în schimb.
