ონდრეი ჰოლცმანი მიუხედავად იმისა, რომ OS X Yosemite-სა და iOS 8-ში დანერგილი ახალი ფუნქციები მომხმარებლებს უამრავ სასარგებლო ფუნქციას მოუტანს, რაც ამარტივებს მრავალი მოწყობილობის გამოყენებას, მათ ასევე შეუძლიათ უსაფრთხოების საფრთხე შეუქმნან. მაგალითად, ტექსტური შეტყობინებების გადაგზავნა iPhone-დან Mac-ზე ძალიან მარტივად გვერდს უვლის ორეტაპიან გადამოწმებას სხვადასხვა სერვისში შესვლისას.
Continuity ფუნქციების ნაკრები, რომლის ფარგლებშიც Apple აკავშირებს კომპიუტერებს მობილურ მოწყობილობებთან უახლესი ოპერაციული სისტემებით, ძალიან საინტერესოა, განსაკუთრებით ქსელებისა და ტექნიკის თვალსაზრისით, რომლებსაც ისინი იყენებენ iPhone-ების და iPad-ების Mac-ებთან დასაკავშირებლად. Continuity მოიცავს Mac-დან ზარების განხორციელების, ფაილების AirDrop-ის საშუალებით გაგზავნის ან Hotspot-ის სწრაფად შექმნის შესაძლებლობას, მაგრამ ახლა ჩვენ ყურადღებას გავამახვილებთ კომპიუტერებზე რეგულარული SMS-ის გადაგზავნაზე.
ეს შედარებით შეუმჩნეველი, მაგრამ ძალიან სასარგებლო ფუნქცია შეიძლება, უარეს შემთხვევაში, გადაიზარდოს უსაფრთხოების ხვრელად, რომელიც საშუალებას აძლევს თავდამსხმელს, შერჩეულ სერვისებში შესვლისას, მოიპოვოს მონაცემები მეორე გადამოწმების ეტაპისთვის. აქ საუბარია ეგრეთ წოდებულ ორფაზიან ლოგინზე, რომელსაც ბანკების გარდა უკვე მრავალი ინტერნეტ სერვისი ნერგავს და ბევრად უფრო უსაფრთხოა, ვიდრე თუ გაქვთ მხოლოდ კლასიკური და ერთი პაროლით დაცული ანგარიში.
ორფაზიანი დადასტურება შეიძლება განხორციელდეს სხვადასხვა გზით, მაგრამ როდესაც ვსაუბრობთ ონლაინ ბანკინგისა და სხვა ინტერნეტ სერვისების შესახებ, ყველაზე ხშირად ვაწყდებით თქვენი ტელეფონის ნომერზე დამადასტურებელი კოდის გაგზავნას, რომელიც შემდეგ უნდა შეიყვანოთ თქვენი ჩვეულებრივი პაროლის შეყვანის გვერდით. ამიტომ, თუ ვინმეს ხელში მოხვდება თქვენი პაროლი (ან კომპიუტერი, პაროლის ან სერთიფიკატის ჩათვლით), მას ჩვეულებრივ დასჭირდება თქვენი მობილური ტელეფონი, მაგალითად, ინტერნეტ ბანკში შესასვლელად, სადაც მოვა შემოწმების მეორე ეტაპის პაროლით SMS. .
მაგრამ იმ მომენტში, როცა ყველა თქვენი ტექსტური შეტყობინება თქვენი iPhone-დან თქვენს Mac-ზე გადაიგზავნება და თავდამსხმელი აიღებს თქვენს Mac-ს, მათ აღარ სჭირდებათ თქვენი iPhone. კლასიკური SMS შეტყობინებების გადასატანად არ არის საჭირო პირდაპირი კავშირი iPhone-სა და Mac-ს შორის - ისინი არ უნდა იყვნენ ერთსა და იმავე Wi-Fi ქსელში, Wi-Fi არც კი უნდა იყოს ჩართული, ისევე როგორც Bluetooth. და ყველაფერი რაც საჭიროა არის ორივე მოწყობილობის ინტერნეტთან დაკავშირება. SMS Relay სერვისი, როგორც ოფიციალურად უწოდებენ შეტყობინებების გადამისამართებას, კომუნიკაციას ახდენს iMessage პროტოკოლით.
პრაქტიკაში, მუშაობს ის, რომ მიუხედავად იმისა, რომ შეტყობინება მოდის თქვენთან, როგორც ჩვეულებრივი SMS, Apple ამუშავებს მას, როგორც iMessage და გადასცემს მას ინტერნეტით Mac-ზე (ასე მუშაობდა iMessage-თან SMS Relay-ის მოსვლამდე). , სადაც ის აჩვენებს მას SMS-ის სახით, რომელიც მითითებულია მწვანე ბუშტით. iPhone და Mac შეიძლება იყოს სხვადასხვა ქალაქში, მხოლოდ ორივე მოწყობილობას სჭირდება ინტერნეტი.
თქვენ ასევე შეგიძლიათ მიიღოთ მტკიცებულება, რომ SMS Relay არ მუშაობს Wi-Fi-ზე ან Bluetooth-ზე შემდეგი გზით: გაააქტიურეთ თვითმფრინავის რეჟიმი თქვენს iPhone-ზე და დაწერეთ და გაგზავნეთ SMS ინტერნეტთან დაკავშირებულ Mac-ზე. შემდეგ გათიშეთ Mac-ი ინტერნეტიდან და, პირიქით, დაუკავშირეთ მას iPhone (საკმარისია მობილური ინტერნეტი). SMS იგზავნება, მიუხედავად იმისა, რომ ორ მოწყობილობას არასოდეს უკავშირდებოდა ერთმანეთთან - ყველაფერი უზრუნველყოფილია iMessage პროტოკოლით.
ამრიგად, შეტყობინების გადამისამართების გამოყენებისას აუცილებელია გავითვალისწინოთ, რომ ორფაქტორიანი ავთენტიფიკაციის უსაფრთხოება კომპრომეტირებულია. იმ შემთხვევაში, თუ თქვენი კომპიუტერი მოიპარეს, შეტყობინებების დაუყოვნებლივ გამორთვა არის ყველაზე სწრაფი და მარტივი გზა თქვენი ანგარიშების პოტენციური გატეხვის თავიდან ასაცილებლად.
ინტერნეტ ბანკში შესვლა უფრო მოსახერხებელია, თუ არ გჭირდებათ გადამოწმების კოდის გადაწერა ტელეფონის ეკრანიდან, არამედ დააკოპირეთ ის Messages-დან Mac-ზე, მაგრამ უსაფრთხოება ამ შემთხვევაში ბევრად უფრო მნიშვნელოვანია, რაც ძალიან აკლია SMS რელეს გამო. . ამ პრობლემის გადაწყვეტა შეიძლება იყოს, მაგალითად, Mac-ზე გადამისამართებიდან კონკრეტული ნომრების გამორიცხვის შესაძლებლობა, რადგან SMS კოდები ჩვეულებრივ ერთი და იგივე ნომრებიდან მოდის.
როგორც ბოლო აბზაცში აღინიშნა – კოდის კოპირების შესაძლებლობა გაცილებით მოსახერხებელი და უკეთესია.
გარდა ამისა - თუ ვინმე მომპარავს ჩემს MacBook-ს, პირველი, რასაც ვაკეთებ არის მისი დაბლოკვა და iPhone-ზე ყველა "გადამისამართების" და Continuity-ის გამორთვა - ამიტომაც არის ეს პარამეტრი Settings/Messages-ში. :)
და თუ ვინმე დაგიმაგრებს, შენც აჩერებ მას?
და რატომ გაქვთ ორეტაპიანი ავტორიზაცია, როდესაც შეგიძლიათ მოპარული მოწყობილობის დაბლოკვა დაუყოვნებლივ, ჰა?
ორეტაპიანი გადამოწმება არის მესამე მხარის სერვისი, ამიტომ ძლივს არ გამოვიყენო ან უგულებელვყო, ყოველ შემთხვევაში ბანკების შემთხვევაში. და მე ვბლოკავ ან წავშლი ჩემს Mac-ს Find my Mac-ის საშუალებით. SMS გადამისამართების სარგებელი აღემატება, თუ ყველაფრის უკან ეშმაკს ვერ ვხედავ.
არავის აინტერესებს ქურდობა, დისკის სრული დაშიფვრა წყვეტს ამას. მაგრამ რას აპირებთ გატეხილი კომპიუტერით? ალბათ არაფერი, თქვენ არ იცით ამის შესახებ.
რა თქმა უნდა, უპირატესობა ჭარბობს, არავინ ხედავს ეშმაკს და მომხმარებელი ყოველთვის ყიდულობს უსაფრთხოებას მოცეკვავე ღორზე.
სხვათა შორის, გრჩება შთაბეჭდილება, რომ ბანკები მხოლოდ გასართობად გაიძულებენ SMS-ის გაგზავნას?
თუ ვინმეს აწუხებს, არ გამოიყენოთ იგი. უზომოდ კმაყოფილი ვარ ამით
და ვისაც არ აქვს შეშფოთება 2FA-სთან ერთად, არც კი იყენებს მას, რადგან აშკარად არ იციან რას აკეთებენ.
და როგორ გამოვრიცხო Macbook-ზე კონკრეტული ნომერი და დავტოვო აიფონზე? Გმადლობთ გამოხმაურებისთვის
AFAIK-ის საუკეთესო ვარიანტია "გამორთეთ ტექსტური შეტყობინებების გადამისამართება შეტყობინებების ქვეშ, პარამეტრებში (თქვენი iPhone-დან)."
თუ არ ვცდები, არ შეიძლება შევიტანოთ ის, რაც უნდა გადააგზავნოთ და არც შავ სიაში, რაც არა.
ისე, უფრო ადვილი არ არის მობილურის მოპარვა, ვიდრე მაკის? დიახ, შეგიძლიათ გქონდეთ პაროლი მობილურისთვის, მაგრამ ასევე MAC-ისთვის. მე არ ვარ ექსპერტი, მაგრამ Mac-ში მოხვედრა ალბათ არც ისე ადვილია, თუ პაროლი არ ვიცი (მონაცემების წაკითხვას არ ვგულისხმობ, არამედ შესვლას, რომ SMS რელე დაიწყოს).
ასევე, არ დაგავიწყდეთ, რომ საუბარია ორმაგ უსაფრთხოებაზე, სადაც პირველი ეტაპია მთავარი - პაროლის შეყვანა პატივისცემით და თუ ის არ გაქვთ ჩაწერილი MAC-ზე ან რაიმე ტექსტურ დოკუმენტში შიგნით, მაშინ არის ბანკში წვდომა არ არის (და თქვენ არ იყენებთ 1111 პაროლს :-))
ასე რომ, Mac-ის მოპარვა ალბათ ყველაზე დიდ ზიანს მოგაყენებთ Mac-ის ნამდვილი ფასის გამო.
2FA არ წყვეტს პირველადი Mac ან IP ქურდობას. გამოსავალი იმაში მდგომარეობს, რომ თავდამსხმელმა უნდა გააკონტროლოს Mac და სხვა რამ. ახლა მისთვის Mac საკმარისია. Coz უარყოფს 2FA-ს ყველა სარგებელს.
(რჩევაა, დაიცვათ "თავდამსხმელი Mac-ზე მხოლოდ ბრაუზერს აკონტროლებს" ვარიანტისგან, რაც, ალბათ, არ არის სრულიად კონტროლირებადი სიტუაცია.)
უბრალოდ, თუ Mac-ს თვლით სრულიად უსაფრთხოდ (ჰაჰა), მაშინ 2FA-სთან საქმე არ გაქვთ. თუ არა, მაშინ 2FA-მ შეწყვიტა თქვენთვის გაზრდილი უსაფრთხოების მოტანა, როგორიცაა დრაივერი.
და კიდევ ერთხელ, ძალიან ნათლად - გადადიხარ ვებსაიტზე "nicnebezpecneho.cz", რომელიც საშიშია უბედური გარემოებების გამო. ეს შეიძლება დაგემართოს საკმაოდ მარტივად - თქვენ არ გჭირდებათ დაუყოვნებლივ შეხვიდეთ პორნო საიტებზე, საკმარისია ვინმემ არ უზრუნველყოს ბლოგი, რომელსაც თქვენ სტუმრობთ და დაუშვას არასანიტარიული ჯავასკრიპტის ჩასმა კომენტარებში. ამ გვერდზე არის თქვენი ბრაუზერის დისტანციური ექსპლოიტი (ეს მაინც შეიძლება დაგემართოს, არაფერი უჩვეულო). ან ჩაერთეთ სოციალურ ინჟინერიაში...
...რამდენიმე საათის შემდეგ მიდიხართ ბანკიდან ფულის გასაგზავნად (შეხვალთ gmail-ში, github...). ამით, თქვენ შეიყვანთ შესვლის მონაცემებს უკვე გაფუჭებულ კომპიუტერში (ან არც კი გჭირდებათ ამის გაკეთება, თუ ეს პაროლები შენახული გაქვთ) და ერთხელ დააკოპირეთ და ჩასვით კოდი SMS-დან.
..და ღამით თქვენი კომპიუტერი თავისთავად შედის ბანკში (gmail...), პაროლი უკვე შენახული აქვს ვინმეს მავნე პროგრამას. თქვენ არ მიიღებთ დამადასტურებელ SMS-ს თქვენს მობილურ ტელეფონზე, მაგრამ... იმ კომპრომეტირებულ კომპიუტერში.
2FA-მ გადაჭრა ზუსტად ეს სცენარები. სანამ Apple არ დაარღვია.
მე ვფიქრობდი, რომ 2FA ნიშნავს, რომ მე უნდა დავამტკიცო ჩემი თავი 2 რამით, მაგალითად:
- პაროლი
- ტელეფონით, რომელიც იღებს SMS-ს
ისე, ტელეფონზე Mac-ზე SMS-ის გადაგზავნა ასევე ალტერნატივად ამატებს Mac-ს (ან უფრო მეტ Mac-ს და iPad-ს, რომელიც მე დავაწყვიტე), მაგრამ ის მაინც 2FA-ია. Თუ არა?
კიდევ ერთხელ - ნორმალურ პირობებში, 2FA წყვეტს სიტუაციებს, როგორიცაა "ჩემი Mac გატეხილია და მე არ ვიცი ამის შესახებ". იმის გამო, რომ მაშინ შეიძლება ვივარაუდოთ, რომ Mac-მა იცის თქვენი სერვისის პაროლი (რომ ის უკვე გაქვთ შენახული ან მოუსმენთ მას შემდეგ ჯერზე, როცა შეხვალთ სერვისში). ახლა კი შეიძლება ველოდოთ, რომ SMS-იც იცის (ან ნებისმიერ დროს შეუძლია მოითხოვოს და მიიღებს).
სერვისების უმეტესობა, რომლებიც გვთავაზობენ ორფაქტორიან ავთენტიფიკაციას (Facebook, Dropbox, Google, Microsoft,…) საშუალებას აძლევს ერთჯერადი პაროლების გენერირებას აპლიკაციის გამოყენებით (მე ვიყენებ Google Authenticator-ს). აპლიკაცია მუდმივად აწარმოებს დროში შეზღუდულ კოდებს რეგისტრირებული სერვისებისთვის. კოდი შეიძლება დაკოპირდეს დაუყოვნებლივ და გამოიყენოთ სისტემაში შესასვლელად. თქვენ არ უნდა დაელოდოთ SMS-ის მოსვლას და თუ ისინი გადაგზავნილია Mac-ზე, მოაგვარეთ სტატიაში აღწერილი პრობლემა.
კომპრომეტირებული Mac-ებს აქვთ SMS შეტყობინებები სისტემაში შესვლისას...
თავისუფლად მოითხოვეთ ეს. თუ ჩართული მაქვს ორფაზიანი ვერიფიკაცია აპლიკაციის გამოყენებით ერთჯერადი კოდის გენერირებით, მაშინ მოცემული სერვისი არ აგზავნის SMS-ს.
თუ რამე არ შეცვლილა, ბევრ სერვისს სურდა ტელეფონი და დატოვა SMS ნაგულისხმევ ვარიანტად. ასე რომ, თქვენი გატეხილი კომპიუტერი დაბრუნდა.
ბანკების დიდი რაოდენობით, არჩევანი არ არის, მხოლოდ SMS და ეს არის.
მე არ მესმის ეს ძალიან ნათლად. თუ ვინმე მომპარავს ჩემს Mac-ს, ვთიშავ SMS-ს, დისტანციურად ვასუფთავებ მაკს და ვცვლი პაროლს ბანკში. ან რა არის დაჭერა?
გააკეთებდი ამას ამ სტატიის წაკითხვამდე?
აბსოლუტურად, აბსოლუტურად ავტომატურად.
მაგრამ ორფაზიანი ავთენტიფიკაცია ეხება იმ ფაქტს, რომ თავდამსხმელს სჭირდება ორი დადასტურება: PASSWORD და SMS. ეს ნიშნავს, რომ თუ მეშინია, რომ ვინმე მიიღებს ჩემს დაწყვილებულ Mac-ს, მე არ ვინახავ პაროლს იქ და თუ ვინმე გატეხავს ჩემს ბრაუზერს, ის არ მოხვდება iMessage-ში.
საიდან იღებთ გარანტიას, რომ ის არ გატყდება თქვენი ბრაუზერიდან? Pwn4Fun-ისა და Pwn2Own-ის ამჟამინდელი შედეგების მიხედვით, როგორც ჩანს, მინიმუმ ორი ნულოვანი დღეა Safari-სთვის:
"Pwn4Fun-ზე გუგლმა ძალიან შთამბეჭდავი ექსპლოიტი მოახდინა Apple Safari-ის წინააღმდეგ, რომელიც გამოუშვა კალკულატორი, როგორც root Mac OS X-ზე."
"Keen Team-ის ლიანგ ჩენის მიერ:
Apple Safari-ის საწინააღმდეგოდ, გროვის გადინება ქვიშის ყუთთან ერთად, რაც იწვევს კოდის შესრულებას."
წვრილი თეთრი წარწერა მწვანე ფონზე - ამას უკეთესად ვერც სპეციალური სკოლის მოსწავლე შემოგვთავაზებდა...
ამის შეჩერების ერთ-ერთი გზაა კოდის გენერირების შეცვლა dongle-ის საშუალებით (მაგალითად, ეს: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) უსაფრთხოა და უზრუნველყოფს უფრო მაღალ უსაფრთხოებას, KB-საც სჭირდება მსგავსი რამ - USB დისკზე ატვირთული სერთიფიკატი, რომლის გარეშეც ადამიანი ვერ დაუკავშირდება ინტერნეტ ბანკს, პლიუს ხანდახან ტელეფონზე იგზავნება ერთჯერადი პაროლი და ა.შ. ... ბევრი შესაძლებლობაა, მაგრამ ყველას აქვს თავისი, მან უნდა გადაწყვიტოს, მნიშვნელოვანია თუ არა მისთვის უსაფრთხოება (პაროლი აქვს თუ არა? და ა.შ.)
Unicredit-ს დიდი რამ აქვს. ჭკვიანი გასაღები არასოდეს არის კლასიკური SMS, მაგრამ მე ვაგენერირებ ერთჯერად პაროლს მობილური აპლიკაციაში.
რჩევა მჭირდება, რატომ არ შემიძლია მოულოდნელად მმ მოკლე ვიდეოს გაგზავნა, რაც აქამდე იყო შესაძლებელი? არ არსებობს ვიდეოს უბრალოდ ჩასმის საშუალება, ის არ პასუხობს, არ ჩასვამს მას შეტყობინებაში
დიდი მადლობა