Ihre Handy-Nummer könnte entführt werden, wenn eine PIN zu Ihrem Träger Konto hinzufügen

Ihre Handy-Nummer könnte entführt werden, wenn eine PIN zu Ihrem Träger Konto hinzufügen

DeRay Mckesson ist ein weithin bekannter Aktivist in der Schwarz Lives Matter Bewegung und ehemaliger Kandidat im Rennen um Bürgermeister von Baltimore. Er ist ein High-Profile-Ziel, und endlich jemand einen Weg gefunden, seine populäre Twitter-Account-by zu knacken seine Handy-Nummer Hijacking, und bekommen es zu einem Telefon unter ihrer Kontrolle zugewiesen. Dies wurde verwendet, um eine Nachricht auf seinem Konto, Push-out zur Unterstützung eines Kandidaten, der er sagt, das Gegenteil von seinem Glauben darstellt. Diese Tweets wurden seit gelöscht und Twitter hat Konto Zugriff auf Mckesson wiederhergestellt.

Eine kürzlich erfolgte Übernahme von einer Stelle von dem, was angeblich hat 32 Millionen Twitter-Passwörter zu sein, in Verbindung mit anderen Verletzungen, Passwort-stehlender Malware und andere Techniken, um sein Passwort haben geführt beeinträchtigt wird.

Auch wenn in einem Tweet, sagte Mckesson, dass er die zwei-Faktor-Authentifizierung (2FA) aktiviert, auf alle seine Konten hat, Twitter enthalten, wenn jemand Ihr Passwort hat und erhalten Texte an Ihre Telefonnummer gesendet, sie haben zwei Faktoren erhalten: jemand Sie wissen (Ihr Passwort) und etwas, das Sie (Ihr Telefon) haben. Der Teil, ein Telefon ist etwas, das Sie haben, ist seit langem verstanden dünn zu sein, und Mckesson Situation hilft beweisen, wie zerbrechlich diese Annahme ist.

Mit dem @verizon Aufruf und erfolgreich mein Handy SIM-Wechsel, der Hacker umgangen zwei-Faktor-Überprüfung, die ich auf allen Konten

&. mdash; Deray McKesson (@deray) 10. Juni 2016 Legen Sie eine PIN auf Ihrem Träger Konto

Die drei größten amerikanischen Telefongesellschaften nicht alles verlangen aber Wissen von dem, was leider leicht zugänglichen Informationen im Jahr 2016: Die letzten vier Ziffern Ihrer Social Security Number (SSN). Das kann durch Phishing-Versuche, eine der großen Lecks von Sozialversicherungsnummern von verschiedenen Seiten und Behörden erhalten werden, dass Cracker zugreifen können, oder durch Berichte von „Überprüfung“ Websites, die nicht überprüfen, die Informationen anfordert.

Einige Fluggesellschaften verlangen können weitere persönliche oder Gegenwart und Vergangenheit Adressdaten für die Überprüfung, von denen die meisten mit der gleichen durchgesickert SSN oder durch die Hintergrund-Check-die gepaart gefunden werden kann auf den gleichen Kredit-Berichte in Teil beruht, dass die Träger verwenden, um stellen die Fragen

Sie jedoch eine PIN oder ein Passwort an Ihre AT & hinzufügen können;. T, T-mobile oder Verizon-Konto, das die Chance, dass dies geschieht, reduziert. (Sprint ist eine PIN erforderlich neben Sicherheitsfragen beim Einrichten eines Kontos.) Es scheint klar zu sein, dass die Unternehmen und Wiederverkäufer genug Spielraum für eine glatte Talker kann die PIN oder Passwort Anforderung zu umgehen, aber das ist noch nicht gründlich getestet. Nach dieser Entführung von Mckesson und der jüngsten Identität Verbrechen gegen den Chef-Technologe der FTC, Lorrie Cranor, Träger anweist Darstellungen ihre Kunden-Service werden können, um eine bessere soziale Engineering wider

Mit AT &. T, Für zusätzliche Sicherheit aktivieren so versteckt, ein Feature, das ich war nicht bewusst, es existierte. T-Website oder ihre Handy-App, es kann über AT & eingestellt werden; folgen AT & T Anweisungen. Wenn Sie die Anmeldung wieder haben Sie den Code festlegen, sollten Sie auch das Angebot ablehnen, den Code auf nachfolgenden Anmeldungen zu umgehen.

T-Mobile setzt voraus, dass Sie den Kundendienst anrufen oder eines seiner Einzelhandel besuchen speichert. Es Texte Sie eine Verwendung PIN einmalig die, wenn sie mit einem Vertreter überprüft, können Sie ein Passwort einrichten können, die dann in der Zukunft erforderlich ist, Informationen zu oder Änderungen an Ihrem Konto zu erhalten.

Verizon eine PIN auf ein Konto über Ihr Konto Kontrollen auf ihrer Website, über Telefon-Support, oder in einem seiner Einzelhandelsgeschäfte.

Was nützt eine Telefonnummer?

Die meisten 2FA Systeme für die Verbraucher und Business-Anwender können hinzufügen entworfen (im Gegensatz zu denen von IT-Abteilungen in Unternehmen für Intranet und Netzwerk-Services verwaltet werden) entweder verlassen sich ganz auf einen Code per SMS gesendet werden, bieten die als Option oder SMS als Backup verwenden. Das funktioniert so lange, wie es ausgegangen ist, dass das Telefon selbst, ein physisches Element, gestohlen werden muss, nicht die Telefonnummer, die von der Öffentlichkeit effektiv ein Endpunkt geschaltet Telefonnetz Call-Routing-System abgewickelt ist.

während Sie die Authentifizierung Apps verwenden können, die zeitbasierten Einmalpasswörter (TOTPs), wie Authy, Google Authenticator und einige andere erzeugen, solange SMS auch eine Option ist, dann ist es das schwächste Glied. Paar, dass mit Passwort und SSN Verletzungen, und die allgemeine Verfügbarkeit von Hintergrundinformationen über uns gemeinsame Sicherheitsfragen zu beantworten, und dieser zweite Faktor überhaupt keinen Wert hat. (Biometrics, „etwas, das Sie sind“, sind eine andere Sache-während die Menschen gefälschte Fingerabdrücke haben, ist es eine stark, gewaltig höher bar zu löschen.)

Solange SMS ist eine Option für 2FA, es ist das schwächste Glied.

die Unternehmen behalten SMS als Option wegen der kunden Unterstützung Belastung: es ist einfacher, jemanden zu bekommen einen Code als Textnachricht als gesendet eingeben herunterzuladen, zu installieren, zu konfigurieren und einen Authenticator App verwenden. Aber man würde denken, die Zeit reif ist für die Unternehmen erfahrene Benutzer zu ermöglichen, SMS als Backup-Option zu deaktivieren, vor allem, weil viele Websites Paar auf 2FA Drehen mit einer Reihe von Backup-Erstellung, den einmaligen Gebrauch Passwörter soll den Zugang zu wiederherstellen, wenn ein Zugriff verliert zur Authentifizierung-Anwendung, die den entsprechenden Code erzeugen kann.

Sie bei der FTC Cranor und DeRay Mckesson aussehen kann, und denken, leider „ich nicht wichtig genug bin jemand auf diese Längen gehen zu haben.“, Sie würden sich irren. Identitätsdiebstahl ist wertvoll gegen fast jedermann mit einem Gleichgewicht in ihrem Bankkonto oder genug Kredit für einen Dieb neuen Handys zu kaufen, um ihre Kontoinformationen, die was in Cranor das passiert ist, Fall-es ist unwahrscheinlich, dass die Verbrecher wusste, dass sie bei der FTC jemanden zu gefährden waren.

Weil wir nicht den Fluss unserer festen, identifizierende Informationen, wie SSN und eine Vergangenheit Adresse kontrollieren können, noch unsere Passwörter selbst, stellen Sie sicher sofort an Ihren Trägern auf einen zusätzlichen Schutz zu aktivieren. Auch bei 2FA, ein Konto PIN oder ein Passwort kann das einzige, was einen Dieb aus mit Ihrer Identität zu halten.

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.