Vidéo: TanqR Exposed For HACKING!? *Proof* (Roblox Arsenal) (Novembre 2024)
Vous avez probablement rencontré l'un des systèmes d'authentification de site Web qui fonctionne en envoyant un code à usage unique sur votre smartphone et en le saisissant en ligne. Les numéros mTAN (Mobile Transaction Authentication Numbers) utilisés par de nombreuses banques en sont un exemple. Google Authenticator vous permet de protéger votre compte Gmail de la même manière. Divers autres services, tels que LastPass, le prennent également en charge. Malheureusement, les méchants savent déjà comment subvertir ce type d'authentification. L'authentification SMS de TextKey est une nouvelle approche qui protège toutes les étapes du processus d'authentification.
Retourne le
L’authentification SMS à l’ancienne envoie ce code à usage unique au numéro de mobile enregistré de l’utilisateur. Il n'y a aucun moyen de s'assurer que le code n'a pas été attrapé par un logiciel malveillant ou intercepté à l'aide d'un clone du téléphone. Ensuite, l'utilisateur tape le code dans le navigateur. Si le PC est infecté, la transaction peut être compromise. En fait, une variante de Zeus appelée zitmo (pour "Zeus dans le mobile") effectue une attaque par équipe de balises, avec un composant sur le PC et un sur le mobile, coopérant pour voler vos identifiants et votre argent.
TextKey inverse l'ensemble du processus. Cela ne vous envoie aucun texto. Au lieu de cela, il affiche un code PIN après avoir entré votre nom d'utilisateur et votre mot de passe et vous invite à l'envoyer par SMS au code abrégé spécifié. Les opérateurs de téléphonie mobile travaillent très dur pour s'assurer qu'un numéro de téléphone correspond exactement à un appareil. Par conséquent, si le serveur TextKey reçoit le message, cela signifie que l'opérateur a déjà validé le numéro de téléphone et l'UDID du téléphone. TextKey obtient deux facteurs d’authentification supplémentaires gratuitement!
Le code PIN est différent à chaque fois et il n'est valable que pendant quelques minutes. Le code court varie aussi. Et un site Web utilisant TextKey pour l'authentification peut éventuellement demander à chaque utilisateur de créer un code PIN personnel qui doit être ajouté au début ou à la fin du code PIN à usage unique.
Que se passe-t-il si un collègue surfe sur l'écran avec le code confidentiel et le code abrégé, ou si un programme malveillant signale votre activité de textos à son propriétaire? Si le système TextKey reçoit le code PIN correct du mauvais numéro de téléphone, il ne refuse pas simplement l'authentification. Il enregistre également le numéro de téléphone en tant que fraude afin que le propriétaire du site puisse prendre les mesures appropriées.
Cliquez sur ce lien pour essayer TextKey. À des fins de démonstration, vous entrerez votre numéro de téléphone; dans une situation réelle, le numéro ferait partie de votre profil d'utilisateur. Notez que vous pouvez déclencher l'alerte de fraude en entrant un numéro autre que le vôtre.
Comment tu l'as obtenu
Hélas, TextKey n'est pas quelque chose que vous pouvez implémenter en tant que consommateur. Vous ne pouvez l'utiliser que si la banque ou un autre site sécurisé l'a implémenté. Les petites entreprises peuvent contracter l'authentification TextKey sur la base de la sécurité en tant que service, en payant entre 5 et 0, 50 USD par utilisateur et par mois, en fonction du nombre d'utilisateurs. Il s’agit d’un forfait mensuel, quel que soit le nombre de connexions. Les grandes entreprises hébergeant leurs propres serveurs TextKey paient des frais d’installation ainsi que des frais mensuels.
Ce schéma n'est peut-être pas à 100% illisible, mais il est beaucoup plus difficile que l'authentification par SMS à l'ancienne. Cela va bien au-delà de deux facteurs; TextPower appelle cela "Omni-Factor". Vous devez connaître le mot de passe, posséder le téléphone avec le bon UDID, entrer le code PIN affiché, éventuellement ajouter votre code PIN personnel, envoyer le texte de votre numéro de téléphone enregistré et utiliser le code de fonction aléatoire comme destination. Confronté à cela, le pirate informatique moyen s’efforcera probablement de s’écrouler et de craquer quelques mTAN de banques à la place.
