Dviejų veiksnių autentifikavimas: ekrano kopijos kaip saugumo spraga
Specialios dviejų veiksnių autentifikavimo programos turėtų suteikti daugiau saugumo. Tačiau kai tam tikrai funkcijai neužkertamas kelias, gali kilti pavojus.
Tiesą sakant, „Google“, „Microsoft“ ir kitų teikėjų autentifikavimo priemonės, kad galėtumėte saugiau naudotis daugybe paslaugų. Naudodami šiuos įrankius vartotojai į jūsų išmanųjį telefoną gaus visus reikalingus patvirtinimo kodus, kad galėtų prisijungti prie paskyros, kurioje įjungtas dviejų veiksnių autentifikavimas.
Svarbiausia sistemos saugumo sąlyga yra ta, kad vienkartiniai slaptažodžiai (TOTP kodai) būtų perkeliami tik teisėtam vartotojui.
EkranasKodai tai gali būti kenkėjiška programa, tačiau ypatinga išmaniojo telefono operacinės sistemos savybė, naudojanti galimybę sukurti paveikslėlius ekrane:.
Ir būtent tai yra esmė: tiek „Google Authenticator“, tiek „Microsoft Authenticator“, kad būtų galima daryti ekrano kopijas. Kitų autentifikavimo programų atveju tai atrodo ne geriau. Saugumo ekspertai prieš keletą metų atkreipė dėmesį į tai.
Kaip pranešė ZDNet, ši problema vis dar ir aš taip pat išnaudosiu bent vieną Trojos arklį. Bent jau „Android“ atveju buvo galima lengvai išjungti ekrano kopijos funkciją naudojant paprastą komandą programos kode.
Todėl kyla klausimas, kodėl nei „Microsoft“, nei „Google“ nenaudoja šios parinkties.
