Domača » kako » Zakaj ne bi smeli uporabljati SMS za avtentikacijo z dvema faktorjema (in kaj uporabiti namesto)

    Zakaj ne bi smeli uporabljati SMS za avtentikacijo z dvema faktorjema (in kaj uporabiti namesto)

    Varnostni strokovnjaki priporočajo uporabo dvostopenjskega preverjanja pristnosti za zavarovanje vaših spletnih računov, kjer je to mogoče. Mnoge storitve privzamejo preverjanje s storitvijo SMS, pošiljanje kod v besedilnem sporočilu v telefon, ko se skušate prijaviti. SMS sporočila pa imajo veliko varnostnih težav in so najmanj varna možnost za preverjanje pristnosti v dveh faktorjih..

    Prvi stvari prvič: SMS je še vedno boljši od nobene dveh faktorja Authentication na vseh!

    Medtem, ko bomo tukaj poslali primer proti SMS-u, je pomembno, da najprej pojasnimo eno stvar: uporaba sporočil SMS je boljša kot neuporaba dvofaktorske avtentikacije..

    Če ne uporabljate preverjanja pristnosti v dveh faktorjih, potrebujete nekoga samo vaše geslo za prijavo v svoj račun. Ko uporabljate preverjanje pristnosti z dvema faktorjema s sporočilom SMS, bo moral nekdo pridobiti vaše geslo in pridobiti dostop do vaših besedilnih sporočil, da bo imel dostop do vašega računa. SMS je veliko varnejši kot nič.

    Če je SMS edina možnost, uporabite SMS. Če pa želite izvedeti, zakaj varnostni strokovnjaki priporočajo izogibanje sporočilom SMS in namesto tega priporočamo, jih preberite.

    SIM zamenjave Omogočite napadalcem, da ukradejo vašo telefonsko številko

    Preverjanje storitve SMS deluje tako: Ko se poskusite prijaviti, storitev pošlje besedilno sporočilo na številko mobilnega telefona, ki ste jo prej posredovali. To kodo dobite v telefonu in jo vnesete, da se prijavite. Ta koda je dobra le za enkratno uporabo.

    Zveni razumno varno. Konec koncev imate samo svojo telefonsko številko in nekdo mora imeti vaš telefon, da bi videl kodno desno stran? Žal ne.

    Če nekdo pozna vašo telefonsko številko in lahko dostopa do osebnih podatkov, kot so zadnje štiri številke vaše številke socialnega zavarovanja, je to na žalost mogoče najti po zaslugi številnih korporacij in vladnih agencij, ki so razkrile podatke o strankah. in premaknite telefonsko številko na nov telefon. To je znano kot »zamenjava SIM« in je isti postopek, ki ga izvajate, ko kupite novo napravo in premaknete svojo telefonsko številko. Oseba pravi, da ste vi, daje osebne podatke, in vaše podjetje mobilni telefon ustanovi svoj telefon z vašo telefonsko številko. Kode SMS sporočil bodo poslane na vašo telefonsko številko na svojem telefonu.

    Videli smo poročila o tem, da se to dogaja v Združenem kraljestvu, kjer so napadalci ukradli žrtev telefonsko številko in jo uporabili za dostop do bančnega računa žrtve. Država New York je prav tako opozorila na to prevaro.

    V svojem jedru je to napad na socialni inženiring, ki se opira na prevare vašega podjetja mobilnega telefona. Toda vaš mobilni telefon družba ne bi smela zagotoviti nekdo z dostopom do vaše varnostne kode na prvem mestu!

    SMS sporočila se lahko prestrežejo v mnogih načinih

    Možno je tudi brskanje po SMS sporočilih. Politični disidenti in novinarji v represivnih državah bodo želeli biti previdni, saj bi lahko vlada preklicala sporočila SMS, ki jih pošiljajo prek telefonskega omrežja. To se je že zgodilo v Iranu, kjer so iranski hekerji domnevno ogrozili številne račune telegramov, tako da so prestregli sporočila SMS, ki so omogočila dostop do teh računov..

    Napadalci so prav tako zlorabljali težave v sistemu SS7, ki se uporablja za gostovanje, za prestrezanje sporočil SMS v omrežju in njihovo usmerjanje drugam. Obstaja veliko drugih načinov, na katere je mogoče prestrezati sporočila, vključno z uporabo lažnih stolpov za mobilni telefon. Sporočila SMS niso bila oblikovana za varnost in se jih ne sme uporabljati.

    Z drugimi besedami, prefinjen napadalec z malo osebnih podatkov bi lahko ukradel vašo telefonsko številko, da bi pridobil dostop do vaših spletnih računov in nato uporabil te račune, da bi na primer poskusil izprazniti svoje bančne račune. Zato Nacionalni inštitut za standarde in tehnologijo ne priporoča več uporabe sporočil SMS za preverjanje pristnosti v dveh faktorjih.

    Alternativa: Ustvarite kode na vaši napravi

    Dvofaktorska shema za preverjanje pristnosti, ki se ne zanaša na SMS, je boljša, ker podjetje za mobilni telefon ne bo moglo dati nekomu drugega dostopa do vaših kod. Najbolj priljubljena možnost za to je aplikacija, kot je Google Authenticator. Vendar pa priporočamo Authy, saj izvaja vse, kar opravi Google Authenticator, in še več.

    Aplikacije, kot je ta, ustvarjajo kode v vaši napravi. Tudi če napadalec prevaril vaše podjetje mobilnega telefona v premikanje telefonske številke na telefon, ne bi mogli dobiti vaših varnostnih kod. Podatki, potrebni za ustvarjanje teh kod, ostanejo varno na vašem telefonu.

     

    Ni vam treba uporabiti kod. Storitve, kot so Twitter, Google in Microsoft, preizkušajo preverjanje pristnosti z dvema faktorjema, ki omogoča prijavo v drugo napravo z avtorizacijo prijave v aplikaciji v telefonu.

    Obstajajo tudi fizični žetoni strojne opreme, ki jih lahko uporabite. Velika podjetja, kot sta Google in Dropbox, so že uvedla nov standard za žetone za preverjanje pristnosti z dvema faktorjema, imenovanima U2F. Vsi so bolj varni kot se zanašajo na vaše podjetje mobilnega telefona in zastarelo telefonsko omrežje.

    Če je mogoče, se izogibajte sporočilom SMS za preverjanje pristnosti z dvema faktorjema. To je bolje kot nič in se zdi priročno, vendar je običajno najmanj varna dvofaktorska avtentikacijska shema, ki jo lahko izberete.

    Na žalost vas nekatere storitve prisilijo k uporabi SMS. Če vas to skrbi, lahko ustvarite telefonsko številko za Google Voice in jo posredujete storitvam, ki zahtevajo preverjanje pristnosti SMS. Nato se lahko prijavite v svoj Google račun, ki ga lahko zaščitite z varnejšo metodo preverjanja pristnosti v dveh faktorjih in si ogledate varna sporočila na spletnem mestu ali aplikaciji Google Voice. Ne pošiljajte sporočil iz storitve Google Voice na dejansko številko mobilnega telefona.