اگرچه ویژگیهای جدید معرفیشده در OS X Yosemite و iOS 8 ویژگیهای مفید زیادی را برای کاربران به ارمغان میآورد که استفاده از چندین دستگاه را سادهتر میکند، اما میتواند تهدیدی امنیتی نیز باشد. به عنوان مثال، ارسال پیام های متنی از iPhone به Mac به راحتی هنگام ورود به سرویس های مختلف، تأیید دو مرحله ای را دور می زند.
مجموعه توابع Continuity که در آن اپل رایانه ها را با دستگاه های تلفن همراه در جدیدترین سیستم عامل ها متصل می کند، بسیار جالب است، به خصوص از نظر شبکه ها و تکنیک هایی که برای اتصال آیفون و آی پد به مک استفاده می کنند. Continuity شامل توانایی برقراری تماس از Mac، ارسال فایل از طریق AirDrop یا ایجاد سریع یک هات اسپات است، اما اکنون ما بر روی ارسال پیامک های معمولی به رایانه تمرکز خواهیم کرد.
این عملکرد نسبتا نامحسوس، اما بسیار مفید، در بدترین حالت، میتواند به یک حفره امنیتی تبدیل شود که به مهاجم اجازه میدهد هنگام ورود به سرویسهای انتخابی، دادههای مرحله تأیید دوم را به دست آورد. ما در اینجا در مورد ورود به اصطلاح دو فاز صحبت می کنیم که علاوه بر بانک ها، در حال حاضر توسط بسیاری از سرویس های اینترنتی معرفی شده است و بسیار امن تر از زمانی است که یک حساب کاربری فقط با یک رمز عبور کلاسیک و تک محافظت شده باشد.
تأیید دو مرحله ای می تواند به روش های مختلفی انجام شود، اما وقتی در مورد بانکداری آنلاین و سایر خدمات اینترنتی صحبت می کنیم، اغلب با ارسال یک کد تأیید به شماره تلفن شما مواجه می شویم که سپس باید آن را در کنار وارد کردن رمز عبور معمولی خود وارد کنید. بنابراین، اگر شخصی رمز عبور شما (یا رایانه شامل رمز یا گواهی) را در دست داشته باشد، معمولاً به تلفن همراه شما نیاز دارد، به عنوان مثال، برای ورود به بانکداری اینترنتی، جایی که یک پیامک با رمز عبور مرحله دوم تأیید می رسد. .
اما در لحظه ای که تمام پیام های متنی خود را از آیفون به مک خود فوروارد کردید و مهاجمی مک شما را تصاحب کرد، دیگر نیازی به آیفون شما نخواهد داشت. برای فوروارد پیامهای SMS کلاسیک، نیازی به اتصال مستقیم بین iPhone و Mac نیست - لازم نیست آنها در یک شبکه Wi-Fi باشند، Wi-Fi حتی لازم نیست مانند بلوتوث روشن باشد. و تنها چیزی که لازم است اتصال هر دو دستگاه به اینترنت است. سرویس SMS Relay که به طور رسمی به آن فوروارد پیام ها گفته می شود، از طریق پروتکل iMessage ارتباط برقرار می کند.
در عمل، روش کار به این صورت است که اگرچه پیام به عنوان یک پیام کوتاه معمولی به شما می رسد، اما اپل آن را به عنوان یک iMessage پردازش می کند و آن را از طریق اینترنت به مک منتقل می کند (این روشی است که قبل از ظهور SMS Relay با iMessage کار می کرد). ، جایی که آن را به صورت پیامک نمایش می دهد که با یک حباب سبز نشان داده می شود. آیفون و مک هر کدام می توانند در شهر متفاوتی باشند، فقط هر دو دستگاه به اتصال اینترنت نیاز دارند.
همچنین می توانید به روش زیر ثابت کنید که SMS Relay از طریق Wi-Fi یا بلوتوث کار نمی کند: حالت هواپیما را در آیفون خود فعال کنید و در مک متصل به اینترنت پیامک بنویسید و ارسال کنید. سپس مک را از اینترنت جدا کنید و برعکس، آیفون را به آن وصل کنید (اینترنت موبایل کافی است). پیامک ارسال می شود حتی اگر دو دستگاه هرگز مستقیماً با یکدیگر ارتباط برقرار نکرده باشند - همه چیز توسط پروتکل iMessage تضمین می شود.
بنابراین، هنگام استفاده از ارسال پیام، باید در نظر داشت که امنیت احراز هویت دو عاملی به خطر افتاده است. در صورت دزدیده شدن رایانه شما، غیرفعال کردن فوری پیامرسانی سریعترین و سادهترین راه برای جلوگیری از هک احتمالی حسابهای شما است.
در صورتی که نیازی به بازنویسی کد تایید از روی صفحه نمایش گوشی نباشید، ورود به بانکداری اینترنتی راحت تر است، بلکه فقط آن را از Messages در مک کپی کنید، اما امنیت در این مورد بسیار مهمتر است که به دلیل ارسال پیامک بسیار کم است. . یک راه حل برای این مشکل می تواند، به عنوان مثال، امکان حذف شماره های خاص از ارسال در مک باشد، زیرا کدهای پیام کوتاه معمولاً از همان شماره ها می آیند.
همانطور که در پاراگراف آخر ذکر شد - امکان کپی کد بسیار راحت تر و بهتر است.
علاوه بر این - اگر کسی مک بوک من را بدزدد، اولین کاری که انجام می دهم این است که آن را مسدود کرده و تمام "Forwarding" و Continuity را در آیفون خاموش می کنم - به همین دلیل است که این گزینه در تنظیمات / پیام ها نیز وجود دارد. :)
و اگر کسی آن را به شما قلاب کند، آیا شما هم آن را متوقف می کنید؟
و چرا باید مجوز دو مرحله ای داشته باشید وقتی می توانید دستگاه دزدیده شده را فورا مسدود کنید، ها؟
تأیید دو مرحله ای یک سرویس شخص ثالث است، بنابراین من به سختی می توانم از آن استفاده نکنم یا آن را نادیده بگیرم، حداقل در مورد بانک ها. و مک خود را از طریق Find my Mac مسدود یا حذف می کنم. اگر شیطان را پشت همه چیز نبینم، فواید ارسال پیامک بیشتر است.
هیچ کس به سرقت اهمیت نمی دهد، رمزگذاری کامل دیسک آن را حل می کند. اما با یک کامپیوتر هک شده چه خواهید کرد؟ احتمالا چیزی نیست، شما در مورد آن نمی دانید.
خوب، البته، مزیت ها غالب است، هیچ کس شیطان را نمی بیند و کاربر همیشه امنیت را با یک خوک رقصنده معامله می کند.
راستی آیا این تصور را دارید که بانک ها فقط برای تفریح شما را مجبور به ارسال اس ام اس می کنند؟
اگر کسی نگران است از آن استفاده نکنید. من فوق العاده ازش راضی هستم
و کسانی که در ترکیب با 2FA نگرانی ندارند، حتی از آن استفاده نمی کنند، زیرا مشخصاً نمی دانند دارند چه می کنند.
و چگونه می توانم یک عدد خاص را در مک بوک حذف کنم و در آیفون بگذارم؟ ممنون بابت پاسخ
بهترین گزینه AFAIK "خاموش کردن ارسال پیام های متنی در زیر پیام ها در تنظیمات (از آیفون شما) است."
اگر اشتباه نکنم نمی توان مواردی را که باید فوروارد شود در لیست سفید قرار داد و مواردی را که نباید در لیست سیاه قرار داد.
خوب، آیا سرقت تلفن همراه آسان تر از مک نیست؟ بله، شما می توانید رمز عبور برای موبایل و همچنین برای MAC داشته باشید. من متخصص نیستم، اما اگر رمز عبور را ندانم، احتمالاً دسترسی به مک آسان نیست (منظورم خواندن داده ها نیست، بلکه ورود به سیستم برای شروع رله پیامک است).
همچنین، فراموش نکنید که ما در مورد امنیت مضاعف صحبت می کنیم، که در آن فاز اول اصلی است - وارد کردن رمز عبور برای افتخار و اگر آن را روی MAC یا در سند متنی داخل آن نوشته نشده است، پس وجود دارد. بدون دسترسی به بانک (و شما از 1111 به عنوان رمز عبور استفاده نمی کنید :-))
بنابراین، سرقت یک مک احتمالاً به دلیل قیمت واقعی مک، بیشترین آسیب را به شما وارد می کند.
2FA سرقت اصلی مک یا IP را حل نمی کند. راه حل این است که مهاجم باید کنترل مک و چیز دیگری را در دست بگیرد. اکنون مک برای او کافی است. Coz تمام مزایای 2FA را نفی می کند.
(توصیه این است که در برابر نوع "مهاجم در مک فقط مرورگر را کنترل می کند" محافظت کنید، که احتمالاً وضعیت کاملاً کنترل شده ای نیست.)
فقط این است که اگر Mac را کاملاً ایمن می دانید (هاها)، پس لازم نیست با 2FA سر و کار داشته باشید. و اگر نه، آنگاه 2FA دیگر امنیت را برای شما به ارمغان نمی آورد، مانند درایو.
و یک بار دیگر، بسیار واضح - به وب سایت "nicnebezpecneho.cz" می روید، که به دلیل مجموعه ای از شرایط ناگوار خطرناک است. این می تواند به راحتی برای شما اتفاق بیفتد - لازم نیست فوراً به سایت های پورن بروید، کافی است کسی وبلاگی را که بازدید می کنید ایمن نکند و اجازه دهد جاوا اسکریپت غیر بهداشتی در نظرات درج شود. یک سوء استفاده از راه دور برای مرورگر شما در آن صفحه وجود دارد (این هنوز هم ممکن است برای شما اتفاق بیفتد، هیچ چیز خیلی غیرعادی نیست). یا درگیر مهندسی اجتماعی شوید...
...بعد از چند ساعت می روید از بانک پول بفرستید ( وارد gmail، github... می شوید). با انجام این کار، داده های ورود به سیستم را در رایانه ای که قبلاً در معرض خطر قرار گرفته است وارد می کنید (یا اگر این رمزهای عبور را ذخیره کرده اید حتی لازم نیست این کار را انجام دهید) و یک بار کد را از پیامک کپی و جایگذاری کنید.
..و در شب، کامپیوتر شما به خودی خود وارد بانک (gmail...) می شود، رمز عبور قبلاً توسط شخصی دارای بدافزار ذخیره شده است. پیامک تاییدی بر روی تلفن همراه خود دریافت نمی کنید، اما... به آن کامپیوتر آسیب دیده
2FA دقیقاً این سناریوها را حل کرد. تا اینکه اپل آن را شکست.
من فکر کردم که 2FA به این معنی است که من باید خودم را با 2 چیز ثابت کنم، به عنوان مثال:
- کلمه عبور
– با تلفنی که پیامک میپذیرد
خوب، ارسال پیامک به مک به آن تلفن، مک (یا مک و آیپد بیشتری را که من جفت کردهام) را نیز به عنوان جایگزین اضافه میکند، اما هنوز 2FA است. یا نه؟
یک بار دیگر - در شرایط عادی، 2FA موقعیت هایی مانند "مک من هک شده است و من در مورد آن اطلاعی ندارم" را حل می کند. زیرا در این صورت می توانید فرض کنید که Mac رمز عبور شما را برای سرویس می داند (که قبلاً آن را ذخیره کرده اید یا دفعه بعد که وارد سرویس می شوید به آن گوش خواهید داد). و اکنون می توانید انتظار داشته باشید که او پیامک را نیز بداند (یا می تواند در هر زمان درخواست کند و آن را دریافت کند).
اکثر سرویس هایی که احراز هویت دو مرحله ای را ارائه می دهند (فیس بوک، دراپ باکس، گوگل، مایکروسافت، ...) اجازه می دهند رمزهای عبور یک بار مصرف با استفاده از یک برنامه تولید شوند (من از Google Authenticator استفاده می کنم). این برنامه به طور مداوم کدهای محدود زمانی را برای خدمات ثبت شده تولید می کند. کد را می توان بلافاصله کپی کرد و برای ورود استفاده کرد. لازم نیست منتظر بمانید تا پیامک ها برسد و در صورت فوروارد شدن آنها به مک، مشکل توضیح داده شده در مقاله را حل کنید.
مک های در معرض خطر هنگام ورود به سیستم پیامک دارند...
با خیال راحت این را بخواهید. اگر تأیید دو مرحله ای را با تولید یک کد یکبار مصرف با استفاده از برنامه روشن کرده باشم، سرویس داده شده هیچ پیامکی ارسال نمی کند.
اگر چیزی تغییر نکرده است، بسیاری از سرویس ها تلفن را می خواستند و SMS را به عنوان گزینه پیش فرض قرار می دادند. بنابراین کامپیوتر هک شده شما بازگشته است.
با تعداد زیاد بانک ها چاره ای نیست فقط یک اس ام اس و بس.
من این را خیلی واضح نمی فهمم. اگر کسی مک من را بدزدد، پیامک را خاموش می کنم، مک را از راه دور پاک می کنم و رمز عبور را در بانک تغییر می دهم. یا چه چیزی گرفتار است؟
آیا قبل از خواندن این مقاله این کار را انجام می دهید؟
کاملاً، کاملاً خودکار.
اما احراز هویت دو فازی در مورد این واقعیت است که مهاجم به دو تأیید نیاز دارد: PASSWORD و SMS. این بدان معنی است که اگر می ترسم کسی مک جفت شده ام را بگیرد، رمز عبور را در آنجا ذخیره نمی کنم و اگر کسی مرورگر من را هک کند، وارد iMessage نمی شود.
از کجا این اطمینان را می گیرید که از مرورگر شما خارج نمی شود؟ با توجه به نتایج فعلی Pwn4Fun و Pwn2Own، به نظر می رسد حداقل دو روز صفر برای Safari وجود دارد:
"در Pwn4Fun، گوگل یک سوء استفاده بسیار چشمگیر علیه Apple Safari ارائه کرد که ماشین حساب را به عنوان ریشه در Mac OS X راه اندازی کرد."
توسط لیانگ چن از تیم مشتاق:
در مقابل Apple Safari، یک سرریز پشته به همراه یک بای پس جعبه شنی، منجر به اجرای کد می شود."
حروف سفید نازک روی زمینه سبز - حتی یک دانش آموز مدرسه خاص هم نمی توانست آن را بهتر پیشنهاد کند ...
یکی از راه های جلوگیری از این امر، جایگزینی تولید کد از طریق دانگل است (به عنوان مثال: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) ایمن است و امنیت بالاتری را فعال می کند، KB نیز باید کاری مشابه انجام دهد - گواهی بارگذاری شده در یک دیسک USB، بدون آن شخص نمی تواند به بانکداری اینترنتی متصل شود، به علاوه گاهی اوقات یک رمز عبور یک بار مصرف به تلفن ارسال می شود و غیره ... امکانات زیادی وجود دارد، اما هر کس امکانات خود را دارد، او باید تصمیم بگیرد که آیا امنیت برای او مهم است (آیا رمز عبور دارد یا نه؟ و غیره)
Unicredit یک چیز عالی دارد. کلید هوشمند هرگز یک پیام کوتاه کلاسیک نیست، اما من یک رمز عبور یک بار مصرف را در برنامه تلفن همراه ایجاد می کنم.
من به راهنمایی نیاز دارم که چرا به طور ناگهانی نمی توانم یک فیلم کوتاه میلی متری ارسال کنم، که تا به حال امکان پذیر بود؟ هیچ گزینه ای برای درج یک ویدیو وجود ندارد، پاسخ نمی دهد، آن را در پیام درج نمی کند
Děkuji