ビデオ: i paid $30 for a hacked minecraft mouse... (十一月 2024)
おそらく、1回限りのコードをスマートフォンに送信し、それをオンラインで入力することで機能するWebサイト認証スキームの1つに遭遇したでしょう。 多くの銀行で使用されているモバイルトランザクション認証番号(mTAN)はその一例です。 Google認証システムを使用すると、Gmailアカウントを同じ方法で保護でき、LastPassなどの他のさまざまなサービスも同様にサポートします。 残念ながら、悪者たちはすでにこのタイプの認証を破壊する方法を知っています。 TextKeyのSMS認証は新しいアプローチで、認証プロセスのすべての段階を保護します。
向きを変える
古いスタイルのSMS認証は、そのワンタイムコードをユーザーの登録済み携帯電話番号に送信します。 コードがマルウェアにキャッチされたり、電話のクローンを使用して傍受されたりしたことを確認する方法はありません。 次に、ユーザーはブラウザにコードを入力します。 PCが感染している場合、トランザクションが危険にさらされる可能性があります。 実際、zitmoと呼ばれるZeusの亜種(「Zeus in the mobile」)はタグチーム攻撃を実行し、PC上の1つのコンポーネントとモバイル上の1つのコンポーネントが協力して資格情報とお金を盗みます。
TextKeyはプロセス全体を逆にします。 それはあなたに何もテキストしません。 代わりに、ユーザー名とパスワードを入力するとPINが表示され、指定した短いコードにそのPINをテキストで入力するように求められます。 携帯電話会社は、1つの電話番号が1つのデバイスと正確に一致するように懸命に取り組んでいます。したがって、TextKeyサーバーがメッセージを受信した場合、電話会社は電話番号と電話のUDIDを検証済みです。 そこに、TextKeyには2つの認証要素が無料で追加されます!
PINは毎回異なり、数分間のみ有効です。 短いコードもさまざまです。 また、認証にTextKeyを使用するWebサイトでは、必要に応じて、各ユーザーが個人用PINを作成する必要があります。個人用PINは、ワンタイムPINの最初または最後に追加する必要があります。
同僚がPINと短いコードを使用して画面をショルダーサーフィンした場合、または悪意のあるプログラムがテキストメッセージのアクティビティを所有者に報告した場合はどうなりますか? TextKeyシステムが間違った電話番号から正しいPINを受け取った場合、認証を単に拒否するだけではありません。 また、電話番号を詐欺として記録するため、サイトの所有者は適切な措置を取ることができます。
このリンクをクリックして、TextKeyを試してみてください。 デモンストレーションのために、電話番号を入力します。 実際の状況では、番号はユーザープロファイルの一部になります。 自分以外の番号を入力することで、不正警告をトリガーできることに注意してください。
どのように取得しますか
残念ながら、TextKeyはコンシューマとして実装できるものではありません。 銀行またはその他の安全なサイトで実装されている場合にのみ使用できます。 小規模企業は、サービスごとのセキュリティベースでTextKey認証を契約でき、ユーザー数に応じて、ユーザーあたり月額5ドルから0.50ドルまで支払うことができます。 これは、ログインの回数に関係なく、月額定額料金です。 独自のTextKeyサーバーをホストする大規模な運用では、セットアップ料金と月額料金がかかります。
このスキームは100%解読不可能ではないかもしれませんが、旧式のSMS認証よりもはるかに厳しいです。 それは二要素をはるかに超えています。 TextPowerはそれを「オムニファクター」と呼びます。 パスワードを知り、正しいUDIDの電話を所有し、表示されたPINを入力し、オプションで個人のPINを追加し、登録した電話番号からテキストを送信し、宛先としてランダムショートコードを使用する必要があります。 これに直面して、平均的なハッカーはおそらく飛び去って、代わりにいくつかの銀行mTANをクラックします。