Proč byste neměli používat SMS pro ověření dvou faktorů (a co je třeba použít)

Obsah:

Video: Proč byste neměli používat SMS pro ověření dvou faktorů (a co je třeba použít)

Video: Proč byste neměli používat SMS pro ověření dvou faktorů (a co je třeba použít)
Video: Jak používat širokoúhlý objektiv? 2024, Březen
Proč byste neměli používat SMS pro ověření dvou faktorů (a co je třeba použít)
Proč byste neměli používat SMS pro ověření dvou faktorů (a co je třeba použít)
Anonim
Bezpečnostní experti doporučují použití dvoufaktorové autentizace pro zabezpečení vašich online účtů, kdykoli je to možné. Mnoho služeb je výchozí k ověření SMS a při pokusu o přihlášení odesílá kódy prostřednictvím telefonní zprávy do telefonu. Ale SMS zprávy mají mnoho bezpečnostních problémů a jsou nejméně zabezpečenou možností dvoufaktorové autentizace.
Bezpečnostní experti doporučují použití dvoufaktorové autentizace pro zabezpečení vašich online účtů, kdykoli je to možné. Mnoho služeb je výchozí k ověření SMS a při pokusu o přihlášení odesílá kódy prostřednictvím telefonní zprávy do telefonu. Ale SMS zprávy mají mnoho bezpečnostních problémů a jsou nejméně zabezpečenou možností dvoufaktorové autentizace.

První věci první: SMS je ještě lepší, než žádná ověření dvou faktorů na všech!

Zatímco se budeme zabývat případem proti SMS zde, je důležité, abychom nejprve učinili jednu věc jasnou: Používání SMS je lepší než nepoužívání dvoufaktorové autentizace vůbec.

Pokud nepoužíváte dvoufaktorovou autentizaci, někdo potřebuje pouze vaše heslo k přihlášení do vašeho účtu. Při použití dvoufaktorového ověřování pomocí SMS budete muset obdržet heslo a získat přístup k textovým zprávám, abyste získali přístup k vašemu účtu. SMS je mnohem bezpečnější než vůbec nic.

Pokud je SMS jedinou volbou, použijte SMS. Pokud se však chcete dozvědět, proč odborníci v oblasti bezpečnosti doporučují vyhnout se SMS a co doporučujeme, přečtěte si.

SIM Swap umožňují útočníkům ukrást své telefonní číslo

Zde funguje ověření SMS: Když se pokusíte přihlásit, služba odešle textovou zprávu na číslo mobilního telefonu, které jste předtím poskytli. Tento kód získáte v telefonu a zadejte jej, abyste se přihlásili. Tento kód je vhodný pouze pro jedno použití.

Zní to poměrně bezpečně. Koneckonců, máte pouze vaše telefonní číslo a někdo musí mít svůj telefon, aby viděl kód správně? Bohužel ne.
Zní to poměrně bezpečně. Koneckonců, máte pouze vaše telefonní číslo a někdo musí mít svůj telefon, aby viděl kód správně? Bohužel ne.

Pokud někdo zná své telefonní číslo a může získat přístup k osobním údajům, jako jsou poslední čtyři číslice vašeho čísla sociálního pojištění - bohužel to lze snadno najít díky mnoha korporacím a vládním agenturám, které prošly daty zákazníků - mohou kontaktovat váš telefon a přesuňte své telefonní číslo na nový telefon. Toto je známé jako "výměna SIM" a je to stejný proces, který provádíte při zakoupení nového zařízení a přesunutí jeho telefonního čísla na něj. Ten člověk říká, že jste vy, poskytujete osobní údaje a vaše mobilní telefonní společnost nastavuje svůj telefon s vaším telefonním číslem. Dostanou kódy zpráv SMS zaslané na vaše telefonní číslo na telefonu.

Viděli jsme zprávy o tom, že se to děje ve Velké Británii, kde útočníci ukradli telefonní číslo oběti a využili jej k získání přístupu k bankovnímu účtu oběti. New Yorkský stát také varoval před tímto podvodem.

Ve své podstatě je to útok sociálního inženýrství, který se spoléhá na to, že podvádíte svou mobilní společnost. Ale vaše mobilní telefonní společnost by neměla být schopna poskytnout někomu přístup k vašim bezpečnostním kódům na prvním místě!

SMS zprávy mohou být zachyceny mnoha způsoby

Je také možné smažit SMS zprávy. Politickí disidenti a novináři v represivních zemích budou chtít být opatrní, protože vláda by mohla přijímat zprávy SMS, které jsou posílány prostřednictvím telefonní sítě. To se již stalo v Íránu, kde íránští hackeři údajně ohrožovali řadu účtů telegramových posterů zachycením SMS zpráv, které umožňovaly přístup k těmto účtům.
Je také možné smažit SMS zprávy. Politickí disidenti a novináři v represivních zemích budou chtít být opatrní, protože vláda by mohla přijímat zprávy SMS, které jsou posílány prostřednictvím telefonní sítě. To se již stalo v Íránu, kde íránští hackeři údajně ohrožovali řadu účtů telegramových posterů zachycením SMS zpráv, které umožňovaly přístup k těmto účtům.

Útočníci také zneužívali problémy v SS7, systému připojení používaném pro roaming, aby zachytili SMS zprávy v síti a směrovali je jinde. Existuje mnoho dalších způsobů, jak je možné zachytit zprávy, včetně používání falešných mobilních telefonů. SMS zprávy nebyly navrženy pro zabezpečení a neměly by být používány.

Jinými slovy, sofistikovaný útočník s trochou osobních informací by mohl zneužít vaše telefonní číslo, abyste získali přístup k vašim online účtům a poté je můžete použít k pokusům o vypouštění bankovních účtů. Proto národní institut pro normalizaci a technologii již neodpovídá použití SMS zpráv pro dvoufaktorovou autentizaci.

Alternativa: Vygenerujte kódy na zařízení

Dvoufaktorová schéma ověřování, která se nespoléhá na SMS, je lepší, protože společnost mobilního telefonu nebude moci někomu dát přístup k vašim kódům. Nejoblíbenější možností je aplikace jako Google Authenticator. Nicméně doporučujeme Authy, protože dělá vše, co Google Authenticator dělá a víc.

Aplikace, jako je toto, generují kódy v zařízení. Dokonce i když útočník podvedl vaše mobilní telefonní společnost, aby přesunula vaše telefonní číslo na svůj telefon, nemohla by dostat vaše bezpečnostní kódy. Údaje potřebné pro generování těchto kódů zůstanou bezpečně v telefonu.

Nemusíte používat ani kódy. Služby jako Twitter, Google a Microsoft testují autentizaci dvou faktorů založenou na aplikacích, která umožňuje přihlášení k jinému zařízení tím, že povolíte přihlášení do aplikace v telefonu.
Nemusíte používat ani kódy. Služby jako Twitter, Google a Microsoft testují autentizaci dvou faktorů založenou na aplikacích, která umožňuje přihlášení k jinému zařízení tím, že povolíte přihlášení do aplikace v telefonu.

K dispozici jsou také tokeny fyzického hardwaru, které můžete použít. Velké společnosti, jako je Google a Dropbox, již zavedly nový standard pro hardwarové dvoufaktorové ověřovací tokeny s názvem U2F. To vše je mnohem bezpečnější než spoléhat na vaši společnost mobilních telefonů a zastaralou telefonní síť.

Je-li to možné, vyhněte se SMS pro dvoufaktorové ověřování. Je to lepší než nic a vypadá to pohodlně, ale obvykle je to nejméně bezpečná dvojfaktorová schéma autentizace, kterou si můžete vybrat.

Naneštěstí některé služby vás nutí používat SMS. Pokud se o vás obáváte, můžete vytvořit telefonní číslo Google Voice a poskytnout jej službám, které vyžadují ověření SMS. Potom se můžete přihlásit do svého účtu Google, který můžete chránit pomocí bezpečnější dvoufaktorové metody ověřování - a zobrazit bezpečnostní zprávy na webu nebo v aplikaci Google Voice. Prostřednictvím služby Google Voice nepřesměrujte zprávy na své skutečné číslo mobilního telefonu.

Doporučuje: