예, PayPal의 보안 코드 로그인을 우회 할 수 있습니다.
- 범주: 보안
내가 발견했을 때 내 PayPal로 무단 결제 계정을 2008 년에 즉시 주문했습니다 VeriSign ID 보호 장치 사이트의 로그인 프로세스에 두 번째 보호 계층을 추가합니다. 기본적으로 이메일 주소와 비밀번호로 PayPal에 로그인하는 대신 기기에서 생성 한 보안 코드를 입력하라는 메시지가 표시됩니다. 장치에서 생성 된 코드는 최대 30 초 동안 유효하며 그 후에는 자동으로 무효화됩니다.
이론적으로는 PayPal에 로그인하는 동안 키로거, 트로이 목마 및 어깨 너머로보고있는 누군가로부터 계정을 보호하기에 충분합니다. 여기서 해결해야 할 두 가지 문제가 있습니다. 첫째, 보호 장치에 액세스 할 수 없게되면 어떻게됩니까? 그렇다면 PayPal에 어떻게 로그인 할 수 있습니까? 둘째, 비밀번호를 잊어 버리면 어떻게됩니까?
에 대한 새로운 기사 네이 키드 보안 -그나저나 훌륭한 블로그-시스템의 잠재적 인 결함을 강조합니다. PayPal 비밀번호를 잊어 버린 경우 가입시 선택한 2 개의 보조 비밀번호를 입력하여 계정을 복구 할 수 있습니다. 이 두 암호의 도움으로 PayPal 계정에 로그인하여 보안 토큰을 먼저 제공하지 않고도 일반적으로 할 수있는 모든 작업을 수행 할 수 있습니다.
로그인하려면 두 개의 비밀번호를 입력해야하므로이 문제는 실제로 문제가되지 않는다고 말할 수 있습니다.하지만 여기서 문제는 PayPal에 로그인하기 위해 두 개의 비밀번호를 입력하면 공격자가 키로거를 사용하여 제공된다는 것입니다. 전체 계정에 액세스하는 데 필요한 모든 정보와 함께.
PayPal은 먼저 계정 이메일 주소를 요청하고 PayPal에서 사용하는 이메일을 잊어 버린 경우 잠재적 후보를 입력하여 복구 할 수있는 옵션을 제공합니다. 해당 이메일에서 복구 페이지로 이동하는 링크를 받게됩니다. 계정 설정에 따라 여기에 여러 옵션이있을 수 있습니다. 예를 들어 계정과 관련된 신용 카드 번호를 입력하거나 보안 질문에 답할 수있는 옵션이 있습니다.
이러한 보안 질문은 일반적인 '어머니의 출생 이름, 어린 시절 친구 또는 출생 한 병원'질문으로 구성됩니다. 적극 권장됩니다. 질문에 올바르게 답하지 않기 설정하는 동안 계정 액세스 권한을 얻기 위해 해당 답변을 추측하거나 소셜 엔지니어링 할 수 있습니다.
이 프로세스는 보호 장치를 완전히 우회하므로 왜 발생하는지 명확하지 않습니다. 암호 만 잊어 버린 경우에도 여전히 장치에 액세스 할 수 있어야 로그인 프로세스의 일부로 코드를 생성 할 수 있습니다.
긴 시간의 확인 절차를 전화로 거치거나 PayPal에 문서를 보내 신원을 확인하지 않고도 비밀번호를 복구하는 옵션은 확실히 편리하지만 보안이 그보다 더 중요해야합니다.
결과에 대해 어떻게 생각하십니까?