2024 Autor: Peter John Melton | [email protected]. Naposledy změněno: 2023-12-16 04:44
První věci první: SMS je ještě lepší, než žádná ověření dvou faktorů na všech!
Zatímco se budeme zabývat případem proti SMS zde, je důležité, abychom nejprve učinili jednu věc jasnou: Používání SMS je lepší než nepoužívání dvoufaktorové autentizace vůbec.
Pokud nepoužíváte dvoufaktorovou autentizaci, někdo potřebuje pouze vaše heslo k přihlášení do vašeho účtu. Při použití dvoufaktorového ověřování pomocí SMS budete muset obdržet heslo a získat přístup k textovým zprávám, abyste získali přístup k vašemu účtu. SMS je mnohem bezpečnější než vůbec nic.
Pokud je SMS jedinou volbou, použijte SMS. Pokud se však chcete dozvědět, proč odborníci v oblasti bezpečnosti doporučují vyhnout se SMS a co doporučujeme, přečtěte si.
SIM Swap umožňují útočníkům ukrást své telefonní číslo
Zde funguje ověření SMS: Když se pokusíte přihlásit, služba odešle textovou zprávu na číslo mobilního telefonu, které jste předtím poskytli. Tento kód získáte v telefonu a zadejte jej, abyste se přihlásili. Tento kód je vhodný pouze pro jedno použití.
Pokud někdo zná své telefonní číslo a může získat přístup k osobním údajům, jako jsou poslední čtyři číslice vašeho čísla sociálního pojištění - bohužel to lze snadno najít díky mnoha korporacím a vládním agenturám, které prošly daty zákazníků - mohou kontaktovat váš telefon a přesuňte své telefonní číslo na nový telefon. Toto je známé jako "výměna SIM" a je to stejný proces, který provádíte při zakoupení nového zařízení a přesunutí jeho telefonního čísla na něj. Ten člověk říká, že jste vy, poskytujete osobní údaje a vaše mobilní telefonní společnost nastavuje svůj telefon s vaším telefonním číslem. Dostanou kódy zpráv SMS zaslané na vaše telefonní číslo na telefonu.
Viděli jsme zprávy o tom, že se to děje ve Velké Británii, kde útočníci ukradli telefonní číslo oběti a využili jej k získání přístupu k bankovnímu účtu oběti. New Yorkský stát také varoval před tímto podvodem.
Ve své podstatě je to útok sociálního inženýrství, který se spoléhá na to, že podvádíte svou mobilní společnost. Ale vaše mobilní telefonní společnost by neměla být schopna poskytnout někomu přístup k vašim bezpečnostním kódům na prvním místě!
SMS zprávy mohou být zachyceny mnoha způsoby
Útočníci také zneužívali problémy v SS7, systému připojení používaném pro roaming, aby zachytili SMS zprávy v síti a směrovali je jinde. Existuje mnoho dalších způsobů, jak je možné zachytit zprávy, včetně používání falešných mobilních telefonů. SMS zprávy nebyly navrženy pro zabezpečení a neměly by být používány.
Jinými slovy, sofistikovaný útočník s trochou osobních informací by mohl zneužít vaše telefonní číslo, abyste získali přístup k vašim online účtům a poté je můžete použít k pokusům o vypouštění bankovních účtů. Proto národní institut pro normalizaci a technologii již neodpovídá použití SMS zpráv pro dvoufaktorovou autentizaci.
Alternativa: Vygenerujte kódy na zařízení
Dvoufaktorová schéma ověřování, která se nespoléhá na SMS, je lepší, protože společnost mobilního telefonu nebude moci někomu dát přístup k vašim kódům. Nejoblíbenější možností je aplikace jako Google Authenticator. Nicméně doporučujeme Authy, protože dělá vše, co Google Authenticator dělá a víc.
Aplikace, jako je toto, generují kódy v zařízení. Dokonce i když útočník podvedl vaše mobilní telefonní společnost, aby přesunula vaše telefonní číslo na svůj telefon, nemohla by dostat vaše bezpečnostní kódy. Údaje potřebné pro generování těchto kódů zůstanou bezpečně v telefonu.
K dispozici jsou také tokeny fyzického hardwaru, které můžete použít. Velké společnosti, jako je Google a Dropbox, již zavedly nový standard pro hardwarové dvoufaktorové ověřovací tokeny s názvem U2F. To vše je mnohem bezpečnější než spoléhat na vaši společnost mobilních telefonů a zastaralou telefonní síť.
Je-li to možné, vyhněte se SMS pro dvoufaktorové ověřování. Je to lepší než nic a vypadá to pohodlně, ale obvykle je to nejméně bezpečná dvojfaktorová schéma autentizace, kterou si můžete vybrat.
Naneštěstí některé služby vás nutí používat SMS. Pokud se o vás obáváte, můžete vytvořit telefonní číslo Google Voice a poskytnout jej službám, které vyžadují ověření SMS. Potom se můžete přihlásit do svého účtu Google, který můžete chránit pomocí bezpečnější dvoufaktorové metody ověřování - a zobrazit bezpečnostní zprávy na webu nebo v aplikaci Google Voice. Prostřednictvím služby Google Voice nepřesměrujte zprávy na své skutečné číslo mobilního telefonu.
Doporučuje:
Jak používat ověřování dvou faktorů pro službu Windows Live na zařízení
Nedávno jsme vám ukázali, jak povolit dvoufaktorové ověřování na vašem účtu Windows Live. Ale to by mohlo přerušit několik aplikací, které ji zatím nepodporují - mi přichází na paměti e-mailový klient telefonu. Zde je návod, jak je opravit.
Proč byste neměli použít vidličky Firefox jako Waterfox, Pale Moon nebo Basilisk
Mozilla Firefox je projekt s otevřeným zdrojovým kódem, takže si každý může vzít svůj kód, upravit jej a vydat nový prohlížeč. To je to, co Waterfox, Pale Moon a Basilisk jsou - alternativní prohlížeče založené na kódu Firefoxu. Doporučujeme však, abyste nepoužívali některý z nich.
Jak nastavit Authy pro ověření dvou faktorů (a synchronizaci kódů mezi zařízeními)
Silná hesla už nestačí: doporučujeme použít vždy dvoufaktorovou autentizaci. V ideálním případě to znamená použití aplikace, která generuje ověřovací kódy v telefonu nebo token fyzického hardwaru. Upřednostňujeme Authy, pokud jde o autentizační aplikace - je kompatibilní se všemi weby, které používají Google Authenticator, ale je výkonnější a pohodlnější.
PSA: Ujistěte se, že máte zálohu pro ověření dvou faktorů
Ověřování dvou faktorů (2FA) je obecně skvělý bezpečnostní nástroj. Pokud však máte zapnutou funkci v účtech Apple nebo Google, mohlo by to opravdu přijít k tomu, abyste vás nejvíce zaškrtili. Zde je to, co potřebujete vědět.
Zde je návod, jak může útočník obejít ověření ze dvou faktorů
Dvoufaktorové autentizační systémy nejsou tak hluboké, jak se zdá. Útočník ve skutečnosti nepotřebuje vaši fyzickou autentizační token, pokud by mohl své telefonní společnost nebo samotnou zabezpečenou službu popudit, aby je dovolil.