Kodėl „iOS 12“ saugos kodo automatinis pildymas yra rizikingas + kaip apsisaugoti

„I Phone“Dec 19, 2021
click fraud protection

Vienas iš mažesnių būsimojo „iOS 12“ naujinimo „Apple“ papildymų yra protinga smulkmena, vadinama saugos kodo automatiniu užpildymu.

Iš esmės tai yra sistema, kuri labai palengvina dviejų veiksnių autentifikavimo kodų įvedimą prisijungiant.

Tačiau vienas saugumo tyrinėtojas saugos kodo automatinį užpildymą laiko galimu pažeidžiamumu, kuriuo gali pasinaudoti piktybiniai užpuolikai.

Štai kodėl jums reikia žinoti.

Turinys

  • Saugos kodo automatinis pildymas iOS 12
  • Kas yra rizika
    • Kas yra TAN?
    • Rizika naudojant automatinį saugos kodą
    • Ar „Apple“ gali ką nors padaryti?
  • Kaip apsisaugoti
    • Susiję įrašai:

Saugos kodo automatinis pildymas iOS 12

Apsaugos kodo automatinis pildymas

Prisijungimas prie paskyros naudojant dviejų veiksnių autentifikavimą paprastai apima du atskirus veiksmus – taigi ir pavadinimas.

Įvesite savo vartotojo vardą ir slaptažodį, tada gausite SMS žinutę su vienkartiniu kodu. Įvedę šį kodą galite laisvai prisijungti.

Tačiau „iOS 12“ tai tvarko šiek tiek kitaip. Jis gali automatiškai aptikti, kai gaunate dviejų veiksnių autentifikavimo kodą (taip pat žinomą kaip vienkartinis prieigos kodas arba OTP).

SUSIJĘS:

  • iOS 12 saugos funkcijos
  • Kas yra stiprus slaptažodis? Kodėl „iPhone“ renkasi slaptažodžius už mane?
  • 25 populiariausios „iOS 12“ funkcijos, kurios vertos jūsų laiko

Tada sistema užregistruos šį pavadinimą ir suteiks galimybę jį įvesti vienu spustelėjimu. „IOS 12“ ji bus rodoma kaip parinktis virš klaviatūros su užrašu, kad tai „Iš pranešimų“.

Žinoma, tai gali sutaupyti nemažai laiko, nes jums nereikės šokinėti tarp programų arba akimirksniu įsiminti OTP.

Tačiau dėl naudojimo paprastumo tam tikromis aplinkybėmis tai gali kelti pavojų saugumui.

Kas yra rizika

Apsaugos kodo automatinis pildymas

Visų pirma, rizika tenka finansinėms institucijoms. Nors tikriausiai yra ir kitų atvejų, kai saugos kodo automatinis pildymas gali būti rizikingas, tai yra labiausiai nerimą keliantis scenarijus.

Andreasas Gutmannas, „OneSpan“ Kembridžo inovacijų centro saugumo tyrinėtojas, sako, kad tai opiausia problema sutelkia dėmesį į tai, kas vadinama transakcijų autentifikavimo numeriu (TAN).

Kas yra TAN?

Kaip ir dviejų veiksnių autentifikavimas, TAN yra vienkartinis kodas, siunčiamas į jūsų telefoną. Tačiau TAN nėra skirtas prisijungimui – tai būdas finansinėms operacijoms pridėti 2FA apsaugą.

Iš esmės, kai pervedate pinigus arba atliekate mokėjimą, bankas išsiųs TAN į jūsų telefoną kaip papildomą patikrinimo veiksmą, kad užtikrintų, jog nevyksta kvailystė.

Įvedate šį TAN į atitinkamą lauką ir jūsų pusėje sandoris patvirtinamas. Jei gaunate TAN, bet pastaruoju metu neatlikote jokių operacijų, turėtumėte nedelsdami susisiekti su savo banku.

Nors dar nėra plačiai paplitę JAV, TAN apsaugoti sandoriai yra gana paplitę visoje Europoje ir kituose regionuose.

Rizika naudojant automatinį saugos kodą

Kadangi saugos kodo automatinis pildymas automatiškai ištraukia vienkartinį kodą iš pranešimų, jis nepalieka viso atitinkamo konteksto.

Bankininkystėje šis kontekstas, pvz., finansinė suma ar mokėjimo paskirtis, yra labai svarbus norint žinoti, ar operacija yra teisėta.

„Faktas, kad vartotojas patikrina šią svarbią informaciją, yra būtent tai, kas suteikia saugumo naudos“, – dienoraščio įraše rašė Gutmannas. „Pašalinus tai iš proceso, jis tampa neveiksmingas.

Kitaip tariant, nauja Apple laiką taupanti funkcija gali padaryti vartotojus labiau pažeidžiamus dėl finansinio sukčiavimo ar tarpininkų atakų.

Teoriškai vartotojas galėtų automatiškai įvesti OTP, kad patvirtintų nesąžiningą finansinę operaciją. Užpuolikas gali suklastoti saugos kodo automatinį užpildymą naudodamas kenkėjišką svetainę ar programą.

Ar „Apple“ gali ką nors padaryti?

Pagrindinis dalykas, kurį „Apple“ galėtų padaryti, yra įdiegti tam tikros rūšies priemonę į saugos kodo automatinį užpildymą, kuri gali pasakyti skirtumą tarp 2FA užklausos ir TAN.

Šiuo metu neaišku, ar saugos kodo automatinis užpildymas gali atskirti 2FA ir TAN. Jei įmanoma, ši problema taps daug mažesnė.

Žinoma, jei pakankamai žmonių išreiškia susirūpinimą, kad saugos kodo automatinis užpildymas yra pažeidžiamumas, „Apple“ galėtų jį atnaujinti, kad sumažintų problemą.

Kaip apsisaugoti

Apsaugos kodo automatinis pildymas

Visų pirma, turėtumėte ne išjunkite dviejų veiksnių autentifikavimą bet kurioje savo paskyroje.

Nors SMS pagrįstas dviejų veiksnių autentifikavimas yra gana ydinga sistema, kuri yra linkusi perimti ar užpulti, tai daug geriau nei tik pasikliauti slaptažodžiu.

Jei esate Europoje, geriausia, ką galite padaryti, tai dar kartą patikrinti kiekvieną gautą OTP arba 2FA. Užtenka vos kelių sekundžių, kad pereitumėte į „Messages“ ir patikrintumėte kontekstinę informaciją.

Tai ypač aktualu, jei negalite lengvai atskirti TAN ir 2FA slaptažodžio nepatikrinę originalaus SMS žinutės.

Jei nesate šalyje, kurioje naudojamas TAN, tikriausiai vis tiek protinga patikrinti įtartinus OTP, kurie siunčiami į jūsų įrenginį. Jei aktyviai neprisijungiate ir gaunate OTP tekstinį pranešimą, tikriausiai kažkas negerai.

Be to, stenkitės, kad TAN sistemos būtų plačiau įdiegtos JAV bankuose. Europa pastaruoju metu pirmauja, kai kalbama apie privatumo ir saugumo standartus. Tikėtina, kad TAN artimiausiu metu gali priimti JAV bankai ir finansų institucijos.

Tvarkydami finansinius duomenis arba prisijungimo informaciją, taip pat turėtumėte vadovautis geriausia saugumo praktika. Net geriausias slaptažodis ir 2FA sauga neapsaugos nuo socialinės inžinerijos.

mike - obuolys
Mike'as Petersonas(vyresnysis rašytojas)

Mike'as yra laisvai samdomas žurnalistas iš San Diego, Kalifornijos.

Nors jis daugiausia apima Apple ir vartotojų technologijas, jis turi patirties rašydamas apie visuomenės saugumą, vietos valdžią ir švietimą įvairiems leidiniams.

Žurnalistikos srityje jis dėvėjo nemažai kepurių, įskaitant rašytoją, redaktorių ir naujienų dizainerį.