해킹 방지 텍스트 키로 SMS 인증

스마트 폰에 일회용 코드를 보내고 온라인으로 입력하면 작동하는 웹 사이트 인증 체계 중 하나 일 수 있습니다. 많은 은행에서 사용하는 mTAN (Mobile Transaction Authentication Numbers)이 한 예입니다. Google OTP를 사용하면 동일한 방식으로 Gmail 계정을 보호 할 수 있으며 다양한 다른 서비스 (예: LastPass)도 지원합니다. 불행히도 악의적 인 사람들은 이미 이러한 유형의 인증을 파괴하는 방법을 알고 있습니다. TextKey의 SMS 인증은 인증 프로세스의 모든 단계를 보호하는 새로운 접근 방식입니다.

돌아서

구식 SMS 인증은 해당 일회성 코드를 사용자의 등록 된 휴대폰 번호로 보냅니다. 코드가 멀웨어에 걸리거나 전화 복제본을 사용하여 가로 채지 않았는지 확인할 방법이 없습니다. 다음으로, 사용자는 브라우저에 코드를 입력합니다. PC가 감염되면 트랜잭션이 손상 될 수 있습니다. 실제로 zitmo ("모바일의 Zeus")라는 Zeus 변형은 태그 팀 공격을 수행합니다. PC의 한 구성 요소와 모바일의 한 구성 요소가 자격 증명과 돈을 훔치기 위해 협력합니다.

TextKey는 전체 프로세스를 반대로합니다. 그것은 당신에게 아무것도 문자하지 않습니다. 대신 사용자 이름과 비밀번호를 입력하면 PIN이 표시되고 해당 PIN을 지정된 짧은 코드로 문자 메시지를 표시하도록 요청합니다. 셀룰러 통신 사업자는 하나의 전화 번호가 정확히 하나의 장치와 일치하는지 확인하기 위해 열심히 노력하므로 TextKey 서버가 메시지를 전혀 수신하지 못하면 통신 사업자가 이미 전화 번호와 전화의 UDID를 확인했음을 의미합니다. 바로 TextKey에 두 가지 추가 인증 요소가 무료로 제공됩니다!

PIN은 매번 다르며 몇 분 동안 만 유효합니다. 짧은 코드도 다릅니다. 인증을 위해 TextKey를 사용하는 웹 사이트는 선택적으로 각 사용자가 일회용 PIN의 시작 또는 끝에 추가해야하는 개인 PIN을 생성하도록 요구할 수 있습니다.

동료가 PIN과 짧은 코드로 화면을 어깨 서핑하거나 악의적 인 프로그램이 문자 메시지 활동을 소유자에게보고하면 어떻게됩니까? TextKey 시스템이 잘못된 전화 번호에서 올바른 PIN을 받으면 인증을 거부하지 않습니다. 또한 전화 번호를 사기로 기록하므로 사이트 소유자가 적절한 조치를 취할 수 있습니다.

이 링크를 클릭하면 TextKey를 사용해 볼 수 있습니다. 데모 목적으로 전화 번호를 입력합니다. 실제 상황에서이 숫자는 사용자 프로필의 일부입니다. 본인이 아닌 다른 번호를 입력하여 사기 경보를 트리거 할 수 있습니다.

어떻게 얻습니까

아아, TextKey는 소비자로 구현할 수있는 것이 아닙니다. 은행 또는 기타 보안 사이트에서 구현 한 경우에만 사용할 수 있습니다. 소규모 기업은 사용자 수에 따라 매월 사용자 당 $ 5에서 $ 0.50까지 지불하는 서비스 별 보안 기준으로 TextKey 인증을 계약 할 수 있습니다. 로그인 횟수에 관계없이 월정액입니다. 자체 TextKey 서버를 호스팅하는 대규모 작업은 설치 요금과 월별 요금을 지불합니다.

이 체계는 100 % 깨지지 않을 수 있지만 구식 SMS 인증보다 훨씬 어렵습니다. 그것은 두 가지 요소를 넘어선 다. TextPower는 "Omni-Factor"라고 부릅니다. 비밀번호를 알고, 올바른 UDID로 전화를 보유하고, 표시된 PIN을 입력하고, 선택적으로 개인 PIN을 추가하고, 등록 된 전화 번호에서 텍스트를 보내고, 임의 단축 코드를 대상으로 사용해야합니다. 이것에 직면하여, 평균적인 해커는 아마도 몇 개의 은행 mTAN을 slink하고 깨뜨릴 것입니다.