Prvé veci: Prvá správa: SMS je stále lepšia ako žiadna dvojfaktorová autentifikácia na všetkých!
Zatiaľ čo budeme vysvetľovať prípad proti SMS, je dôležité najprv urobiť jednu vec jasnú: Používanie SMS je lepšie ako nepoužívanie dvojfaktorovej autentifikácie vôbec.
Ak nepoužívate dvojfaktorové overenie, niekto potrebuje iba vaše heslo na prihlásenie do vášho účtu. Keď používate dvojfaktorové overenie prostredníctvom SMS, bude potrebné, aby ste niekoho získali svoje heslo a získali prístup k vašim textovým správam, aby ste získali prístup k svojmu účtu. SMS je oveľa bezpečnejšia ako nič vôbec.
Ak je SMS vašou jedinou možnosťou, použite SMS. Ak by ste sa však chceli dozvedieť, prečo odborníci v oblasti bezpečnosti odporúčajú vyhnúť sa SMS a čo odporúčame, prečítajte si ďalej.
SIM Swaps Povoliť útočníkom ukradnúť vaše telefónne číslo
Spôsob fungovania overovania SMS: Ak sa pokúsite prihlásiť, služba odošle textovú správu na číslo mobilného telefónu, ktoré ste predtým poskytli. Získate tento kód v telefóne a zadajte ho, aby ste sa prihlásili. Tento kód je vhodný len pre jedno použitie.
Ak niekto pozná vaše telefónne číslo a môže získať prístup k osobným informáciám, ako sú posledné štyri číslice svojho čísla sociálneho poistenia - bohužiaľ sa to dá ľahko nájsť vďaka mnohým spoločnostiam a vládnym agentúram, ktoré prenikli údaje o zákazníkoch - môžu kontaktovať váš telefón a presuňte svoje telefónne číslo na nový telefón. Toto je známe ako "swap SIM" a je to ten istý proces, ktorý vykonávate pri zakúpení nového zariadenia a presunutie jeho telefónneho čísla. Človek hovorí, že ste vy, poskytuje osobné údaje a vaša mobilná telefónna spoločnosť si nastaví telefón s vaším telefónnym číslom. Dostanú kódy správ SMS odoslané na vaše telefónne číslo na svojom telefóne.
Videli sme správy o tejto udalosti v Spojenom kráľovstve, kde útočníci ukradli telefónne číslo obete a použili ho na získanie prístupu k bankovému účtu obete. New York štát tiež varoval pred týmto podvodom.
V jej jadre je to útok sociálneho inžinierstva, ktorý sa spolieha na podvádzanie vašej mobilnej spoločnosti. Ale vaša mobilná spoločnosť by nemala byť schopná poskytnúť niekomu prístup k vašim bezpečnostným kódom na prvom mieste!
Správy SMS môžu byť zachytené mnohými spôsobmi
Útočníci tiež zneužívajú problémy v systéme SS7, pripojenom k roamingu, aby zachytili SMS správy v sieti a nasmerovali ich inde. Existuje mnoho ďalších spôsobov, ako je možné zachytiť správy, a to aj prostredníctvom použitia falošných mobilných telefónov. SMS správy neboli určené na zabezpečenie a nemali by sa používať na to.
Inými slovami, sofistikovaný útočník s trochou osobných informácií by mohol uniesť vaše telefónne číslo, aby získal prístup k vašim online účtom a potom použil tieto účty, aby sa napríklad pokúšal vyčerpať vaše bankové účty. Preto Národný inštitút pre štandardy a technológie už neodporúča používanie SMS správ na dvojfaktorové autentifikácie.
Alternatíva: Vytvorte kódy vo vašom zariadení
Systém dvojfaktorovej autentifikácie, ktorý nespolieha na SMS, je lepší, pretože spoločnosť mobilného telefónu nebude môcť dať niekomu inému prístup k vašim kódom. Najobľúbenejšou voľbou pre túto aplikáciu je aplikácia Google Authenticator. Avšak odporúčame Authy, pretože to robí všetko, čo Google Authenticator robí a ďalšie.
Takéto aplikácie vytvárajú kódy v zariadení. Dokonca aj vtedy, keď útočník podviedol vašu spoločnosť mobilného telefónu, aby presunula telefónne číslo do svojho telefónu, nebolo by možné získať vaše bezpečnostné kódy. Údaje potrebné na vytvorenie týchto kódov zostanú v telefóne bezpečne.
K dispozícii sú aj tokeny fyzického hardvéru, ktoré môžete použiť. Veľké spoločnosti ako Google a Dropbox už implementovali nový štandard pre hardvérové dvojfaktorové autentifikačné tokeny s názvom U2F. To všetko je bezpečnejšie ako spoliehanie sa na vašu spoločnosť mobilného telefónu a zastaranú telefónnu sieť.
Ak je to možné, vyhnite sa SMS na dvojfaktorové overovanie. Je to lepšie ako nič a zdá sa to pohodlné, ale zvyčajne je to najmenej bezpečná dvojfaktorová schéma autentifikácie, ktorú si môžete vybrať.
Bohužiaľ, niektoré služby vás nútia používať SMS. Ak sa o to obávate, môžete vytvoriť telefónne číslo Google Voice a poskytnúť mu služby, ktoré vyžadujú overenie prostredníctvom SMS. Potom by ste sa mohli prihlásiť do svojho účtu Google, ktorý môžete chrániť bezpečnejšou dvojfaktorovou metódou overenia - a zobraziť bezpečné správy na webových stránkach alebo aplikáciách Google Voice. Jednoducho nepreposielajte správy zo služby Google Voice na vaše skutočné číslo mobilného telefónu.