If-Koubou

Kāpēc jums nevajadzētu izmantot SMS divu faktoru autentificēšanai (un ko lietot vietā)

Kāpēc jums nevajadzētu izmantot SMS divu faktoru autentificēšanai (un ko lietot vietā) (Kā)

Drošības speciālisti iesaka izmantot divu faktoru autentifikāciju, lai nodrošinātu jūsu tiešsaistes kontus, kur vien iespējams. Daudzi pakalpojumi noklusējuši īsziņu verifikāciju, sūtot kodus ar īsziņu uz jūsu tālruni, kad mēģināt pierakstīties. Tomēr īsziņām ir daudz drošības problēmu un ir vismazāk droša iespēja divu faktoru autentificēšanai.

Vispirms vispirms: SMS joprojām ir labāka par divu faktoru autentifikāciju visos!

Lai gan mēs gatavojamies izlikt lieta pret SMS šeit, ir svarīgi, lai vispirms būtu viena lieta skaidra: SMS izmantošana ir labāka nekā divu faktoru autentifikācijas izmantošana vispār.

Ja neesat izmantojis divu faktoru autentifikāciju, lietotājam ir nepieciešama tikai jūsu parole, lai pierakstītos savā kontā. Ja izmantojat divu faktoru autentifikāciju, izmantojot SMS, kādam būs jāiegūst sava parole un jāiegūst piekļuve jūsu īsziņām, lai piekļūtu savam kontam. SMS ir daudz drošāka nekā nekas.

Ja SMS ir vienīgā iespēja, lūdzu, izmantojiet SMS. Tomēr, ja vēlaties uzzināt, kāpēc drošības speciālisti iesaka izvairīties no SMS un to, ko mēs iesakām, lasiet tālāk.

SIM apmaiņa Ļauj uzbrucējiem pazvanīt jūsu tālruņa numuru

Tālāk ir sniegts īsziņu verifikācijas darbs. Kad mēģināt pierakstīties, pakalpojums nosūta īsziņu uz mobilā tālruņa numuru, kuru jūs iepriekš esat tos iesniedzis. Jūs saņemat šo kodu savā tālrunī un ievadiet to, lai pierakstītos. Šis kods ir piemērots tikai vienreizējai lietošanai.

Tas izklausās pietiekami droši. Galu galā tikai jums ir jūsu tālruņa numurs, un kādam ir nepieciešams, lai jūsu tālrunis redzētu kodu pa labi? Diemžēl nē.

Ja kāds zina jūsu tālruņa numuru un var piekļūt personiskai informācijai, piemēram, jūsu sociālā nodrošinājuma numura pēdējie četri cipari, to diemžēl to var viegli atrast, pateicoties daudzajām korporācijām un valsts aģentūrām, kas ir noplūduši klienta datus, viņi var sazināties ar jūsu tālruni pārvietot savu tālruņa numuru uz jaunu tālruni. Tas ir pazīstams kā "SIM mijmaiņas darījums", un tas ir tas pats process, kuru veicat, iegādājoties jaunu ierīci un pārvietojot to savā tālruņa numurā. Persona saka, ka jūs esat, sniedz personas datus, un jūsu mobilā telefona uzņēmums izveido savu tālruni ar savu tālruņa numuru. Tie saņems SMS īsziņu kodus, kas tiks nosūtīti uz jūsu tālruņa numuru savā tālrunī.

Mēs esam redzējuši ziņojumus par to, ka notiek Apvienotajā Karalistē, kur uzbrucēji nozaga cietušā tālruņa numuru un izmantoja to, lai piekļūtu cietušā bankas kontam. Ņujorkas štats ir brīdinājis arī par šo krāpšanos.

Pēc būtības tas ir sociālās inženierijas uzbrukums, kas balstās uz jūsu mobilā telefona uzņēmuma maldināšanu. Bet jūsu mobilo telefonu kompānijai nevajadzētu dot iespēju kādam piekļūt jūsu drošības kodiem vispirms!

SMS ziņojumus var pārtvert daudzos veidos

Ir iespējams arī snoop uz SMS ziņojumiem. Politiskie disidenti un žurnālisti represīvās valstīs gribēs būt uzmanīgiem, jo ​​valdība varētu sūtīt īsziņas, jo tās tiek sūtītas pa tālruņu tīklu. Tas jau ir noticis Irānā, kur Irānas hakeriem, kā tika ziņots, kompromitēja vairākus Telegram Messenger kontus, pārtverot īsziņas, kas nodrošināja piekļuvi šiem kontiem.

Uzbrucēji ir arī ļaunprātīgi izmantojuši SS7 problēmas, savienojuma sistēmu, ko izmanto viesabonēšanai, lai pārtvertu īsziņas tīklā un maršrutus citur. Ir daudzi citi veidi, kā ziņojumus var pārtvert, tostarp izmantojot viltus mobilo telefonu torņus. SMS īsziņas nebija paredzētas drošībai, un to nevajadzētu izmantot.

Citiem vārdiem sakot, izsmalcināts uzbrucējs ar mazu personisko informāciju varētu nozagt jūsu tālruņa numuru, lai piekļūtu saviem tiešsaistes kontiem, un pēc tam izmantojiet šos kontus, piemēram, mēģiniet iztukšot savus bankas kontus. Tāpēc Nacionālais standartu un tehnoloģiju institūts vairs neiesaka izmantot īsziņas divu faktoru autentificēšanai.

Alternatīva: ģenerējiet kodus savā ierīcē

Divpakāpju autentifikācijas shēma, kas nebalstās uz SMS, ir labāka, jo mobilā telefona uzņēmums nespēs kādam citam piekļūt jūsu kodiem. Vispopulārākā iespēja ir lietotne, piemēram, Google autentifikators. Tomēr mēs iesakām Authy, jo tas dara visu, ko veic Google Authenticator un vairāk.

Šādas lietotnes ģenerē kodus savā ierīcē. Pat ja uzbrucējs jūsu mobilo tālruni kompāniju vilina, pārvietojot savu tālruņa numuru uz viņu tālruni, viņi nevarēs iegūt jūsu drošības kodus. Dati, kas nepieciešami šo kodu ģenerēšanai, jūsu tālrunī saglabāsies droši.

 

Jums nav jāizmanto arī kodi. Pakalpojumos, piemēram, Twitter, Google un Microsoft, tiek pārbaudīta ar lietotnēm balstīta divu faktoru autentifikācija, kas ļauj pierakstīties citā ierīcē, atļaujot pierakstīšanos savā lietotnē savā tālrunī.

Ir arī fiziskās aparatūras žetoni, kurus jūs varat izmantot. Lielie uzņēmumi, piemēram, Google un Dropbox, jau ir ieviesuši jaunu standartu datorizētiem divu faktoru autentifikācijas marķieriem ar nosaukumu U2F. Tie ir daudz drošāki nekā paļaujoties uz mobilo telefonu uzņēmumu un novecojušo telefonu tīklu.

Ja iespējams, izvairieties no SMS divu faktoru autentificēšanai. Tas ir labāk nekā nekas un šķiet ērti, bet tas parasti ir vismazāk drošā divu faktoru autentifikācijas shēma, kuru varat izvēlēties.

Diemžēl daži pakalpojumi liek jums izmantot SMS. Ja jūs uztraucat par to, varat izveidot Google Voice tālruņa numuru un piešķirt tiem pakalpojumus, kuriem nepieciešama īsziņu autentifikācija. Pēc tam varat pierakstīties savā Google kontā, kuru varat aizsargāt ar drošāku divu faktoru autentifikācijas metodi, un skatiet drošās ziņas Google Voice tīmekļa vietnē vai lietotnē. Vienkārši nenosūtiet ziņojumus no Google Voice uz savu faktisko mobilā tālruņa numuru.