Ондрей Холцман OS X Yosemite жана iOS 8де киргизилген жаңы функциялар колдонуучуларга бир нече түзмөктөрдү колдонууну жөнөкөйлөштүргөн көптөгөн пайдалуу функцияларды алып келсе да, алар коопсуздукка коркунуч келтириши мүмкүн. Мисалы, iPhone'дон Mac'ке тексттик билдирүүлөрдү жөнөтүү ар кандай кызматтарга кирүү учурунда эки этаптуу текшерүүнү оңой эле айланып өтөт.
Apple акыркы операциялык тутумдардагы мобилдик түзүлүштөр менен компьютерлерди туташтырган Үзгүлтүксүздүк функцияларынын жыйындысы, өзгөчө iPhone жана iPad'терди Mac'терге туташтыруу үчүн колдонгон тармактар жана ыкмалар жагынан абдан кызыктуу. Үзгүлтүксүздүк Macтан чалууларды жасоо, файлдарды AirDrop аркылуу жөнөтүү же тез хотспот түзүү мүмкүнчүлүгүн камтыйт, бирок азыр биз кадимки SMSти компьютерлерге жөнөтүүгө басым жасайбыз.
Бул салыштырмалуу байкалбаган, бирок абдан пайдалуу функция эң начар учурда, тандалган кызматтарга киргенде чабуулчуга текшерүүнүн экинчи фазасы үчүн маалыматтарды алууга мүмкүндүк берген коопсуздук тешигине айланышы мүмкүн. Биз бул жерде эки фазалуу логин деп аталган нерсе жөнүндө сөз болуп жатат, ал банктардан тышкары, көптөгөн интернет кызматтары тарабынан киргизилип жатат жана сизде классикалык жана бир гана сырсөз менен корголгон эсепке караганда алда канча коопсуз.
Эки фазалуу текшерүү ар кандай жолдор менен жүргүзүлүшү мүмкүн, бирок биз онлайн-банкинг жана башка интернет кызматтары жөнүндө сөз кылганда, биз көбүнчө телефон номериңизге текшерүү кодун жөнөтүүгө туш болобуз, андан кийин кадимки сырсөзүңүздү киргизүүнүн жанына киргизишиңиз керек. Демек, эгер кимдир бирөө сиздин паролуңузду (же компьютерди, анын ичинде паролду же сертификатты) кармап алса, аларга адатта уюлдук телефонуңуз керек болот, мисалы, интернет-банкингге кирүү үчүн, текшерүүнүн экинчи этабынын сырсөзү менен SMS келет. .
Бирок сиздин бардык текст билдирүүлөрүңүздү iPhone'уңуздан Mac'уңузга жөнөтүп, чабуулчу Macуңузду басып алган учурда, аларга iPhone'уңуз керек болбой калат. Классикалык SMS билдирүүлөрүн башка жакка жөнөтүү үчүн iPhone менен Mac ортосунда түз байланыштын кереги жок - алар бир эле Wi-Fi тармагында болбошу керек, Wi-Fi күйгүзүлбөйт, Bluetooth сыяктуу эле, жана зарыл болгон нерселердин баары интернетке эки түзмөктү туташтыруу болуп саналат. SMS Relay кызматы, билдирүүлөрдү жөнөтүү расмий деп аталат, iMessage протоколу аркылуу байланышат.
Иш жүзүндө, анын иштөө ыкмасы мындай: билдирүү сизге кадимки SMS катары келгени менен, Apple аны iMessage катары иштетип, Интернет аркылуу Mac'ка өткөрүп берет (SMS Relay пайда болгонго чейин ал iMessage менен ушундай иштеген) , бул жерде аны SMS катары көрсөтөт, ал жашыл көбүк менен көрсөтүлгөн. iPhone жана Mac ар бири башка шаарда болушу мүмкүн, эки түзмөккө гана Интернет байланышы керек.
Сиз ошондой эле SMS Relay Wi-Fi же Bluetooth аркылуу иштебей тургандыгынын далилин төмөнкү жол менен ала аласыз: iPhone телефонуңузда учак режимин иштетиңиз жана Интернетке туташкан Macда SMS жазып, жөнөтүңүз. Андан кийин Macти Интернеттен ажыратып, тескерисинче, ага iPhone туташтырыңыз (мобилдик интернет жетиштүү). Эки түзмөк бири-бири менен эч качан түз байланышпаса да SMS жөнөтүлөт - баары iMessage протоколу менен камсыз кылынат.
Ошентип, билдирүүлөрдү жөнөтүүнү колдонууда эки факторлуу аутентификациянын коопсуздугу бузулганын эстен чыгарбоо керек. Сиздин компьютериңиз уурдалган учурда, билдирүүлөрдү дароо өчүрүү сиздин аккаунттарыңызды бузуп алуулардын алдын алуунун эң тез жана оңой жолу болуп саналат.
Телефондун дисплейинен текшерүү кодун кайра жазуунун кереги жок болсо, Интернет-банкингге кирүү ыңгайлуураак, бирок аны жөн гана Macтагы Messages'тен көчүрүп алсаңыз, бирок бул учурда коопсуздук бир топ маанилүү, бул SMS Relay аркылуу өтө жетишсиз. . Бул маселени чечүү, мисалы, белгилүү бир номерлерди Mac'та жөнөтүүдөн баш тартуу мүмкүнчүлүгү болушу мүмкүн, анткени SMS коддору адатта бир эле номерлерден келет.
Акыркы абзацта айтылгандай - кодду көчүрүү мүмкүнчүлүгү алда канча ыңгайлуу жана жакшыраак.
Кошумчалай кетсек, эгер кимдир бирөө менин MacBook'умду уурдаса, мен биринчи кыла турган нерсе - аны бөгөттөө жана iPhone'догу бардык "багыттоо" жана Үзгүлтүксүздүктү өчүрүү - ошондуктан Орнотууларда / Кабарларда бул параметр дагы бар. :)
Эгер кимдир бирөө аны сага илип койсо, сен да аны токтотосуңбу?
Уурдалган түзмөктү дароо бөгөттөп койсоңуз, эмне үчүн эки кадамдуу авторизацияңыз бар?
Эки этаптуу текшерүү - бул үчүнчү тараптын кызматы, ошондуктан мен аны колдонбойм же көңүл бурбайм, жок дегенде банктарда. Мен Mac'ымды Find My Mac аркылуу бөгөттөйм же жок кылам. Ар бир нерсенин артында шайтанды көрбөсөм, SMS жөнөтүүнүн пайдасы чоң.
Эч ким уурулукка маани бербейт, дискти толук шифрлөө муну чечет. Бирок сиз бузулган компьютер менен эмне кыласыз? Балким, эч нерсе эмес, сиз бул жөнүндө билбей каласыз.
Ооба, албетте, артыкчылыктар үстөмдүк кылат, эч ким шайтанды көрбөйт жана колдонуучу дайыма коопсуздукту бийлеп жаткан чочко үчүн соодалайт.
Айтмакчы, сизде банктар тамаша үчүн SMS жөнөтүүгө мажбурлап жатат деген ойдосузбу?
кимдир бирөө тынчсызданып жатса, анда аны колдонбоңуз. Мен ага абдан ыраазымын
Ал эми 2FA менен бирге кооптонуусу жок адамдар аны колдонушпайт, анткени алар эмне кылып жатканын билишпейт.
Кантип мен Macbook'тагы белгилүү бир номерди чыгарып, iPhone'го калтырам? Жооп үчүн рахмат
AFAIK эң жакшы варианты "Жөндөөлөрдөгү Кабарлар астындагы Тексттик билдирүүлөрдү багыттоону өчүрүү (iPhone'уңуздан)."
Жаңылбасам, жөнөтүлүшү керек болгон нерсени ак тизмеге киргизүү мүмкүн эмес, ал эми жөнөтүлбөгөндөрдү кара тизмеге киргизүү мүмкүн эмес.
Ооба, Macка караганда уюлдук телефонду уурдоо оңой эмеспи? Ооба, сизде мобилдик телефон үчүн сырсөз болушу мүмкүн, бирок MAC үчүн да. Мен эксперт эмесмин, бирок сырсөздү билбесем, Mac'ка кирүү оңой эместир (мен маалыматтарды окуйм деген жокмун, бирок SMS реле башталышы үчүн кирүү).
Ошондой эле, биз кош коопсуздук жөнүндө сөз болуп жатканын унутпагыла, бул жерде биринчи этап негизги болуп саналат - урматтоо үчүн сырсөздү киргизүү жана ал MAC же ичинде кандайдыр бир тексттик документте жазылган жок болсо, анда бар. банкка кирүү мүмкүнчүлүгү жок (жана сиз 1111ди сырсөз катары колдонбойсуз :-))
Ошентип, Macтин чыныгы баасы, балким, Macти уурдоо менен сизге келтирилген эң чоң зыян болот.
2FA негизги Mac же IP уурулугун чечпейт. Чечим чабуулчу Mac жана башка нерсени башкарууга тийиш. Mac азыр ага жетиштүү. Coz 2FAнын бардык артыкчылыктарын жокко чыгарат.
(Кеңеш - "Macтеги чабуулчу браузерди гана башкарат" вариантынан коргоо, балким, бул толугу менен көзөмөлдөнгөн жагдай эмес.)
Эгер сиз Macты толугу менен коопсуз деп эсептесеңиз (хаха), анда 2FA менен иштешүүнүн кереги жок. Эгерде андай болбосо, анда 2FA сизге driv сыяктуу коопсуздукту камсыз кылууну токтотту.
Жана дагы бир жолу, абдан ачык - сиз "nicnebezpecneho.cz" веб-сайтына киресиз, ал жагымсыз жагдайлардан улам кооптуу. Бул сизге оңой эле болушу мүмкүн – дароо эле порно сайттарга кирүүнүн кажети жок, кимдир бирөө сиз кирип жаткан блогду коргобосо жана комментарийлерге санитардык таза эмес JavaScript киргизилиши жетиштүү. Ошол бетте браузериңиз үчүн алыстан эксплуатация бар (бул дагы деле сиз менен болушу мүмкүн, адаттан тыш эч нерсе жок). Же социалдык инженерияга аралашып кетиңиз...
...бир нече сааттан кийин сиз банктан акча жөнөтүүгө барасыз (сиз gmail, githubга киресиз...). Муну менен сиз логин маалыматтарын мурунтан эле бузулган компьютерге киргизесиз (же сизде бул сырсөздөр сакталган болсо, муну кылуунун деле кереги жок) жана SMSтен кодду бир жолу көчүрүп, чаптаңыз.
..жана түндө компьютериңиз банкка (gmail...) өзүнөн өзү кирет, сырсөздү зыяндуу программасы бар бирөө сактап койгон. Уюлдук телефонуңузга тастыктоочу SMS келбейт, бирок... ошол бузулган компьютерге.
2FA дал ушул сценарийлерди чечти. Apple аны сындырганга чейин.
Мен 2FA өзүмдү 2 нерсе менен далилдешим керек дегенди билдирет деп ойлогом, мисалы:
- купуя сөз
– SMS кабыл алган телефон менен
Макул, SMSти Mac'ка телефонго жөнөтүү альтернатива катары Mac (же мен жупташтырган бир нече Mac жана iPad) кошот, бирок ал дагы эле 2FA. Же жок?
Дагы бир жолу - кадимки шарттарда, 2FA "менин Mac бузулду жана мен бул тууралуу билбейм" сыяктуу жагдайларды чечет. Анткени, анда сиз Mac кызматы сиздин сырсөзүңүздү билет деп ойлосоңуз болот (бул сизде мурунтан эле сакталып калган же кийинки жолу кызматка киргенде угасыз). Эми ал СМСти да билет деп күтсө болот (же каалаган убакта сураса болот жана ал алат).
Эки факторлуу аутентификацияны сунуштаган кызматтардын көбү (Facebook, Dropbox, Google, Microsoft, …) колдонмо аркылуу бир жолку сырсөздөрдү түзүүгө мүмкүндүк берет (мен Google Authenticator колдоном). Тиркеме дайыма катталган кызматтар үчүн чектелген убакыт коддорун жаратат. Код дароо көчүрүлүп, кирүү үчүн колдонулушу мүмкүн. Сизге SMS келишин күтүүнүн кереги жок жана эгер алар Mac'ка жөнөтүлсө, макалада айтылган маселени чечиңиз.
Кирүү учурунда бузулган Mac'терде SMS билдирүүлөр бар...
Муну сурасаңыз болот. Эгерде мен тиркемени колдонуу менен бир жолку кодду түзүү менен эки фазалуу текшерүүнү иштетсем, анда бул кызмат эч кандай SMS жөнөтпөйт.
Эгер бир нерсе өзгөрбөсө, көптөгөн кызматтар телефонду каалап, SMSти демейки вариант катары калтырышты. Ошентип, бузулган компьютериңиз кайтып келди.
Көптөгөн банктар менен, тандоо жок, жөн гана SMS жана ушуну менен.
Мен муну так түшүнбөйм. Эгер кимдир бирөө менин Macымды уурдаса, мен SMSти өчүрөм, Macты алыстан аарчыйм жана банктан сырсөздү алмаштырам. Же эмне кармады?
Бул макаланы окуганга чейин ушундай кылмак белеңиз?
Абсолюттук түрдө, таптакыр автоматтык түрдө.
Бирок эки фазалуу аутентификация чабуулчуга эки ырастоону талап кылат: ПАССВОР ЖАНА SMS. Бул менин жупташтырылган Macти кимдир бирөө алып кетет деп коркконумда, мен сырсөздү ал жерде сактабайм жана эгер кимдир бирөө менин браузеримди бузуп алса, алар iMessage'ке кире албайт дегенди билдирет.
Ал сиздин браузериңизден чыкпайт деген кепилдикти кайдан аласыз? Pwn4Fun жана Pwn2Own учурдагы жыйынтыктарына ылайык, Safari үчүн жок дегенде эки нөл күн бар окшойт:
"Pwn4Fun оюнунда Google Apple Safariге каршы абдан таасирдүү эксплуатацияны көрсөттү, Калькуляторду Mac OS Xде тамыр катары ишке киргизди"
"Кин командасынын Лианг Чен тарабынан:
Apple Safariге каршы, кумкоргонду айланып өтүү менен бирге үймөк толуп, натыйжада код аткарылат."
Жашыл фондо ичке ак тамга - муну атайын окуу жайдын окуучусу да жакшы сунуштамак эмес...
Муну токтотуунун жолдорунун бири - коддун генерациясын жабдык аркылуу алмаштыруу (мисалы, бул: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) бул коопсуз жана жогорку коопсуздукту камсыздайт, КБ дагы ушуга окшош нерсени жасашы керек - USB дискке жүктөлгөн сертификат, ансыз адам интернет-банкингге туташа албайт, плюс кээде телефонго бир жолку сырсөз жөнөтүлөт ж.б.у.с. ... Көптөгөн мүмкүнчүлүктөр бар, бирок ар кимдин өз алдынча, ал үчүн коопсуздук маанилүүбү (паролу барбы же жокпу? ж.б.) чечиши керек.
Unicreditтин сонун нерсеси бар. Акылдуу ачкыч эч качан классикалык SMS эмес, бирок мен мобилдик тиркемеде бир жолку сырсөздү түзөм.
Мага кенеш керек болуп калды эмнеге капыстан мм кыска видеону жибере албай калдым, ушул убакка чейин мумкун болгон? Видеону жөн эле кыстаруу мүмкүнчүлүгү жок, ал жооп бербейт, билдирүүгө киргизбейт
рахмат