Videó: i paid $30 for a hacked minecraft mouse... (November 2024)
Valószínűleg olyan webhely-hitelesítési sémákkal találkozott, amelyek úgy működnek, hogy egyszeri kódot küld az okostelefonra, és online beírja. Az egyik példa a sok bank által használt mobil tranzakció-hitelesítési számok (mTAN). A Google Hitelesítő lehetővé teszi Gmail-fiókjának azonos védelmét, és számos egyéb szolgáltatás - például a LastPass - szintén támogatja. Sajnos, a rossz fiúk már tudják, hogyan kell aláássák az ilyen típusú hitelesítést. A TextKey SMS-hitelesítése új megközelítés, amely megvédi a hitelesítési folyamat minden szakaszát.
Fordítsd meg
A régi stílusú SMS-hitelesítés az egyszeri kódot továbbítja a felhasználó regisztrált mobilszámára. Semmi esetre sem lehet biztos abban, hogy a kódot nem észlelte rosszindulatú program vagy elfogták-e a telefon klónja segítségével. Ezután a felhasználó beírja a kódot a böngészőbe. Ha a számítógép fertőzött, a tranzakció veszélybe kerülhet. Valójában, a zitmo nevű Zeus-változat (a "Zeus a mobilban") címkecsapat támadást hajt végre, az egyik elem a PC-n, a másik pedig a mobiltelefonon, hogy együtt lopja meg hitelesítő adatait és pénzét.
A TextKey megfordítja a teljes folyamatot. Nem ír semmit neked. Ehelyett a PIN-kódot jeleníti meg, miután megadta felhasználónevét és jelszavát, és kéri, hogy írja be a PIN-kódot egy megadott rövid kódra. A mobilszolgáltatók nagyon keményen dolgoznak annak biztosítása érdekében, hogy egy telefonszám pontosan megfeleljen egy eszköznek, tehát ha a TextKey szerver egyáltalán megkapja az üzenetet, ez azt jelenti, hogy a szolgáltató már érvényesítette a telefonszámot és a telefon UDID-jét. Itt van a TextKey két hozzáadott hitelesítési tényezőt ingyen!
A PIN-kód minden alkalommal különbözik, és csak néhány percig érvényes. A rövid kód is változik. És egy olyan webhely, amely TextKey-t használ hitelesítésre, opcionálisan megkövetelheti minden felhasználótól, hogy hozzon létre egy személyes PIN-kódot, amelyet hozzá kell adni az egyszeri PIN elejéhez vagy végéhez.
Mi történik, ha egy munkatárs vállon böngészi a képernyőt a PIN-kóddal és a rövid kóddal, vagy ha egy rosszindulatú program a textiltevékenységéről a tulajdonosának jelent? Ha a TextKey rendszer a helytelen PIN-kódot kapja a helytelen telefonszámról, akkor nem pusztán elutasítja a hitelesítést. A telefonszámot csalásként is naplózza, így a webhely tulajdonosa megteheti a megfelelő lépéseket.
Kattintson erre a linkre, hogy kipróbálhassa a TextKey-t. Bemutatási célokra megadja a telefonszámát; valós helyzetben a szám a felhasználói profil része lesz. Vegye figyelembe, hogy a csalás figyelmeztetését a saját számától eltérő szám megadásával indíthatja el.
Hogyan kapod meg
Sajnos a TextKey nem olyan, amit fogyasztóként alkalmazhat. Csak akkor használhatja ki, ha a bank vagy más biztonságos webhely végrehajtotta azt. A kisvállalkozások szerződést köthetnek a TextKey hitelesítésre szolgáltatásként szolgáltatásként, havonta 5 dollártól 0, 50 dollárig fizetnek, a felhasználók számától függően. Ez egy rögzített havi díj, tetszőleges számú bejelentkezéshez. A saját TextKey szervereket tároló nagyszabású műveletek fizetnek beállítási és havi díjakat.
Lehet, hogy ez a séma nem teljesen rejthető, de rendkívül szigorúbb, mint a régi iskola SMS-hitelesítése. A két tényezőn túlmutat; A TextPower "Omni-Factor" -nak nevezi. Ismernie kell a jelszót, rendelkeznie kell a telefonkal a helyes UDID-vel, be kell írnia a megjelenített PIN-kódot, opcionálisan hozzá kell adnia a személyes PIN-kódját, el kell küldenie a szöveget a regisztrált telefonszámáról, és rendeltetési helyként kell használni a véletlenszerű rövid kódot. Ezzel szemben az átlagos hacker valószínűleg lecsúszik és ehelyett néhány bank mTAN-t feltör.
