En af de mindre tilføjelser i Apples kommende iOS 12-opdatering er en smart lille, der kalder Sikkerhedskode AutoFyld.
Grundlæggende er det et system, der gør det meget nemmere at indtaste to-faktor-godkendelseskoder, når du logger ind.
Men for så meget godt som det gør, ser en sikkerhedsforsker AutoFyld i sikkerhedskode som en potentiel sårbarhed, der kunne udnyttes af ondsindede angribere.
Her er hvorfor du skal vide det.
Indhold
- Sikkerhedskode AutoFyld iOS 12
-
Hvad er risikoen
- Hvad er en TAN?
- Risikoen med Sikkerhedskode AutoFyld
- Kan Apple gøre noget ved det?
-
Sådan beskytter du dig selv
- Relaterede indlæg:
Sikkerhedskode AutoFyld iOS 12
At logge ind på en konto med to-faktor-godkendelse involverer typisk to separate trin - deraf navnet.
Du indtaster dit brugernavn og din adgangskode og modtager derefter en SMS-besked med en engangskode. Når du har indtastet koden, er du fri til at logge ind.
Men iOS 12 håndterer dette lidt anderledes. Den kan automatisk registrere, når du modtager en to-faktor-godkendelseskode (også kendt som en engangsadgangskode eller OTP).
RELATEREDE:
- iOS 12 sikkerhedsfunktioner
- Hvad er stærk adgangskode? Hvorfor vælger min iPhone adgangskoder til mig?
- Top 25 iOS 12-funktioner, der er din tid værd
Systemet vil derefter logge dette navn og give dig mulighed for at indtaste det med et enkelt klik. I iOS 12 vises det som en mulighed over tastaturet med en note om, at det er "Fra meddelelser".
Dette kan selvfølgelig spare en del tid, da det forhindrer dig i at skulle hoppe mellem apps eller huske OTP'en på et øjeblik.
Men brugervenligheden er også grunden til, at det under visse omstændigheder kan være en sikkerhedsrisiko.
Hvad er risikoen
Primært ligger risikoen hos finansielle institutioner. Selvom der sandsynligvis er andre tilfælde, hvor Sikkerhedskode AutoFyld kan være risikabelt, er dette det mest bekymrende scenarie.
Andreas Gutmann, sikkerhedsforsker ved OneSpans Cambridge Innovation Center, siger, at det mest presserende problem centrerer sig om noget, der kaldes et transaktionsgodkendelsesnummer (TAN).
Hvad er en TAN?
Ligesom tofaktorautentificering er en TAN en engangskode, der sendes til din telefon. Men en TAN er ikke til at logge ind - i stedet er det en måde at tilføje 2FA-beskyttelse til finansielle transaktioner.
Dybest set, når du overfører penge eller foretager en betaling, vil en bank sende en TAN til din telefon som et ekstra verifikationstrin for at sikre, at der ikke foregår tomfoolery.
Du indtaster denne TAN i et passende felt, og transaktionen er godkendt fra din side. Hvis du modtager et TAN, men du ikke har foretaget nogen nylige transaktioner, skal du kontakte din bank med det samme.
Selvom det ikke er udbredt i USA endnu, er TAN-beskyttede transaktioner ret almindelige i hele Europa og andre regioner.
Risikoen med Sikkerhedskode AutoFyld
Da Sikkerhedskode AutoFyld automatisk trækker en engangsadgangskode fra meddelelser, udelader den al den relevante kontekst.
For bankvirksomhed er denne kontekst - som økonomisk beløb eller betalingsdestination - afgørende for at vide, om en transaktion er legitim.
"Det faktum, at en bruger verificerer denne fremtrædende information, er netop det, der giver sikkerhedsfordelen," skrev Gutmann i et blogindlæg. "Hvis du fjerner det fra processen, bliver det ineffektivt."
Med andre ord kan Apples tidsbesparende nye funktion potentielt gøre brugerne mere sårbare over for økonomisk svindel eller man-in-the-middle-angreb.
En bruger kunne teoretisk set automatisk indtaste en OTP for at godkende en svigagtig finansiel transaktion. En angriber kan potentielt forfalske et AutoFyld med en sikkerhedskode ved hjælp af et ondsindet websted eller en ondsindet app.
Kan Apple gøre noget ved det?
Det vigtigste, Apple kunne gøre, er at implementere en eller anden form for foranstaltning i AutoFyld med sikkerhedskode, der kan kende forskel på en 2FA-anmodning og en TAN.
Det er i øjeblikket ikke klart, om sikkerhedskode AutoFyld kan skelne mellem 2FA og TAN. Hvis det kan, bliver dette problem meget mindre af et problem.
Selvfølgelig, hvis nok mennesker udtrykker bekymring over, at AutoFyld med sikkerhedskode er en sårbarhed, kan Apple selvfølgelig opdatere det for at afhjælpe problemet.
Sådan beskytter du dig selv
Først og fremmest bør du ikke deaktiver to-faktor-godkendelse på enhver af dine konti.
Mens SMS-baseret to-faktor-godkendelse er et relativt mangelfuldt system, der er tilbøjeligt til aflytning eller angreb, er det meget bedre end blot at stole på en adgangskode.
Hvis du er i Europa, er det bedste, du kan gøre, at dobbelttjekke hver enkelt OTP eller 2FA, du modtager. Det tager kun et par sekunder at vende over til Beskeder og bekræfte de kontekstuelle oplysninger.
Det gælder især, hvis du ikke let kan skelne mellem en TAN og en 2FA adgangskode uden at tjekke den originale SMS-besked.
Hvis du ikke er i et land, der bruger TAN, er det sandsynligvis stadig smart at verificere mistænkelige OTP'er, der sendes til din enhed. Hvis du ikke aktivt logger ind, og du modtager en OTP-sms, er der sandsynligvis noget galt.
Vær desuden på udkig efter TAN-systemer, der skal implementeres mere bredt i amerikanske banker. Europa har i nyere tid været førende, når det kommer til privatlivs- og sikkerhedsstandarder. Det er sandsynligt, at TAN kan blive vedtaget af amerikanske banker og finansielle institutioner i den nærmeste fremtid.
Du bør også bruge bedste praksis for sikkerhed generelt, når du håndterer økonomiske data eller loginoplysninger. Selv den bedste adgangskode og 2FA-sikkerhed kan ikke beskytte dig mod social engineering.
Mike er freelancejournalist fra San Diego, Californien.
Mens han primært dækker Apple og forbrugerteknologi, har han tidligere erfaring med at skrive om offentlig sikkerhed, lokale myndigheder og uddannelse til en række publikationer.
Han har båret en del hatte inden for journalistik, herunder forfatter, redaktør og nyhedsdesigner.