Dicono che è per la mia sicurezza e che in qualche modo il mio account è più "sicuro" se collego il mio numero di telefono, ma non capisco perché - hanno già il mio indirizzo e-mail attraverso il quale posso resettare Le password. Inoltre, qual è l'impatto sulla mia privacy se fornisco un numero di telefono a un servizio web? Per cosa possono usarlo?
In altre parole: cosa guadagno e cosa guadagna il fornitore di servizi collegando il mio numero di telefono al mio account?
EDIT: Poiché questa è ancora la risposta accettata, ho apportato una serie di modifiche al testo sottostante per chiarire che, mentre il "perché "è ancora" probabilmente per l'autenticazione a più fattori ", questo metodo non è affidabile.
Un numero di telefono consente un modo semplice per configurare l'autenticazione a due fattori per cose come la reimpostazione della password o altre azioni sensibili. Chiamando l'utente o inviando un messaggio di testo, il servizio può confermare che [l'accesso al] numero [telefono] è una cosa che hai . Un account email è in realtà solo una cosa che conosci , la stessa di una password, perché puoi accedervi senza nient'altro che una password (e l'identificatore - in questo caso, l'indirizzo stesso - ma gli identificatori sono generalmente considerati pubblici). Pertanto, un flusso di reimpostazione della password a due fattori potrebbe essere simile a questo:
Il vantaggio per il fornitore di servizi è che ora è molto meno probabile che debbano spendere tempo per il servizio clienti e una possibile buona volontà da parte dei clienti a camminare tra "Non ricordo la mia password" e "qualcuno ha violato il mio account". Quel genere di cose può rappresentare un significativo spreco di costi e, se il sito contiene qualcosa di sensibile, può portare a danni alla reputazione del sito se non sono abbastanza paranoici.
Sfortunatamente, dirottare i numeri mobili non è così difficile. Anche lasciando da parte gli attacchi tecnici (falsi torrette cellulari o spoofing del telefono o annusando passivamente il traffico radio per intercettare gli SMS inviati), le compagnie telefoniche hanno dimostrato di non essere affidabili quando si tratta di autenticare correttamente le persone prima di emetterle una nuova SIM con il tuo numero. Pertanto, gli SMS o i secondi fattori basati sulle chiamate dovrebbero essere considerati una debole protezione aggiuntiva e sicuramente non essere considerati attendibili per l'autenticazione a fattore singolo.
Per quanto riguarda ciò che il provider può fare con un numero, beh, il caso peggiore sarebbe probabilmente quello di darlo o venderlo ai robocaller, l'equivalente telefonico dello spam. Chiamare un numero di cellulare in questo modo è in realtà illegale negli Stati Uniti (poiché siamo l'unico posto al mondo che il destinatario paga per le chiamate in entrata, tramite credito prepagato o minuti di utilizzo, quindi messaggi commerciali senza un'attività esistente le relazioni sono vietate) ma accadono comunque. Realisticamente, però, è improbabile che uno qualsiasi dei siti più spettacolari possa fare qualcosa del genere (sentiti libero di controllare la loro politica sulla privacy, anche se ovviamente non c'è alcuna garanzia che non sia una bugia).
La seconda cosa peggiore sarebbe usarlo per inviarti chiamate o messaggi non richiesti, ma non penso di averlo mai visto accadere (controlla per "usare le tue informazioni di contatto per marketing o promozioni ... "opzione e assicurati che non sia selezionato).
In teoria, il numero di telefono potrebbe essere utile per identificarti personalmente (tramite un servizio di directory / social network / rubrica telefonica o qualsiasi altra cosa) ed è molto più facile creare indirizzi e-mail eliminabili che numeri telefonici da buttare via. È improbabile, però. Se sei il tipo di persona che usa un nome falso e un indirizzo email monouso quando ti registri per qualcosa, allora inserire il tuo vero numero di telefono lì è ovviamente un rischio. Altrimenti, è probabilmente abbastanza innocuo.
Perché è il modo più semplice per ottenere il secondo fattore (qualcosa che hai) in autenticazione a due fattori . Il modo in cui funziona è stato spiegato abbastanza bene nella risposta di CBHacking. Tuttavia ...
Il problema con i telefoni è che è sorprendentemente facile per gli hacker socializzare attraverso il servizio clienti di una telecomunicazione e portare il tuo numero al loro, quindi utilizzare il telefono per reimpostare la password dell'account.
Non importa quanto tu sia esperto di computer. Le persone nello spazio criptovaluta sono state violate in questo modo:
In the past month, there’ve been at least 10 cases of people publicly involved in the cryptocurrency scene being victimized by mobile phone hijacking. The consequences have been expensive, embarrassing, enduring, and, in at least one case, life-threatening.
La Federal Trade Commission degli Stati Uniti ha presentato un avviso riguardante Il crescente problema del dirottamento dell'account telefonico . La copertura di più laici del dirottamento del numero di telefono è stata recentemente in Forbes , ad esempio.
Se possibile, non indica il tuo numero di telefono e scegli Google Authenticator come metodo 2FA. Per ulteriori dettagli, consulta questa guida eccellente dello scambio di criptovaluta Kraken o su come proteggere i tuoi account online .
Ho un'ipotesi che si tratti di un identificatore (numero di sicurezza non sociale) che le società si venderanno l'un l'altro per tracciare tutto ciò che fai. Finora mi è stato chiesto da: Vanguard, Fidelity, Bank of America, eBay, Amazon, Netflix, Yahoo, Google, LinkedIn. Penso che ce ne siano di più, ma ho dimenticato. Può essere centralizzato perché tutti lo chiedono nello stesso modo, con l'opzione "non ora" (mai un "no, lasciami solo e non chiedere più" opzione). Il lato psicotico di me dice che è gestito dalla NSA come un modo semplice per rintracciarti e tutto ciò che fai (immagina, un singolo codice numerico che rappresenta una presenza online e tutto ciò che fai !, Heaven for snoops del governo). Il lato razionale di me dice che è gestito dagli inserzionisti. Penso che sia per la sicurezza? No. Se si tratta di sicurezza, ipoteticamente è possibile assegnare un numero diverso a ciascuna società (perché deve essere un numero di telefono reale che possono comunque chiamare? O più persone possono utilizzare lo stesso numero condiviso? Oppure è possibile impostare più Skype-in numeri?). Sono una persona naturalmente sospettosa e le mie campane d'allarme stanno impazzendo negli ultimi mesi. Qualcosa non è affatto giusto.
Leggi altre domande sui tag privacy web-application