Uwierzytelnianie dwuskładnikowe: zrzuty ekranu jako luka w zabezpieczeniach
Specjalne aplikacje do uwierzytelniania dwuskładnikowego mają zapewnić większe bezpieczeństwo. Jeśli jednak nie zablokujesz określonej funkcji, możesz być narażony na ryzyko.
Właściwie aplikacje Authenticator od Google, Microsoft i innych dostawców sprawiają, że korzystanie z wielu usług jest bezpieczniejsze. Korzystając z tych Narzędzi, użytkownicy otrzymają na Twoim Smartfonie wszystkie niezbędne kody weryfikacyjne, aby zalogować się na konto, na którym masz włączone uwierzytelnianie dwuskładnikowe.
Najważniejszym warunkiem bezpieczeństwa systemu jest to, że hasła jednorazowe (kody TOTP) są przekazywane wyłącznie uprawnionemu użytkownikowi.
WyświetlaczKody może to być złośliwe oprogramowanie, ale specjalna funkcja systemu operacyjnego smartfona, wykorzystująca możliwość tworzenia obrazów na ekranie:.
I właśnie o to chodzi: zarówno Google Authenticator, jak i Microsoft Authenticator, aby umożliwić robienie zrzutów ekranu. W przypadku innych aplikacji uwierzytelniających nie wygląda to lepiej. Fakt, który kilka lat temu zwrócili uwagę eksperci ds. bezpieczeństwa.
Jak donosi ZDNet, problem ten nadal występuje i ja również wykorzystam go przez co najmniej jednego trojana. Udało się, przynajmniej w przypadku Androida – prostą komendą w kodzie programu, która faktycznie w łatwy sposób umożliwiła wyłączenie funkcji Screenshot.
Dlatego pytanie brzmi, dlaczego ani Microsoft, ani Google nie korzystają z tej opcji.
