To-faktor autorisasjon skal føre til økt sikkerhet. Det ekstra trinnet skal forhindre at spammere bryter inn på kontoen din. Ved å bare lære ett tilgangspunkt, er de fortsatt pålagt å ta et ekstra skritt som de mest sannsynlig ikke vet. Forskere har imidlertid lært at 2FA kan føre til en sikkerhetsrisiko med resirkulerte telefonnumre.
Resirkulerte telefonnumre viser 2FA-kontoer
Enten det er fordi de flytter eller bytter mobiloperatør, endrer folk telefonnumrene fra tid til annen. Men det er ikke ubegrenset antall ubrukte telefonnumre. På grunn av dette resirkuleres ofte kasserte telefonnumre. Du kan ha oppdaget dette da du hentet et nytt nummer og plages av et utslett av samtaler til personen som tidligere var koblet til det nummeret.
Du kan bli plaget av mer enn det. Hvis nummeret tidligere var knyttet til 2FA, er informasjonen fra regnskapet underlagt en sikkerhetsrisiko. Nå i stedet for å trenge de to faktorene for tilgang, er alt som trengs telefonnummeret.
Princeton University forskere oppdaget sikkerhetsrisiko forbundet med 2FA og resirkulerte telefonnumre. Av mer enn 250 telefonnumre som forskerne samplet, var 17 koblet til kontoer på populære nettsteder. Disse tallene som ble samplet var tilgjengelige for to store transportører.
I tillegg førte et flertall av tilgjengelige tall til treff på personsøketjenester, som gir personlig identifiserbar informasjon om tidligere eiere. Videre var en betydelig brøkdel (100 av 259) av tallene knyttet til lekket påloggingsinformasjon på nettet, noe som kunne muliggjøre kontokapring som bekjemper SMS-basert flerfaktorautentisering, ”forklarte forskerne i studien.
“Vi fant også svakheter i utformingen av operatørers elektroniske grensesnitt og policyer for nummergjenvinning som kan lette angrep som involverer nummergjenvinning.”
De nye eierne av telefonnumrene blir utsatt for sikkerhet og personvernrelaterte samtaler og meldinger, inkludert slike ting som godkjenningskoder. Princeton-forskerne mener de nye eierne kan bli stimulert til å utnytte kontoene disse nye numrene er koblet til.
Begrensning av sikkerhetsrisikoen
Hva kan du gjøre når du endrer telefonnummeret ditt for å begrense sikkerhetsrisikoen til kontoene dine som på et tidspunkt var koblet til 2FA? Å spore opp alle de kontoene som er beskyttet av 2FA vil være et mareritt.
Princeton-forskerne mener at du bør “parkere” det gamle nummeret ditt når du bytter til et nytt nummer. Du kan gjøre dette med en parkeringstjeneste, en mobil virtuell nettverksoperatør (MVNO) eller en VOIP-leverandør. Dette kan gi deg tiden du trenger for å oppdatere 2FA-innstillingene på de gamle kontoene dine.
Vet at uansett denne bekymringen, er 2FA fortsatt en viktig sikkerhetsmetode. Les videre for å lære hvordan du setter opp 2FA på forskjellige sosiale nettverk annet enn Twitter, som ikke lenger trenger telefonnumre for 2FA.