페이스북 2단계 인증 뚫기 - peiseubug 2dangye injeung ttulhgi

이중 인증 시스템은그들이 보이는 것처럼 바보. 공격자는 전화 회사 나 보안 서비스 자체가 침입하도록 속일 수있는 실제 인증 토큰이 필요하지 않습니다.

추가 인증이 항상 도움이됩니다. 우리 모두가 원하는 완벽한 보안을 제공하는 것은 없지만, 2 단계 인증을 사용하면 사용자가 원하는 공격자에게 더 많은 장애물이됩니다.

전화 회사는 약한 링크입니다

관련 : 이 16 개의 웹 서비스에서 2 단계 인증을 사용하여 자신을 보호하십시오

많은 2 단계 인증 시스템웹 사이트는 누군가가 로그인을 시도 할 때 SMS를 통해 휴대 전화로 메시지를 전송하여 작동합니다. 휴대 전화의 전용 앱을 사용하여 코드를 생성하더라도 사용자가 선택한 서비스가 SMS를 전송하여 로그인 할 수있는 기회를 제공 할 가능성이 높습니다 휴대 전화 코드 또는 서비스에서 복구 전화 번호로 구성한 전화 번호에 액세스 할 수 있음을 확인한 후 계정에서 2 단계 인증 보호를 제거 할 수 있습니다.

이 모든 것이 잘 들립니다. 휴대 전화가 있고 전화 번호가 있습니다. 내부에 실제 SIM 카드가있어 휴대 전화 제공 업체와 해당 전화 번호에 연결합니다. 그것은 모두 매우 물리적 인 것 같습니다. 그러나 슬프게도 전화 번호는 생각만큼 안전하지 않습니다.

기존 전화를 이동해야하는 경우휴대 전화를 분실하거나 새로 구입 한 후 새 SIM 카드에 번호를 매기면 전화를 통해 또는 온라인으로 할 수있는 일을 자주 알 수 있습니다. 공격자가해야 할 일은 휴대 전화 회사의 고객 서비스 부서에 전화하여 자신 인 것처럼 가장하는 것입니다. 전화 번호가 무엇인지, 자신에 대한 몇 가지 개인 정보를 알아야합니다. 신용 카드 번호, SSN의 마지막 네 자리 등의 세부 정보는 큰 데이터베이스에서 정기적으로 유출되어 신분 도용에 사용됩니다. 공격자는 전화 번호를 자신의 전화로 이동 시키려고 시도 할 수 있습니다.

더 쉬운 방법이 있습니다. 또는 예를 들어 전화 회사쪽에 착신 전환을 설정하여 수신 음성 통화가 자신의 전화로 전달되어 사용자의 전화에 연결되지 않도록 할 수 있습니다.

도둑, 공격자는 당신에 액세스 할 필요가 없습니다전화 번호. 음성 메일에 액세스하여 오전 3시에 웹 사이트에 로그인 한 다음 음성 사서함에서 확인 코드를 가져옵니다. 전화 회사의 음성 메일 시스템은 정확히 얼마나 안전합니까? 음성 메일 PIN은 얼마나 안전합니까? 설정 한 적이 있습니까? 모든 사람이있는 것은 아닙니다! 그리고 있다면, 공격자가 전화 회사에 전화하여 음성 메일 PIN을 재설정하는 데 얼마나 많은 노력이 필요합니까?

전화 번호로 끝났습니다

관련 : 2 단계 인증을 사용할 때 잠기는 것을 방지하는 방법

전화 번호가 약한 링크가되어공격자는 SMS 또는 음성 통화를 통해 계정에서 2 단계 인증을 제거하거나 2 단계 인증 코드를받습니다. 무언가 잘못되었다는 사실을 알게되면 해당 계정에 액세스 할 수 있습니다.

이것은 거의 모든 서비스에 대한 문제입니다. 온라인 서비스는 사람들이 자신의 계정에 액세스하는 것을 원하지 않기 때문에 일반적으로 전화 번호로 2 단계 인증을 우회하고 제거 할 수 있습니다. 휴대 전화를 재설정하거나 새 전화기를 구입하여 2 단계 인증 코드를 잃어 버렸지 만 여전히 전화 번호가있는 경우에 도움이됩니다.

이론적으로는여기 보호. 실제로는 셀룰러 서비스 제공 업체의 고객 서비스 담당자를 상대하고 있습니다. 이러한 시스템은 종종 효율성을 위해 설정되며, 고객 서비스 직원은 고객에게 화를 내거나 참을성이없고 충분한 정보를 갖고있는 것처럼 보이는 일부 보호 조치를 간과 할 수 있습니다. 전화 회사와 고객 서비스 부서는 보안에 약한 연결 고리입니다.

전화 번호를 보호하는 것은 어렵습니다. 실제로 휴대 전화 회사는이를 덜 위험하게 만들 수있는 더 많은 보호 수단을 제공해야합니다. 실제로 대기업이 고객 서비스 절차를 수정하기를 기다리는 대신 스스로 무언가를하고 싶을 것입니다. 일부 서비스를 사용하면 전화 번호를 통해 복구를 비활성화하거나 재설정하고 적절하게 경고 할 수 있습니다. 그러나 업무상 중요한 시스템 인 경우 재설정 코드와 같은보다 안전한 재설정 절차를 선택하여 은행 금고에 잠글 수 있습니다 당신은 그들을 필요로합니다.

다른 리셋 절차

관련 : 보안 질문이 안전하지 않은 경우 : 계정을 보호하는 방법

전화 번호뿐이 아닙니다. 코드를 분실하고 로그인해야한다고 주장하는 경우 많은 서비스에서 다른 방법으로이 2 단계 인증을 제거 할 수 있습니다. 계정에 대한 개인 정보가 충분하면 로그인 할 수 있습니다.

직접 시도해보십시오. 서비스를 이용하십시오이중 인증으로 보안을 유지하고 코드를 잃어버린 척합니다. 상황이 어떤지 확인하십시오. 최악의 시나리오에서는 개인 정보를 제공하거나 안전하지 않은 "보안 질문"에 답변해야 할 수도 있습니다. 서비스 구성 방법에 따라 다릅니다. 다른 이메일 계정으로 연결되는 링크를 이메일로 보내 재설정 할 수 있습니다.이 경우 해당 이메일 계정이 약한 링크가 될 수 있습니다. 이상적인 상황에서 전화 번호 또는 복구 코드에 액세스해야 할 수도 있습니다. 앞에서 본 것처럼 전화 번호 부분은 약한 링크입니다.

여기 또 다른 무서운 것이 있습니다. 2 단계 인증을 우회하는 것이 아닙니다. 공격자는 암호를 완전히 우회하기 위해 유사한 트릭을 시도 할 수 있습니다. 온라인 서비스는 사람들이 비밀번호를 잊어 버린 경우에도 자신의 계정에 다시 액세스 할 수 있기를 원하기 때문에 가능합니다.

예를 들어 Google 계정을 살펴보세요복구 시스템. 계정 복구를위한 마지막 도랑 옵션입니다. 비밀번호를 모른다고 주장하면 결국 비밀번호를 만들 때와 자주 이메일을 보내는 사람과 같은 계정에 대한 정보를 묻는 메시지가 표시됩니다. 자신에 대해 충분히 알고있는 공격자는 이론적으로 이러한 암호 재설정 절차를 사용하여 계정에 액세스 할 수 있습니다.

Google 계정 복구에 대해 들어 본 적이 없습니다프로세스가 악용되지만 Google과 같은 도구를 보유한 유일한 회사는 아닙니다. 특히 공격자가 자신에 대해 충분히 알고있는 경우 모두를 완전히 바보로 만들 수는 없습니다.

문제가 무엇이든, 2 단계 계정확인 설정은 2 단계 인증없이 항상 동일한 계정보다 안전합니다. 그러나 가장 취약한 링크 인 전화 회사를 악용하는 공격에서 볼 수 있듯이 이중 인증은 그다지 중요하지 않습니다.

페이스북 2단계 인증 시 나타나는 코드 생성기, 그리고 페이스북 앱 인증 코드 사용 방법

페이스북에서 로그인을 할 때 2단계 인증 사용 설정을 했다면

새로운 기기나 새로운 브라우저에서 로그인을 할 때

휴대폰으로 전송된 문자가 아니라

'코드 생성기 또는 타사 앱의 6자리 코드'를 입력해 로그인을 할 수도 있습니다.

페이스북 코드 생성기는 2단계 인증을 사용하는 Facebook 앱을 위한 보안 기능으로, SMS 문자 메시지 또는 인터넷 연결에 액세스할 수 없더라도 모바일 기기에서 사용할 수 있으며, 비밀번호 재설정에서도 사용할 수 있습니다.

1. 페이스북 코드 생성기 설정

코드 생성기 설정은 현재 컴퓨터에서만 가능한데

코드 생성기를 설정하려면

페이스북 홈페이지에 로그인을 한 상태에서

▼ 아이콘을 클릭하고

아래에 나타난 [설정] 메뉴를 선택합니다.

그리고 설정의 [보안 및 로그인] 메뉴로 들어가서

2단계 인증 항목의 '2단계 인증 사용' 오른쪽에 있는 [수정]을 클릭하고

페이스북 비밀번호를 입력한 후 [계속]을 클릭합니다.

2단계 인증 설정 화면에서

인증 앱 오른쪽에 있는 [새 앱 추가]를 클릭하면

타사 인증 도구를 통한 인증 앱 설정도 할 수 있습니다.

2. 페이스북 앱 코드 생성기 사용

페이스북 앱에서 코드 생성기를 사용하려면

페이스북 앱을 실행하고 로그인을 한 상태에서

화면 오른쪽 상단에 있는 三 아이콘을 터치합니다.

그리고 [설정과 공개 범위] 메뉴를 터치하고

아래에 서브 메뉴가 나타나면

화면을 아래로 내려 [코드 생성기]를 선택합니다.

코드 생성기 활성화 화면에서 [활성화]를 터치하면

이후부터 페이스북 앱을 통해 코드 생성기를 사용할 수 있게 됩니다.

페이스북 코드 생성기는 60초마다 새 보안 코드가 표시되는데, 만약 코드 생성기에 있는 보안 코드를 입력해도 인증이 되지 않을 때는 <내 코드가 작동되지 않습니다.>를 터치한 후 코드 생성기를 다시 활성화하면 됩니다.