私の携帯電話に2FAを使用してオンラインアカウントをセットアップし、攻撃者が私の携帯電話にアクセスしたとします。私の電話は私のメールアカウントにログインしています。攻撃者は、私のオンラインサービスのアカウントユーザー名を知っているか、メールからそのユーザー名を見つけます。次に、メールパスワードのリセットをリクエストし、電話の2FAアプリを使用してリセットリクエストを承認します。現在、彼はパスワードと2FAの両方を持っています。
このシナリオは可能ですか?どうすれば防止できますか?この攻撃を回避するためにスマートフォンを紛失した場合はどうすればよいですか?
@Limitがあなたの質問の下のコメントで指摘したように、攻撃者は最初にあなたの電話のロックを解除する必要があります。これは問題です。しかし、不可能ではありません。しかし、議論のために、攻撃者がロックを解除した位置でスマートフォンを盗んだと仮定しましょう(たとえば、コーヒーショップに座ってインターネットを確認し、インターネットに接続し、誰かに話しかけ、他の誰かがスワイプしたなど)。
一言で答えると、はい。この妥協は完全に可能であり、一部の企業が2FAを展開している方法に私が個人的に少し嫌悪している理由の一部です。特にグーグルは、電話でオーセンティケーターを使用するユーザーが、同じデバイスにメールを持っている可能性が高いという事実を知っています。
セキュリティ三位一体はこれであることになっています:
問題は、ユーザーが利便性を望んでいることであり、これは常にこのモデルに対する脅威となります。三位一体が機能する方法の重要な要素は、これらのものが重複することになっていないということです。
ただし、多くのユーザーが技術関連のすべてのタスクを1つのデバイスに集約することを望んでいるため、この線はますます曖昧になっています。それは、人がパスワード(あなたが知っているもの)を本質的に必要なときにパスワードをオートコンプリートするデバイスに変える状況を作り出します。あなたはそれを知る必要がなくなったので、それをあなたが持っているものに効果的に変えるだけで、単にデバイスを所有します。
この状況は、同じデバイスに、デバイスをキーフォブの代わりに使用することになっているソフトウェア認証メカニズムも収容できるようにすることでさらに悪化します。
これが最終的に作成するのは、ユーザーがユーザー名とパスワードの認証者の三位一体を持っているとユーザーが考えるが、実際にはユーザー名と2つの認証者しかなく、両方が1つのデバイスであるという誤った安心感です。
これは、私たちの生活のどの程度が上記の電子メールアカウントにリンクされているかを考えるとさらに悪化します。メール自体だけでなく、そのメールに登録されているサービスにも、それを利用するリセットポリシーが設定されている可能性があります。したがって、攻撃者が任意のサービスの所有権を1台のデバイスを介して自分自身に譲渡することを許可します。さらに、電子メールには、サインアップしたサービスを検索する使いやすいインターフェイスも用意されています。彼らがしなければならないことは、「ここをクリックして電子メールを確認してください:」を検索することだけです。そうすると、登録しようとしたドメインのリストが表示されます。
これは私がそれを見たときはいつでも人々に助言しようとするものです。各セキュリティ手順は、妥当なユーザビリティの制約の範囲内で可能な限り分離する必要があります。携帯電話にgoogleオーセンティケーターがある場合は、メールにGmailのパスワードを記憶させないでください。許可する場合は、iPad、別の電話、コンピュータなどの別のデバイスで認証システムを使用します。電話で機能し、電話自体で操作を行う必要のない、従来の認証システムに代わる優れた方法がいくつかあります。 = Yubikey NEO のようにNFCが有効になっています。お使いの携帯電話が盗まれても、ユビキーはおそらく(そのキーチェーンに接続しないでください)お使いの携帯電話からハングアップ...)。
これらの方法は、三位一体の各部分を分離したままにするため、問題をいくらか緩和します。セキュリティ構造の各部分の間の線を明確に定義することは常に重要です。さもなければ、それらはこの場合のように、それらがその三位一体の実質的に同じ部分になるまで一緒に噛み合い始め、それらの1つがかつて立っていた場所に空隙を残します。