Prečo by ste nemali používať SMS na overovanie s dvoma faktormi (a čo používať namiesto toho)

Obsah:

Prečo by ste nemali používať SMS na overovanie s dvoma faktormi (a čo používať namiesto toho)
Prečo by ste nemali používať SMS na overovanie s dvoma faktormi (a čo používať namiesto toho)

Video: Prečo by ste nemali používať SMS na overovanie s dvoma faktormi (a čo používať namiesto toho)

Video: Prečo by ste nemali používať SMS na overovanie s dvoma faktormi (a čo používať namiesto toho)
Video: What lens shall I buy? Focal Length - Learn how different focal lengths change your image - YouTube 2024, Marec
Anonim
Odborníci v oblasti bezpečnosti odporúčajú použiť dvojfaktorovú autentifikáciu na zabezpečenie vašich online účtov všade tam, kde je to možné. Mnohé služby predvolene overujú SMS, odosielajú kódy prostredníctvom textovej správy do telefónu, keď sa pokúšate prihlásiť. Ale SMS správy majú veľa bezpečnostných problémov a sú najmenej zabezpečenou možnosťou dvojfaktorovej autentifikácie.
Odborníci v oblasti bezpečnosti odporúčajú použiť dvojfaktorovú autentifikáciu na zabezpečenie vašich online účtov všade tam, kde je to možné. Mnohé služby predvolene overujú SMS, odosielajú kódy prostredníctvom textovej správy do telefónu, keď sa pokúšate prihlásiť. Ale SMS správy majú veľa bezpečnostných problémov a sú najmenej zabezpečenou možnosťou dvojfaktorovej autentifikácie.

Prvé veci: Prvá správa: SMS je stále lepšia ako žiadna dvojfaktorová autentifikácia na všetkých!

Zatiaľ čo budeme vysvetľovať prípad proti SMS, je dôležité najprv urobiť jednu vec jasnú: Používanie SMS je lepšie ako nepoužívanie dvojfaktorovej autentifikácie vôbec.

Ak nepoužívate dvojfaktorové overenie, niekto potrebuje iba vaše heslo na prihlásenie do vášho účtu. Keď používate dvojfaktorové overenie prostredníctvom SMS, bude potrebné, aby ste niekoho získali svoje heslo a získali prístup k vašim textovým správam, aby ste získali prístup k svojmu účtu. SMS je oveľa bezpečnejšia ako nič vôbec.

Ak je SMS vašou jedinou možnosťou, použite SMS. Ak by ste sa však chceli dozvedieť, prečo odborníci v oblasti bezpečnosti odporúčajú vyhnúť sa SMS a čo odporúčame, prečítajte si ďalej.

SIM Swaps Povoliť útočníkom ukradnúť vaše telefónne číslo

Spôsob fungovania overovania SMS: Ak sa pokúsite prihlásiť, služba odošle textovú správu na číslo mobilného telefónu, ktoré ste predtým poskytli. Získate tento kód v telefóne a zadajte ho, aby ste sa prihlásili. Tento kód je vhodný len pre jedno použitie.

Znie to primerane bezpečné. Koniec koncov, len vy máte vaše telefónne číslo a niekto musí mať váš telefón, aby mohol vidieť kód správne? Bohužiaľ nie.
Znie to primerane bezpečné. Koniec koncov, len vy máte vaše telefónne číslo a niekto musí mať váš telefón, aby mohol vidieť kód správne? Bohužiaľ nie.

Ak niekto pozná vaše telefónne číslo a môže získať prístup k osobným informáciám, ako sú posledné štyri číslice svojho čísla sociálneho poistenia - bohužiaľ sa to dá ľahko nájsť vďaka mnohým spoločnostiam a vládnym agentúram, ktoré prenikli údaje o zákazníkoch - môžu kontaktovať váš telefón a presuňte svoje telefónne číslo na nový telefón. Toto je známe ako "swap SIM" a je to ten istý proces, ktorý vykonávate pri zakúpení nového zariadenia a presunutie jeho telefónneho čísla. Človek hovorí, že ste vy, poskytuje osobné údaje a vaša mobilná telefónna spoločnosť si nastaví telefón s vaším telefónnym číslom. Dostanú kódy správ SMS odoslané na vaše telefónne číslo na svojom telefóne.

Videli sme správy o tejto udalosti v Spojenom kráľovstve, kde útočníci ukradli telefónne číslo obete a použili ho na získanie prístupu k bankovému účtu obete. New York štát tiež varoval pred týmto podvodom.

V jej jadre je to útok sociálneho inžinierstva, ktorý sa spolieha na podvádzanie vašej mobilnej spoločnosti. Ale vaša mobilná spoločnosť by nemala byť schopná poskytnúť niekomu prístup k vašim bezpečnostným kódom na prvom mieste!

Správy SMS môžu byť zachytené mnohými spôsobmi

Je tiež možné sledovať SMS správy. Politickí disidenti a novinári v represívnych krajinách budú chcieť byť opatrní, pretože vláda môže zachytiť SMS správy, keď sú posielané cez telefónnu sieť. To sa už stalo v Iráne, kde iránski hackeri údajne ohrozovali množstvo účtov telegramových správ prostredníctvom zachytenia správ SMS, ktoré poskytli prístup k týmto účtom.
Je tiež možné sledovať SMS správy. Politickí disidenti a novinári v represívnych krajinách budú chcieť byť opatrní, pretože vláda môže zachytiť SMS správy, keď sú posielané cez telefónnu sieť. To sa už stalo v Iráne, kde iránski hackeri údajne ohrozovali množstvo účtov telegramových správ prostredníctvom zachytenia správ SMS, ktoré poskytli prístup k týmto účtom.

Útočníci tiež zneužívajú problémy v systéme SS7, pripojenom k roamingu, aby zachytili SMS správy v sieti a nasmerovali ich inde. Existuje mnoho ďalších spôsobov, ako je možné zachytiť správy, a to aj prostredníctvom použitia falošných mobilných telefónov. SMS správy neboli určené na zabezpečenie a nemali by sa používať na to.

Inými slovami, sofistikovaný útočník s trochou osobných informácií by mohol uniesť vaše telefónne číslo, aby získal prístup k vašim online účtom a potom použil tieto účty, aby sa napríklad pokúšal vyčerpať vaše bankové účty. Preto Národný inštitút pre štandardy a technológie už neodporúča používanie SMS správ na dvojfaktorové autentifikácie.

Alternatíva: Vytvorte kódy vo vašom zariadení

Systém dvojfaktorovej autentifikácie, ktorý nespolieha na SMS, je lepší, pretože spoločnosť mobilného telefónu nebude môcť dať niekomu inému prístup k vašim kódom. Najobľúbenejšou voľbou pre túto aplikáciu je aplikácia Google Authenticator. Avšak odporúčame Authy, pretože to robí všetko, čo Google Authenticator robí a ďalšie.

Takéto aplikácie vytvárajú kódy v zariadení. Dokonca aj vtedy, keď útočník podviedol vašu spoločnosť mobilného telefónu, aby presunula telefónne číslo do svojho telefónu, nebolo by možné získať vaše bezpečnostné kódy. Údaje potrebné na vytvorenie týchto kódov zostanú v telefóne bezpečne.

Nemusíte používať ani kódy. Služby ako Twitter, Google a Microsoft testujú autentifikáciu dvoch faktorov založenú na aplikáciách, ktorá vám umožňuje prihlásiť sa na inom zariadení tak, že povolíte prihlásenie do aplikácie v telefóne.
Nemusíte používať ani kódy. Služby ako Twitter, Google a Microsoft testujú autentifikáciu dvoch faktorov založenú na aplikáciách, ktorá vám umožňuje prihlásiť sa na inom zariadení tak, že povolíte prihlásenie do aplikácie v telefóne.

K dispozícii sú aj tokeny fyzického hardvéru, ktoré môžete použiť. Veľké spoločnosti ako Google a Dropbox už implementovali nový štandard pre hardvérové dvojfaktorové autentifikačné tokeny s názvom U2F. To všetko je bezpečnejšie ako spoliehanie sa na vašu spoločnosť mobilného telefónu a zastaranú telefónnu sieť.

Ak je to možné, vyhnite sa SMS na dvojfaktorové overovanie. Je to lepšie ako nič a zdá sa to pohodlné, ale zvyčajne je to najmenej bezpečná dvojfaktorová schéma autentifikácie, ktorú si môžete vybrať.

Bohužiaľ, niektoré služby vás nútia používať SMS. Ak sa o to obávate, môžete vytvoriť telefónne číslo Google Voice a poskytnúť mu služby, ktoré vyžadujú overenie prostredníctvom SMS. Potom by ste sa mohli prihlásiť do svojho účtu Google, ktorý môžete chrániť bezpečnejšou dvojfaktorovou metódou overenia - a zobraziť bezpečné správy na webových stránkach alebo aplikáciách Google Voice. Jednoducho nepreposielajte správy zo služby Google Voice na vaše skutočné číslo mobilného telefónu.

Odporúča: