OS X Yosemite və iOS 8-də təqdim edilən yeni funksiyalar istifadəçilərə çoxsaylı cihazların istifadəsini asanlaşdıran bir çox faydalı funksiyalar gətirsə də, onlar həm də təhlükəsizlik təhlükəsi yarada bilər. Məsələn, mətn mesajlarının iPhone-dan Mac-a yönləndirilməsi müxtəlif xidmətlərə daxil olarkən iki addımlı doğrulamadan çox asanlıqla yan keçir.
Apple-ın kompüterləri ən son əməliyyat sistemlərindəki mobil cihazlarla birləşdirdiyi Davamlılıq funksiyaları dəsti xüsusilə iPhone və iPad-ləri Mac-lərə qoşmaq üçün istifadə etdikləri şəbəkələr və texnikalar baxımından çox maraqlıdır. Davamlılıq Mac-dan zəng etmək, AirDrop vasitəsilə faylları göndərmək və ya sürətli bir qaynar nöqtə yaratmaq qabiliyyətini əhatə edir, lakin indi biz müntəzəm SMS-lərin kompüterlərə yönləndirilməsinə diqqət yetirəcəyik.
Bu nisbətən gözə çarpmayan, lakin çox faydalı funksiya, ən pis halda, seçilmiş xidmətlərə daxil olarkən təcavüzkarın ikinci yoxlama mərhələsi üçün məlumat əldə etməyə imkan verən təhlükəsizlik boşluğuna çevrilə bilər. Burada söhbət iki fazalı adlanan girişdən gedir ki, bu da banklara əlavə olaraq bir çox internet xidmətləri tərəfindən təqdim olunur və yalnız klassik və tək parolla qorunan hesabınız olmasından daha təhlükəsizdir.
İki fazalı doğrulama müxtəlif yollarla həyata keçirilə bilər, lakin biz onlayn bankçılıq və digər internet xidmətləri haqqında danışarkən, biz tez-tez telefon nömrənizə doğrulama kodunun göndərilməsi ilə qarşılaşırıq, sonra onu adi parolunuzu daxil etməyin yanında daxil etməlisiniz. Buna görə də, kimsə parolunuzu (və ya kompüter, o cümlədən parol və ya sertifikat) əldə edərsə, onlar adətən mobil telefonunuza ehtiyac duyacaqlar, məsələn, yoxlamanın ikinci mərhələsi üçün parol olan SMS gələn internet bankçılığa daxil olmaq üçün. .
Lakin bütün mətn mesajlarınızı iPhone-dan Mac-a yönləndirdiyiniz və təcavüzkar Mac-ı ələ keçirən anda onların iPhone-a ehtiyacı yoxdur. Klassik SMS mesajlarını yönləndirmək üçün iPhone və Mac arasında birbaşa əlaqə tələb olunmur - onların eyni Wi-Fi şəbəkəsində olması lazım deyil, Bluetooth kimi Wi-Fi-ı belə aktiv etmək lazım deyil, və lazım olan hər iki cihazı internetə qoşmaqdır. Mesajların yönləndirilməsi rəsmi olaraq adlandırıldığı üçün SMS Relay xidməti iMessage protokolu ilə əlaqə qurur.
Praktikada bunun işləmə üsulu ondan ibarətdir ki, mesaj sizə adi SMS kimi gəlsə də, Apple onu iMessage kimi emal edir və İnternet vasitəsilə Mac-a ötürür (SMS Relay-in yaranmasından əvvəl iMessage ilə belə işləyirdi) , onu yaşıl qabarcıqla göstərilən SMS kimi göstərdiyi yerdə. iPhone və Mac hər biri fərqli şəhərdə ola bilər, yalnız hər iki cihazın İnternet bağlantısı lazımdır.
Siz həmçinin SMS Relay-in Wi-Fi və ya Bluetooth üzərində işləməməsinin sübutunu aşağıdakı şəkildə əldə edə bilərsiniz: iPhone-da təyyarə rejimini aktivləşdirin və İnternetə qoşulmuş Mac-də SMS yazıb göndərin. Sonra Mac-ı İnternetdən ayırın və əksinə, iPhone-u ona qoşun (mobil internet kifayətdir). İki cihaz bir-biri ilə heç vaxt birbaşa əlaqə saxlamasa da, SMS göndərilir - hər şey iMessage protokolu ilə təmin edilir.
Beləliklə, mesajın yönləndirilməsindən istifadə edərkən, iki faktorlu autentifikasiyanın təhlükəsizliyinin pozulduğunu nəzərə almaq lazımdır. Kompüterinizin oğurlanması halında, mesajlaşmanı dərhal söndürmək, hesablarınızın potensial sındırılmasının qarşısını almağın ən sürətli və asan yoludur.
Doğrulama kodunu telefonun displeyindən yenidən yazmalı olmadıqda, sadəcə onu Mac-da Mesajlar-dan köçürmək məcburiyyətində qalmadığınız zaman İnternet bankçılığına daxil olmaq daha rahatdır, lakin bu halda təhlükəsizlik daha vacibdir, bu da SMS Relay səbəbindən çox çatışmazlıqdır. . Bu problemin həlli, məsələn, SMS kodları adətən eyni nömrələrdən gəldiyi üçün xüsusi nömrələrin Mac-da yönləndirilməsini istisna etmək imkanı ola bilər.
Son paraqrafda qeyd edildiyi kimi - kodu kopyalamaq imkanı çox daha rahat və daha yaxşıdır.
Bundan əlavə - əgər kimsə MacBook-umu oğurlayırsa, ilk işim onu bloklamaq və iPhone-da bütün "yönləndirmə" və Davamlılığı söndürməkdir - buna görə də Parametrlər / Mesajlar bölməsində bu seçim var. :)
Və kimsə onu sizə bağlasa, siz də onu dayandırırsınız?
Oğurlanmış cihazı dərhal bloklaya bildiyiniz halda niyə iki addımlı avtorizasiyaya sahibsiniz?
İki addımlı doğrulama üçüncü tərəfin xidmətidir, ona görə də ən azı banklar vəziyyətində ondan istifadə edə bilmərəm və ya ona məhəl qoymayacağam. Mən Mac-imi tap vasitəsilə Mac-ı bloklayıram və ya silirəm. Hər şeyin arxasında şeytanı görməsəm, SMS yönləndirmənin faydası daha çoxdur.
Heç kim oğurluğa əhəmiyyət vermir, tam disk şifrələməsi bunu həll edir. Bəs hack edilmiş kompüterlə nə edəcəksiniz? Yəqin ki, heç nə yoxdur, bundan xəbəriniz olmayacaq.
Yaxşı, əlbəttə ki, üstünlüklər üstünlük təşkil edir, heç kim şeytanı görmür və istifadəçi həmişə rəqs edən donuz üçün təhlükəsizlik ticarəti edir.
Yeri gəlmişkən, sizdə belə bir təəssürat yaranır ki, banklar sizi sadəcə əylənmək üçün SMS göndərməyə məcbur edirlər?
kimsə narahatdırsa, ondan istifadə etməyin. Mən bundan son dərəcə razıyam
Və 2FA ilə birlikdə narahatlığı olmayanlar ondan istifadə etmirlər, çünki onlar açıq şəkildə nə etdiklərini bilmirlər.
Macbook-da müəyyən bir nömrəni necə istisna etmək və iPhone-da buraxmaq olar? Cavab üçün təşəkkür edirik
AFAIK ən yaxşı seçimdir "Parametrlərdə Mesajlar altında Mətn Mesajlarının Yönləndirilməsini söndürün (iPhone-dan)."
Səhv etmirəmsə, göndərilməli olanları ağ siyahıya salmaq, göndərilməyənləri isə qara siyahıya salmaq mümkün deyil.
Yaxşı, cib telefonu oğurlamaq Mac-dan daha asan deyilmi? Bəli, mobil üçün parolunuz ola bilər, həm də MAC üçün. Mən ekspert deyiləm, amma parolu bilmirəmsə, Mac-a daxil olmaq yəqin ki, asan deyil (məlumatları oxumaq deyil, SMS relayının başlaması üçün daxil olmaq niyyətindəyəm).
Həm də unutmayın ki, söhbət ikiqat təhlükəsizlikdən gedir, burada birinci mərhələ əsasdır - hörmət etmək üçün parolun daxil edilməsi və əgər MAC-da və ya içəridə hansısa mətn sənədində yazılmayıbsa, onda var. banka giriş yoxdur (və siz parol kimi 1111 istifadə etmirsiniz :-))
Beləliklə, bir mac oğurlamaq, yəqin ki, mac-ın əsl qiymətinə görə sizə ən böyük zərər verəcəkdir.
2FA əsas Mac və ya IP oğurluğunu həll etmir. Həll yolu budur ki, təcavüzkar Mac və başqa bir şeyə nəzarət etməlidir. Mac indi onun üçün kifayətdir. Coz 2FA-nın bütün üstünlüklərini inkar edir.
(Məsləhət budur ki, "Mac-da hücumçu yalnız brauzeri idarə edir" variantından qorunmaqdır, bu, yəqin ki, tamamilə idarə olunan bir vəziyyət deyil.)
Sadəcə olaraq, Mac-ı tamamilə təhlükəsiz hesab edirsinizsə (haha), onda 2FA ilə məşğul olmaq lazım deyil. Əgər yoxsa, onda 2FA sizə driv kimi artan təhlükəsizliyi gətirməyi dayandırdı.
Və bir daha, çox aydın şəkildə - "nicnebezpecneho.cz" saytına daxil olursunuz, bu, uğursuz bir vəziyyətə görə təhlükəlidir. Bu, sizinlə çox asanlıqla baş verə bilər - dərhal porno saytlara girmək məcburiyyətində deyilsiniz, kimsə ziyarət etdiyiniz bloqun təhlükəsizliyini təmin etməməsi və şərhlərə təmizlənməmiş javascript-in daxil edilməsinə icazə verməsi kifayətdir. Həmin səhifədə brauzeriniz üçün uzaqdan istismar var (bu, hələ də sizinlə baş verə bilər, çox qeyri-adi heç nə yoxdur). Ya da sosial mühəndisliyə qapılmaq...
...bir neçə saatdan sonra bankdan pul göndərməyə gedirsiniz (gmail, github-a daxil olursunuz...). Bunu etməklə, siz giriş məlumatlarını artıq təhlükə altında olan kompüterə daxil edirsiniz (və ya bu parollarınız saxlanılıbsa, bunu etmək məcburiyyətində deyilsiniz) və kodu bir dəfə SMS-dən kopyalayıb yapışdırırsınız.
..və gecə kompüteriniz banka (gmail...) öz-özünə daxil olur, parol artıq zərərli proqram olan biri tərəfindən saxlanılıb. Siz mobil telefonunuza təsdiq SMS-i gəlməyəcək, lakin... o təhlükə altında olan kompüterə.
2FA məhz bu ssenariləri həll etdi. Ta ki, Apple onu sındırana qədər.
Düşündüm ki, 2FA özümü 2 şeylə sübut etməli olduğum deməkdir, məsələn:
- parol
– SMS qəbul edən telefonla
Yaxşı, SMS-in Mac-a telefona yönləndirilməsi də alternativ olaraq Mac (və ya mənim qoşalaşdırdığım daha çox Mac və iPad) əlavə edir, lakin bu, hələ də 2FA-dır. Yoxsa yox?
Bir daha - normal şəraitdə 2FA "Mac-ım sındırılıb və bu barədə məlumatım yoxdur" kimi vəziyyətləri həll edir. Çünki onda siz güman edə bilərsiniz ki, Mac xidmət üçün parolunuzu bilir (onu artıq saxlamısınız və ya növbəti dəfə xidmətə daxil olanda onu dinləyəcəksiniz). İndi də gözləmək olar ki, o da SMS-i bilsin (yaxud istədiyi vaxt bunu istəyə bilər və onu alacaq).
İki faktorlu autentifikasiya təklif edən əksər xidmətlər (Facebook, Dropbox, Google, Microsoft, …) proqramdan istifadə edərək birdəfəlik parolların yaradılmasına imkan verir (mən Google Authenticator istifadə edirəm). Tətbiq daim qeydiyyatdan keçmiş xidmətlər üçün məhdud vaxt kodları yaradır. Kod dərhal kopyalana və daxil olmaq üçün istifadə edilə bilər. SMS-in gəlməsini gözləmək lazım deyil və əgər onlar Mac-a ötürülürsə, məqalədə təsvir olunan problemi həll edin.
Təhlükəli mac-larda daxil olarkən SMS mesajları olur...
Bunu xahiş etməkdən çekinmeyin. Tətbiqdən istifadə edərək birdəfəlik kodun yaradılması ilə iki fazalı yoxlamanı yandırmışamsa, bu xidmət heç bir SMS göndərmir.
Bir şey dəyişməyibsə, bir çox xidmət telefonu istədi və standart seçim olaraq SMS buraxdı. Beləliklə, sındırılmış kompüteriniz geri döndü.
Çox sayda bankla seçim yoxdur, sadəcə bir SMS və bu qədər.
Mən bunu çox aydın başa düşmürəm. Əgər kimsə Mac-ı oğurlayırsa, mən SMS-i söndürürəm, Mac-ı uzaqdan silirəm və bankda parolu dəyişirəm. Və ya tutmaq nədir?
Bu yazını oxumadan əvvəl bunu edərdinizmi?
Tamamilə, tamamilə avtomatik.
Lakin iki fazalı autentifikasiya təcavüzkarın iki təsdiqə ehtiyacı olması ilə bağlıdır: ŞİFRƏ VƏ SMS. Bu o deməkdir ki, əgər kiminsə mənim qoşalaşmış Mac-imi götürəcəyindən qorxuramsa, parolu orada saxlamıram və kimsə brauzerimi sındırsa, iMessage-a daxil olmayacaq.
Brauzerinizdən çıxmayacağına əminliyi haradan əldə edirsiniz? Pwn4Fun və Pwn2Own-un hazırkı nəticələrinə görə, Safari üçün ən azı iki sıfır gün var:
"Pwn4Fun-da Google, Apple Safari-ni Mac OS X-də kök kimi işə salan Kalkulyatora qarşı çox təsir edici bir istismar etdi"
"Keen Team-dən Liang Chen tərəfindən:
Apple Safari-yə qarşı, kod icrası ilə nəticələnən sandbox bypass ilə birlikdə yığın daşması."
Yaşıl fonda nazik ağ hərf - heç bir xüsusi məktəbin şagirdi belə bunu daha yaxşı təklif edə bilməzdi...
Bunu dayandırmağın yollarından biri kod generasiyasını dongle vasitəsilə əvəz etməkdir (məsələn, bu: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) təhlükəsizdir və daha yüksək təhlükəsizliyi təmin edir, KB də buna bənzər bir şey etməlidir - USB diskə yüklənmiş sertifikat, onsuz bir şəxs internet bankçılığına qoşula bilməz, üstəlik bəzən telefona birdəfəlik parol göndərilir və s. ... Çoxlu imkanlar var, lakin hər kəsin öz imkanları var, o, təhlükəsizliyin onun üçün vacib olub-olmadığına qərar verməlidir (parolun olub-olmaması və s.)
Unicreditin əla bir xüsusiyyəti var. Ağıllı açar heç vaxt klassik SMS vasitəsilə gəlmir, lakin mən mobil proqramda birdəfəlik parol yaradıram.
Məsləhətə ehtiyacım var niyə birdən mm qısa video göndərə bilmirəm, bu indiyə qədər mümkün idi? Sadəcə video əlavə etmək imkanı yoxdur, o, cavab vermir, mesaja daxil etmir
Dekuji