Video: NEW HACK In PUBG MOBILE 😡 (September 2024)
Du har antagligen stött på ett av webbplatsens autentiseringsscheman som fungerar genom att skicka en engångskod till din smartphone och låta dig ange den online. Ett antal exempel är de mobila transaktionsautentiseringsnumren (mTAN) som används av många banker. Med Google Authenticator kan du skydda ditt Gmail-konto på samma sätt och olika andra tjänster - till exempel LastPass - stöder det också. Tyvärr vet de dåliga killarna redan hur man undergräver denna typ av autentisering. TextKeys SMS-autentisering är ett nytt tillvägagångssätt som skyddar varje steg i autentiseringsprocessen.
Vänd på den
Gammal SMS-autentisering skickar den engångskoden till användarens registrerade mobilnummer. Det finns inget sätt att vara säker på att koden inte fångades av skadlig programvara eller avlyssnats med en klon av telefonen. Därefter skriver användaren koden i webbläsaren. Om datorn är infekterad kan transaktionen äventyras. Faktum är att en Zeus-variant som kallas zitmo (för "Zeus i mobilen") utför en tag-teamattack, med en komponent på datorn och en på mobilen som samarbetar för att stjäla dina referenser och dina pengar.
TextKey vänder hela processen. Det smsar ingenting till dig. Istället visar den en PIN-kod efter att du har angett ditt användarnamn och lösenord och ber dig att SMSa den PIN-koden till en angiven kort kod. Mobiloperatörer arbetar riktigt hårt för att se till att ett telefonnummer matchar exakt en enhet, så om TextKey-servern får meddelandet alls betyder det att operatören redan har validerat telefonnumret och telefonens UDID. Just där får TextKey två extra autentiseringsfaktorer gratis!
PIN-koden är annorlunda varje gång, och den är bara giltig i ett par minuter. Den korta koden varierar också. Och en webbplats som använder TextKey för autentisering kan valfritt kräva att varje användare skapar en personlig PIN-kod som måste läggas till i början eller slutet av engångskoden.
Vad händer om en medarbetare ska surfa skärmen med PIN-koden och kortkoden, eller om ett skadligt program rapporterar din textaktivitet till ägaren? Om TextKey-systemet får rätt PIN-kod från fel telefonnummer avvisar det inte bara autentiseringen. Det loggar också telefonnumret som ett bedrägeri, så webbplatsägaren kan vidta lämpliga åtgärder.
Klicka på den här länken för att prova TextKey. För demonstrationsändamål anger du ditt telefonnummer; i en verklig situation skulle antalet vara en del av din användarprofil. Observera att du kan utlösa bedrägerivararen genom att ange ett annat nummer än ditt eget.
Hur får du det
Tyvärr är TextKey inte något du kan implementera som konsument. Du kan bara använda det om banken eller någon annan säker webbplats har implementerat det. Småföretag kan avtala om TextKey-autentisering på säkerhetsbasis och betala från $ 5 till $ 0, 50 per användare per månad, beroende på antalet användare. Det är en fast månadsavgift för valfritt antal inloggningar. Verksamheter i stor skala som är värd för sina egna TextKey-servrar betalar en installationsavgift samt en avgift per månad.
Detta schema är kanske inte 100 procent oövrakbart, men det är mycket tuffare än SMS-autentisering i gamla skolan. Det går långt utöver tvåfaktorer; TextPower kallar det "Omni-Factor." Du måste känna till lösenordet, ha telefonen med rätt UDID, ange den visade PIN-koden, eventuellt lägga till din personliga PIN-kod, skicka texten från ditt registrerade telefonnummer och använda den slumpmässiga kortkoden som destination. Konfronteras med detta kommer den genomsnittliga hackeren troligen att slinka av och knäcka några bankmTANer istället.
