Thực đơn
trang chủLỗi

Cách bật xác thực kép cho gmail. Cách thiết lập xác thực 2 yếu tố cho Gmail

Hãy nói về tính bảo mật của thư Gmail, cụ thể là về cài đặt truy cập. Nếu bạn không kích hoạt xác thực kép thì thư Gmail của bạn sẽ là thư thông thường nhất có thể bị hack, giống như nhiều hộp thư khác.

Trong bài viết này tôi sẽ hướng dẫn rõ ràng cách liên kết Google mail với điện thoại di động. Riêng vấn đề sử dụng các hệ thống như The Bat!, Outlook, Thunderbird, v.v. sẽ được giải quyết.

Và ai cần sự bảo mật này?

Một câu hỏi hoàn toàn hợp lý mà nhiều người có thể hỏi: tại sao tôi lại cần nó? Ai cần tôi? Chà, nếu bạn sử dụng hộp thư của mình mỗi tháng một lần để trao đổi một vài liên kết với bạn bè, thì vâng, sẽ không cần phải có thêm bệnh trĩ nữa. Nhưng đối với những người có thư liên kết với nhiều tài khoản trên mạng, đặc biệt là tài chính (Webmoney chẳng hạn) thì việc bảo vệ thư của mình đơn giản là một vấn đề thiêng liêng! Nhiều dịch vụ cho phép bạn liên kết số điện thoại di động với tài khoản của mình, nhưng hầu hết vẫn dựa vào địa chỉ email - một trong những điểm nghẽn bảo mật lớn nhất! Ngoài ra, đừng quên chức năng “nhắc nhở” mật khẩu, chức năng này hoạt động thành công trên nhiều trang Internet.

Sau khi giành được quyền truy cập vào hộp thư của bạn, kẻ tấn công sẽ không hiển thị mà sẽ ngồi im lặng và đợi một lá thư “quan trọng” nào đó đến để có thể sử dụng cho mục đích cá nhân. gần như tất cả mật khẩu của bạn... Về cơ bản, nếu bạn quan tâm đến thông tin bạn có thể truy cập, bạn cần thiết lập Google Mail chính xác.

Cài đặt bảo mật Gmail

Để đi tới cài đặt Gmail: nhấp vào bánh răng ở góc trên bên phải và chọn “Cài đặt”

Mặc dù việc sử dụng các chương trình email giúp đơn giản hóa rất nhiều công việc với thư nhưng đó lại là một lỗ hổng bảo mật khác. Đối với những người không sử dụng chúng, chúng tôi sẽ tắt tính năng này. Để thực hiện việc này, hãy chuyển đến tab “Chuyển tiếp và POP/IMAP” và chọn hộp kiểm “Tắt POP” và “tắt IMAP”.

Xác thực kép của Google

Sau khi kích hoạt đăng nhập kép, để có quyền truy cập vào thư của mình, bạn sẽ cần nhập mã được gửi qua SMS tới điện thoại của mình. Như bạn có thể tưởng tượng, điều này làm tăng đáng kể tính bảo mật cho hộp thư của bạn. Chuyển đến tab “Tài khoản và nhập” và nhấp vào “Thay đổi cài đặt khôi phục mật khẩu”

Hoặc đăng nhập từ bất kỳ dịch vụ nào của Google thông qua “Tài khoản của tôi”

Trên trang mới, trong phần “Đăng nhập vào Tài khoản Google”, hãy liên kết số điện thoại di động của bạn.

Tại đây bạn cũng có thể liên kết một hộp thư bổ sung, hộp thư này có thể được sử dụng để khôi phục mật khẩu bị mất. Vì vậy, tôi khuyên bạn không nên ràng buộc bất cứ điều gì, bởi vì... Đây là một lỗ hổng bảo mật khác. Tuy nhiên, bạn có thể liên kết một số điện thoại bổ sung để gửi mã nếu số chính không có.

Nhập cài đặt xác thực hai bước:

Mật khẩu ứng dụng là gì sẽ ở bên dưới. Một cửa sổ sẽ mở ra, nhấp vào “Tiếp tục”. Làm theo hướng dẫn của thuật sĩ:

Ở bước đầu tiên, hãy nhập số điện thoại mà Google sẽ gửi mã xác minh. Nếu điện thoại đã được liên kết thì bạn không cần nhập bất cứ thứ gì - số sẽ có sẵn ở đó. Chọn cách bạn sẽ nhận mã: qua SMS hoặc cuộc gọi điện thoại, tôi khuyên dùng SMS:

Xác nhận bằng mã PIN mà bạn sẽ nhận được trên điện thoại của mình, điều này có nghĩa là số của bạn đang hoạt động.

Nếu bạn bỏ chọn hộp kiểm “Ghi nhớ trên máy tính này” khi nhập mã thì Google sẽ coi đó là “Thiết bị đáng tin cậy”. Bây giờ, khi đăng nhập vào tài khoản của bạn từ máy tính này, bạn sẽ chỉ cần nhập mã xác nhận trong một số trường hợp hiếm hoi.

Bây giờ hãy thử đăng xuất khỏi thư của bạn và đăng nhập lại. Google sẽ yêu cầu gửi mã xác minh tới điện thoại di động của bạn.

Tại đây bạn cũng có thể đánh dấu máy tính của mình là đáng tin cậy. Nhưng hãy nhớ rằng khi kẻ tấn công giành được quyền truy cập vào máy tính của bạn, hắn sẽ có thể đăng nhập vào email của bạn từ máy tính “đáng tin cậy” của chính bạn. Ai cần bảo mật tối đa, hãy lưu ý điểm này.

Nó xảy ra rằng một tin nhắn SMS có mã không đến. Sau đó, bạn có thể yêu cầu một cuộc gọi. Trong trường hợp này, robot Google sẽ gọi và đọc mã xác nhận. Bản thân tôi đã tận dụng cơ hội này vài lần, điện thoại reo ngay, sau đó có tin nhắn SMS.

Cách đăng nhập vào tài khoản của bạn mà không cần SMS

Cài đặt bổ sung cung cấp một số tùy chọn để nhận mã, ngoài SMS và cuộc gọi. Đầu tiên là thông báo Lời nhắc của Google:

Sau khi thiết lập, tất cả những gì bạn phải làm là nhấp vào “Có” trong thông báo của Google trên điện thoại của bạn. Trình hướng dẫn sẽ nhắc bạn thêm thiết bị di động vào tài khoản của mình:

Nếu bạn có Android, thì bạn có thể sử dụng tài khoản Google trên điện thoại của mình, nếu chỉ vì nó cần thiết để Play Market hoạt động. Nếu chưa thì hãy thêm vào. Quá trình thêm tùy thuộc vào model thiết bị, nói chung là ở phần “Cài đặt -> Tài khoản -> Google”.

Cách thứ hai là ứng dụng Google Authenticator

Bạn cần cài đặt ứng dụng Google Authenticator cho thiết bị Android hoặc Apple. Trình hướng dẫn sẽ yêu cầu bạn quét mã QR trong ứng dụng bằng camera điện thoại. Bây giờ, để đăng nhập vào tài khoản của mình, bạn sẽ cần nhập một mã duy nhất do ứng dụng tạo ra. Mã được cập nhật mỗi phút.

Thứ ba, bạn có thể làm mà không cần điện thoại bằng cách sử dụng mã dự phòng. Điều này có thể hữu ích ở nước ngoài hoặc nếu bạn bị mất điện thoại, nhưng bạn sẽ phải đề phòng trước, nếu không thì không còn cách nào khác. Ở đây mọi thứ đều đơn giản, hãy tạo “Mã dự phòng” và in ra đĩa.

Sau đó, bạn có thể nhập từng mã này thay vì nhập mã từ SMS. Chỉ có mười mã dự phòng nên sau khi sử dụng bạn cần tạo mã mới.

Tạo mật khẩu ứng dụng Google

Thực tế là không phải tất cả các chương trình đều có thể yêu cầu mã xác minh, chẳng hạn như ứng dụng email và một số ứng dụng dành cho điện thoại thông minh. Nếu bạn không sử dụng chúng, chỉ cần bỏ qua bước thiết lập này.

Sau khi bật xác thực kép, tất cả các ứng dụng sử dụng tên và mật khẩu tài khoản Google của bạn sẽ không còn hoạt động. Lỗi “Tên người dùng hoặc mật khẩu không hợp lệ” sẽ được hiển thị. Để chúng hoạt động, bạn cần tạo mật khẩu đặc biệt.

Để thực hiện việc này, hãy truy cập “Mật khẩu ứng dụng” như trong ảnh chụp màn hình ở đầu bài viết. Chọn loại ứng dụng và thiết bị:

Trình hướng dẫn sẽ hiển thị cho bạn mật khẩu - hãy lưu nó, vì... Bạn sẽ không tìm thấy nó ở bất kỳ nơi nào khác, mật khẩu ứng dụng được tạo một lần. Sau đó, bạn chỉ có thể hủy nó và tạo một cái mới. Bạn có thể gọi nó là bất cứ điều gì bạn muốn, nó vẫn hoạt động trong bất kỳ ứng dụng nào.

Sau đó chúng ta chỉ việc lấy mật khẩu này dán vào thay cho mật khẩu tài khoản Google là được. Ví dụ: trong Outlook, chúng tôi nhập mật khẩu này thay vì mật khẩu cũ. Vâng, đây sẽ là một lỗ hổng bảo mật, bởi vì... Mật khẩu ứng dụng không được gắn với máy tính. Sau khi sở hữu nó, kẻ tấn công sẽ có thể đọc thư và gửi thư nhưng không thể đăng nhập vào tài khoản Gmail của mình. Tôi đã nói rằng để bảo mật tốt hơn, tốt hơn hết bạn nên tắt khả năng nhận thư qua người gửi thư và khi đó bạn sẽ không phải sử dụng mật khẩu ứng dụng.

Cách tắt chế độ bảo vệ

Để hủy đăng nhập qua SMS, hãy chuyển đến cài đặt xác thực kép, như trong ảnh chụp màn hình ở đầu bài viết và nhấp vào “Tắt”

Để tắt hoàn toàn tính năng liên kết với điện thoại, bạn cần vào “Số điện thoại” ở đó và xóa nó. Trên trang cài đặt tài khoản

kết luận

Trong bài viết này, chúng tôi đã tìm ra những việc cần phải làm để làm cho thư trở nên an toàn hơn:

  • Đảm bảo liên kết Gmail với điện thoại của bạn và bật xác thực kép
  • Để bảo mật tốt hơn, hãy tắt khả năng sử dụng ứng dụng email
  • Nếu bạn không chắc chắn về tính bảo mật của máy tính thì đừng đánh dấu nó là “đáng tin cậy”
  • Nếu bạn gặp khó khăn khi sử dụng giao tiếp GSM, hãy sử dụng Google Authenticator

Và tất nhiên, đừng quên những mật khẩu phức tạp. Mật khẩu thông thường phải dài ít nhất tám ký tự, bao gồm chữ hoa và chữ thường, số và dấu chấm câu.

Bạn có thể thay đổi mật khẩu của mình trên trang “Tài khoản của tôi”.

Trong video này tôi đã trình chiếu trực tiếp toàn bộ quá trình

Đó là tất cả, hãy cẩn thận!

Xác thực hai bước tăng cường bảo mật tài khoản. Nếu được bật, hai thành phần sẽ được sử dụng để đăng nhập:

  • Điều gì đó mà chỉ bạn biết (ví dụ: mật khẩu).
  • Thứ gì đó mà chỉ bạn mới có (ví dụ: điện thoại hoặc chìa khóa điện tử).

Bước 1: Thiết lập xác minh hai bước

  1. Mở trang Tài khoản Google.
  2. Sự an toàn.
  3. Trong chuong Đăng nhập vào tài khoản Google của bạn nhấp chuột Xác minh hai bước.
  4. Lựa chọn Bắt đầu.
  5. Làm theo hướng dẫn trên màn hình.

Chọn bước xác thực thứ hai

Khi thiết lập giai đoạn xác thực thứ hai, bạn có thể chọn một trong một số phương thức xác nhận: thông báo tới điện thoại, SMS, cuộc gọi thoại hoặc khóa điện tử.

Sau khi bạn cung cấp tên người dùng và mật khẩu trên trang đăng nhập, Google sẽ gửi mã xác minh gồm 6 chữ số đến điện thoại của bạn. Nhập nó vào trường thích hợp trên màn hình. Bạn có thể chọn cách nhận mã thuận tiện hơn cho mình: qua SMS hoặc cuộc gọi thoại.

Chìa khóa điện tử

là một thiết bị nhỏ mà bạn có thể xác nhận rằng tài khoản Google của bạn thuộc về bạn. Nếu cần, chỉ cần kết nối nó với điện thoại, máy tính bảng hoặc máy tính của bạn.

Khóa điện tử cung cấp bảo mật bổ sung và cho phép bạn đăng nhập mà không cần điện thoại.

Thông báo từ Google

Khi bạn đăng nhập vào tài khoản, một thông báo sẽ được gửi đến điện thoại của bạn. Xác nhận rằng đó là bạn bằng cách chọn "Có". Nếu bạn nhấp vào "Không", Google sẽ hiểu rằng ai đó đang cố đăng nhập vào tài khoản của bạn và sẽ ngăn những kẻ tấn công hack tài khoản đó.

– một cách an toàn và nhanh hơn để đăng nhập vào tài khoản của bạn hơn là sử dụng mã xác minh.

Bước 2: Thiết lập phương thức sao lưu

Thiết lập các phương thức dự phòng để đăng nhập vào tài khoản trong trường hợp bạn quên mật khẩu hoặc mất điện thoại. Để làm điều này, hãy làm theo các bước sau:

  1. Mở trang Tài khoản Google.
  2. Từ thanh điều hướng bên trái, chọn Sự an toàn.
  3. Trong chuong Đăng nhập vào tài khoản Google của bạn Nhấp vào "Xác minh hai bước".
  4. Lựa chọn Bắt đầu.
  5. Nhấp chuột Chọn phương pháp khác.
  6. Chọn tùy chọn thích hợp, ví dụ:

Bước 3: Thay đổi thông tin khôi phục tài khoản của bạn

Sử dụng địa chỉ email và số điện thoại dự phòng sẽ giúp bạn lấy lại quyền truy cập vào tài khoản của mình nếu tài khoản bị hack hoặc bạn quên mật khẩu.

Cách thêm hoặc thay đổi địa chỉ email khôi phục

  1. Mở trang Tài khoản Google.
  2. Dữ liệu cá nhân.
  3. Trong chuong Thông tin liên lạc lựa chọn E-mail.
  4. Cung cấp hoặc cập nhật địa chỉ email khôi phục của bạn.

Cách thêm hoặc thay đổi số điện thoại dự phòng

  1. Mở trang Tài khoản Google.
  2. Trên thanh điều hướng bên trái, hãy nhấp vào Dữ liệu cá nhân.
  3. Trong chuong Thông tin liên lạc lựa chọn Điện thoại.
  4. Cung cấp hoặc cập nhật số điện thoại dự phòng của bạn.

Không còn nghi ngờ gì nữa, xác thực hai yếu tố để xác minh tính bảo mật khi truy cập vào tài khoản của bạn là một điều cần thiết, nhưng bạn thấy đấy, việc liên tục nhập mã xác minh nhiều lần trong ngày để truy cập thư của bạn là rất không thực tế. Chỉ vài tháng trước, Google đã đơn giản hóa quy trình này và trong bài viết này, chúng tôi sẽ cho bạn biết cách bảo vệ tài khoản của mình bằng cách sử dụng điện thoại thông minh làm thiết bị ủy quyền kết hợp với xác thực hai yếu tố.

Xác thực hai yếu tố là gì?

Đầu tiên, chúng ta hãy hiểu khái niệm xác thực hai yếu tố. Trong hầu hết các trường hợp, chúng tôi sử dụng thông tin đăng nhập và mật khẩu để truy cập vào tài khoản của mình. Quy trình đơn giản như vậy có một nhược điểm đáng kể - dữ liệu này có thể bị bên thứ ba đánh cắp và sử dụng. Xác thực hai yếu tố liên quan đến việc truy cập tài khoản cá nhân theo hai bước. Giai đoạn xác thực đầu tiên là thông tin đăng nhập và mật khẩu, giai đoạn thứ hai là xác nhận chủ tài khoản bằng mã kỹ thuật số (SMS, email), tin nhắn thoại hoặc một thiết bị đặc biệt. Ngày nay đây là phương thức ủy quyền tối ưu nhất xét theo quan điểm bảo mật. Xác thực hai yếu tố từ lâu đã được Google, Apple, Microsoft, mạng xã hội VKontakte, Twitter, Facebook và nhiều dịch vụ phổ biến khác cung cấp cho người dùng.

Điện thoại thông minh thay vì mã

Để sử dụng điện thoại thông minh của bạn làm thiết bị ủy quyền, điều đầu tiên bạn cần làm là kích hoạt xác thực hai yếu tố cho tài khoản Google của mình. Việc này có thể được thực hiện thông qua giao diện web hoặc trực tiếp trong cài đặt tài khoản trên thiết bị di động của bạn.

Cách 1. Thông qua giao diện web
Cách 2: Trên thiết bị di động
Bây giờ bạn đã bật xác thực hai yếu tố, tài khoản của bạn sẽ được truy cập theo hai bước. Là phương thức đăng nhập dự phòng cho giai đoạn xác thực thứ hai, Google cung cấp một số tùy chọn. Trong trường hợp của chúng tôi, yếu tố thứ hai, thay vì tin nhắn SMS có mã, là điện thoại thông minh. Để thực hiện việc này, hãy tìm tùy chọn Google Nhắc và thêm điện thoại thông minh của bạn vào đó.


Điều cần lưu ý là quy trình này yêu cầu thiết bị có khóa màn hình đang hoạt động. Ngoài ra, người dùng thiết bị iOS sẽ cần cài đặt ứng dụng Google từ App Store.

Làm thế nào nó hoạt động

Sau khi đã thêm điện thoại thông minh của mình, bạn có thể thử đăng nhập vào tài khoản Google của mình thông qua trình duyệt trên PC. Sau khi nhập tên người dùng và mật khẩu, bạn sẽ thấy một cửa sổ có hướng dẫn về những hành động bạn cần thực hiện trên điện thoại thông minh của mình để đăng nhập. Đồng thời, hệ thống sẽ gửi yêu cầu đăng nhập vào điện thoại của bạn. Trên điện thoại thông minh của bạn, bạn chỉ cần xác nhận những hành động này và bạn sẽ tự động đăng nhập vào Google trên máy tính của mình.

Sử dụng điện thoại thông minh làm thiết bị xác nhận ủy quyền rất tiện lợi. Nhưng hãy nhớ rằng phương pháp này chỉ hoạt động khi có kết nối Internet đang hoạt động. Nếu không, bạn luôn có thể chọn tùy chọn đăng nhập thay thế, chẳng hạn như sử dụng mã xác nhận từ tin nhắn SMS.

Trước đây chúng tôi đã viết về - đây là lớp bảo mật bổ sung giúp bảo vệ thông tin của bạn trên các trang web bạn thường sử dụng.

Nếu bạn muốn bắt đầu với 2FA nhưng không biết cách thực hiện thì đây là một phần trong loạt bài sẽ hướng dẫn bạn cách thiết lập dịch vụ này từ các trang web và dịch vụ phổ biến.

Hôm nay chúng ta cùng cài đặt 2FA cho Gmail nhé. Nó sẽ chỉ mất một vài phút. Tất cả những gì bạn cần là máy tính để bàn và điện thoại di động.

Dưới đây là các bước:

1. Đăng nhập vào tài khoản Gmail của bạn trên máy tính để bàn (không phải điện thoại) - nhưng hãy luôn giữ điện thoại di động bên mình, bạn sẽ cần thực hiện việc này trong một vài bước.

2. Sau khi bạn đăng nhập, hãy nhấp vào biểu tượng hình tròn có biểu tượng Tài khoản Google (hoặc email thay mặt bạn) - biểu tượng này ở góc trên cùng bên phải của màn hình. Sau đó nhấp vào nút "Tài khoản của tôi".

3. Bây giờ bạn đang ở trong khu vực Tài khoản Google của tôi. Ở phía bên trái, trong phần "Đăng nhập và bảo mật", hãy nhấp vào "Đăng nhập vào Google".

4. Trên trang "đã đăng nhập vào Google" này, bạn sẽ thấy tùy chọn "Xác minh 2 bước" - hiện tại có nội dung là "tắt" - nhấp chuột trái để bắt đầu quá trình bật tính năng này.

5. Nhấp vào nút "Bắt đầu" trên màn hình giới thiệu nhỏ nhưng tiện lợi này.

6. Google sẽ nhắc bạn nhập lại mật khẩu của mình.

7. Trên màn hình này, bạn cần nhập số điện thoại của mình, tốt nhất là số điện thoại di động mà bạn thường có trong tay. (Đảm bảo bạn chọn đúng quốc gia nơi điện thoại di động của bạn được đăng ký trong danh sách thả xuống!) Chọn xem bạn thích tin nhắn văn bản hay cuộc gọi điện thoại, sau đó nhấp vào nút "Thử".

8. Tại thời điểm này, bạn sẽ nhận được một cuộc gọi điện thoại hoặc một tin nhắn văn bản – tùy thuộc vào cuộc gọi bạn đã chọn. Nhập mã số bạn được cung cấp và nhấp vào "Tiếp theo".

Bây giờ 9. Google sẽ xác nhận rằng 2FA sẽ hoạt động cho tài khoản của bạn và bây giờ bạn có thể thông báo cho Google rằng bạn muốn bật 2FA cho tài khoản của mình. Đừng quên nhấp vào nút "Bật"!

Và cùng với đó, xác thực hai yếu tố được kích hoạt cho tài khoản Gmail của bạn.

Ngoài ra, bạn sẽ nhận được email tới tài khoản Gmail của mình xác nhận điều này:

Lần tới khi bạn cố gắng đăng nhập vào tài khoản Gmail này, sau khi nhập tên người dùng và mật khẩu, bạn sẽ thấy một màn hình như thế này:

Bạn có thể chọn "Không hỏi trên máy tính này" nếu bạn đang sử dụng máy tính mà bạn tin cậy, giống như máy tính bạn có ở nhà, nhưng điều này phần nào làm mất đi quan điểm phải có 2FA ngay từ đầu.

Nhìn chung, chỉ mất chưa đầy 5 phút để thiết lập 2FA trên tài khoản Gmail của bạn—và đó là điều chúng tôi thực sự khuyên dùng, đặc biệt nếu bạn sử dụng Gmail cho các giao dịch hoặc thanh toán nhạy cảm.

Xác thực hai bước. Một ý tưởng hay, nhưng trên thực tế, nó chỉ đơn giản hóa việc truy cập vào dữ liệu của bạn, bởi vì... bao gồm quá nhiều người tham gia bổ sung, những người cũng có thể có lỗ hổng riêng.

Tôi đã định viết về điều này từ lâu nhưng không hiểu sao chưa thực hiện được. Một ngày nọ, sau khi đã trải nghiệm hết sự hấp dẫn của phương pháp bảo vệ này, tôi quyết định rằng thời điểm đã đến.

Vì vậy, xác thực hai bước ngụ ý bảo vệ bổ sung dữ liệu điện tử của bạn bằng cách liên kết điện thoại di động của bạn và xác nhận thông tin đăng nhập hoặc các giao dịch khác qua SMS.

Tình huống: một người đàn ông bị mất điện thoại. Trong trường hợp của tôi, đây không phải là một chiếc điện thoại mới nhưng được yêu thích, được tặng cho một cô gái. Nửa giờ sau khi “bị mất”, nó đã được hủy liên kết khỏi iCloud thành công. Mật khẩu mở khóa không chuẩn đã được đặt trên điện thoại, TouchID đã được kích hoạt, mật khẩu iCloud tự tin rơi vào loại mật khẩu phức tạp. Điện thoại bị chặn thông qua dịch vụ FindMyIphone.

Trường hợp đầu tiên

Kẻ tấn công tìm ra ID Apple mà điện thoại được kết nối, cũng như số điện thoại. Có nhiều phương pháp cho việc này phù hợp với mọi sở thích, vì vậy hãy bỏ qua điểm này. Giả sử đây là email đã đăng ký với Google.
Hành động một: một người đến địa chỉ người gửi và nhấp vào khôi phục mật khẩu cho địa chỉ hiện có, chọn xác nhận SMS.

Màn hai:Điện thoại được bảo vệ bằng mật khẩu và tính năng hiển thị tin nhắn đến trên màn hình bị tắt. Được rồi, chúng tôi yêu cầu Siri nói tin nhắn cuối cùng và mặc dù thiết bị bị khóa nhưng chúng tôi vẫn nhận được mã.

Lựa chọn thay thế: sau khi gửi SMS, chọn cuộc gọi và bình tĩnh nhận cuộc gọi trên thiết bị bị khóa. Chúng tôi nhận được mã bằng cách nói nó với IVR.

Màn ba: Chúng tôi nhập mã đặt lại mật khẩu vào biểu mẫu gửi thư, nhập mật khẩu mới và giành quyền kiểm soát tài khoản.

Màn bốn: truy cập appleid.com, yêu cầu đặt lại và nhận mã này trên email đã được ghi lại.

Màn thứ năm: Chúng tôi hủy liên kết thiết bị khỏi tài khoản, sau khi hoàn thành các thao tác rất đơn giản để thay đổi câu hỏi bảo mật.


Một bức màn.

Điều đáng chú ý là quy trình khôi phục quyền truy cập vào tài khoản Apple có thể khác nhau và trong một số trường hợp ngụ ý một phương pháp dễ dàng hơn - chọn hình thức khôi phục quyền truy cập vào tài khoản “điện thoại” và nhận mã để nhập mật khẩu trực tiếp trên Apple trang web nhận dạng. Phương pháp này hoạt động nếu thiết bị đã được gán cho một tài khoản một thời gian và được bảo vệ bằng mật khẩu hoặc TouchID. Chúng ta đừng tập trung vào điều này.

Trường hợp thứ hai

Giả sử rằng kẻ tấn công cần có quyền truy cập vào dữ liệu, nhưng không có điện thoại nào được kết nối xác nhận qua số truy cập. Hơn nữa, không giống như trường hợp đầu tiên, kẻ tấn công ban đầu biết “ai” mà anh ta đang cố hack. Mục tiêu là thư.

Tôi sẽ không cam kết nói về các quốc gia khác, nhưng ở Ukraine, các nhà khai thác di động có quy trình bằng cách làm theo và trả lời một số câu hỏi nhất định từ nhà điều hành trung tâm cuộc gọi, bạn có thể yêu cầu đặt lại mật khẩu tài khoản cá nhân của mình.

Hành động một: Kẻ tấn công gọi đến CC của nhà điều hành khi nạn nhân đang ngủ, từ bất kỳ điện thoại nào, nói rằng anh ta cần có quyền truy cập vào tài khoản cá nhân của mình, nhưng không có cách nào để gọi lại từ điện thoại mà tài khoản này được liên kết. Tiếp theo là một loạt câu hỏi, câu trả lời có thể dễ dàng có được trước. Tôi sẽ không tập trung vào điểm này, nhưng với khoảng năm lần thử, không thu hút sự chú ý và sử dụng các số điện thoại khác nhau để gọi thử tới CC, bạn có thể thu thập danh sách tất cả các câu hỏi cần thiết, giống nhau để lấy thông tin về chi phí của thuê bao và khôi phục thẻ SIM của thuê bao trả trước, các hình thức liên lạc và khôi phục quyền truy cập vào tài khoản cá nhân của bạn.

Màn hai: kẻ tấn công có quyền truy cập vào tài khoản của nạn nhân, nơi hắn đặt tất cả các cuộc gọi sẽ được chuyển tiếp đến số điện thoại của mình. Hoặc chuyển tiếp SMS, nếu tài khoản cho phép về mặt kỹ thuật.

Màn ba: gmail yêu cầu reset mật khẩu qua số điện thoại. Sau khi gửi SMS, bạn có thể cho biết rằng nó chưa được nhận và yêu cầu cuộc gọi, kiểm tra, nút gọi xuất hiện 60 giây sau khi gửi SMS.

Màn bốn: Sau khi nhận được mã đặt lại mật khẩu cho gmail thông qua IVR của người gửi thư, kẻ tấn công sẽ có quyền truy cập vào thư của nạn nhân và theo đó, vào hầu hết các tài khoản được chỉ định cho thư này.


Ở trên, tôi đã chỉ ra rằng những hành động như vậy thường được thực hiện vào ban đêm. Kỳ vọng là khi nhận được tin nhắn SMS có mã, nạn nhân sẽ không nhìn thấy vì sẽ ngủ. Nếu tài khoản cá nhân của nhà điều hành di động của nạn nhân bị hack hỗ trợ chức năng thiết lập chuyển tiếp tin nhắn SMS thì thời gian trong ngày sẽ không còn đóng vai trò gì.

Trường hợp thứ ba

Trường hợp này có thể được áp dụng khi nạn nhân bị hack đại diện cho một lợi ích tài chính hoặc cá nhân nhất định nằm ngoài việc “đọc thư trên mạng xã hội”. mạng" hoặc mở khóa điện thoại bị đánh cắp. Trường hợp thứ ba giống hệt trường hợp thứ hai, nhưng liên quan đến chi phí tài chính lớn.

Không khó để tìm được một người xin việc tại trung tâm cuộc gọi của nhà mạng viễn thông mà họ quan tâm, tại đây, ngay từ những ngày đầu tiên thực tập, nhân viên này sẽ được cấp mật khẩu cá nhân của hệ thống dịch vụ thuê bao, bao gồm cả mật khẩu chức năng xem chi tiết cuộc gọi (có thể có hoặc không có chữ số cuối), cũng như bảng điều khiển cho các dịch vụ người dùng, bao gồm cả chuyển hướng, mà tôi đã viết trong trường hợp trên. Có thể mật khẩu cá nhân sẽ được cung cấp sau; trong trường hợp này, việc đào tạo nhân viên mới được thực hiện bằng cách sử dụng thông tin đăng nhập/mật khẩu của một nhân viên CC đã có kinh nghiệm, người rất có thể đã có quyền truy cập vào tất cả các chức năng cần thiết. Trường hợp này chỉ đắt tiền nếu không có gì có thể so sánh được và tất nhiên, nó phụ thuộc hoàn toàn vào mục tiêu.

Sử dụng các trường hợp cơ bản nhất định hoặc các biến thể của chúng, không có ý nghĩa gì khi tìm hiểu kỹ, bạn có thể dễ dàng truy cập vào các dịch vụ và tài khoản khác nhau. Thật không may, các biện pháp bảo mật hoạt động tốt, khi kết hợp lại, đôi khi chỉ có thể phản tác dụng bằng cách tăng nguy cơ bị hack.

Phương pháp bảo vệ: Không sử dụng xác thực hai yếu tố trong bất kỳ dịch vụ quan trọng nào. Nếu có thể, hãy tránh thêm số điện thoại bạn sử dụng vào bất kỳ dịch vụ Internet nào, ngay cả khi số đó cuối cùng bị ẩn bởi cài đặt quyền riêng tư. Nó có thể bị ẩn khỏi hiển thị nhưng có được thông qua các công cụ tìm kiếm hoặc công cụ khôi phục mật khẩu cho cùng các dịch vụ này.

Một số nhà khai thác viễn thông có các quy trình khác để phục vụ thuê bao, ở mức độ này hay mức độ khác sẽ tăng cường bảo mật người dùng, nhưng trong mọi trường hợp, câu hỏi duy nhất là mức độ thú vị của bạn đối với người sẽ làm việc để có quyền truy cập vào dữ liệu cá nhân của bạn. Ngoài ra, tôi đã cố gắng mô tả một cách hời hợt các vectơ tấn công có thể xảy ra và đã được chứng minh, nhưng điều này không có nghĩa là tôi đã mô tả tất cả chúng, cũng như không có nghĩa là khi phòng thủ trước một số vectơ, chúng ta sẽ không bị lộ bởi những vectơ khác.

Cuối bài tôi xin nói thêm rằng tôi không phải là chuyên gia về vấn đề an toàn thông tin, tôi không liên quan gì đến nghề nghiệp mà chỉ là sở thích cá nhân.

Đây là ấn phẩm đầu tiên của tôi. Đừng phán xét một cách khắt khe, có thể đối với một số người tôi đã mô tả những điều hiển nhiên, nhưng có thể đối với người khác, thông tin này sẽ hữu ích và ít nhất sẽ giảm nhẹ nguy cơ mất hoặc xâm phạm thông tin cá nhân của bạn.