Kodėl neturėtumėte naudoti SMS dviejų faktorių autentifikavimui (ir ką naudoti)
Saugumo specialistai rekomenduoja naudoti dviejų veiksnių autentifikavimą, kad galėtumėte apsaugoti savo internetines paskyras. Daugelis paslaugų yra numatytos pagal SMS patvirtinimą, siunčiant kodą tekstiniu pranešimu į jūsų telefoną, kai bandote prisijungti. Tačiau SMS žinutėmis yra daug saugumo problemų ir yra mažiausiai saugi dviejų faktorių autentifikavimo galimybė.
Pirmieji dalykai: SMS vis dar yra geresnis nei dviejų veiksnių autentifikavimas!
Nors mes ketiname išdėstyti atvejį prieš SMS čia, svarbu, kad pirmiausia padarytume aiškų dalyką: SMS naudojimas yra geresnis nei nenaudojant dviejų veiksnių autentifikavimo..
Kai nenaudojate dviejų veiksnių autentiškumo patvirtinimo, norint prisijungti prie paskyros, reikia tik jūsų slaptažodžio. Kai naudojate dviejų faktorių autentifikavimą SMS žinute, kas nors turės įsigyti jūsų slaptažodį ir pasiekti prieigą prie jūsų teksto žinučių. SMS yra daug saugesnis nei nieko.
Jei SMS yra vienintelė galimybė, naudokite SMS. Tačiau, jei norite sužinoti, kodėl saugumo ekspertai rekomenduoja vengti SMS ir ką mes rekomenduojame, skaitykite toliau.
SIM apsikeitimo sandoriai leidžia užpuolikams pavogti jūsų telefono numerį
Štai kaip veikia SMS patvirtinimas: bandydami prisijungti, paslauga siunčia tekstinį pranešimą į mobiliojo telefono numerį, kurį anksčiau suteikėte. Jūs gausite šį kodą savo telefone ir įvesite jį prisijungti. Šis kodas tinka tik vienam naudojimui.
Tai skamba pakankamai saugiai. Galų gale, tik jūs turite savo telefono numerį ir kažkas turi turėti savo telefoną, kad pamatytumėte teisingą kodą? Deja, ne.
Jei kas nors žino jūsų telefono numerį ir galite gauti prieigą prie asmeninės informacijos, pvz., Paskutinius keturis jūsų socialinio draudimo numerio skaitmenis, deja, tai lengva rasti daugelio korporacijų ir vyriausybinių agentūrų, kurios nutekėjo klientų duomenis, dėka - jie gali susisiekti su jūsų telefonu ir perkelkite savo telefono numerį į naują telefoną. Tai vadinama „SIM apsikeitimo funkcija“, ir tai yra tas pats procesas, kurį atliekate perkant naują įrenginį ir perkeliant telefono numerį į jį. Asmuo sako, kad jūs esate, teikia asmeninius duomenis, o jūsų mobiliojo telefono kompanija savo telefoną nustato savo telefono numeriu. Jie gaus SMS žinučių kodus, išsiųstus į jūsų telefono numerį savo telefone.
Mes matėme pranešimus apie tai, kas vyksta Jungtinėje Karalystėje, kur užpuolikai pavogė nukentėjusiojo telefono numerį ir pasinaudojo jais susipažinti su nukentėjusiojo banko sąskaita. Niujorko valstija taip pat įspėjo apie šį sukčiavimą.
Svarbiausia, tai yra socialinės inžinerijos priepuolis, kuris priklauso nuo jūsų mobiliojo telefono kompanijos grobimo. Tačiau jūsų mobiliųjų telefonų kompanija neturėtų sugebėti suteikti asmeniui prieigos prie jūsų saugos kodų!
SMS žinutės gali būti perimamos daugeliu būdų
Taip pat galima užgniaužti SMS žinutes. Politiniai disidentai ir represinių šalių žurnalistai norės būti atsargūs, nes vyriausybė gali užgrobti SMS žinutes, kai jos siunčiamos per telefono tinklą. Tai jau atsitiko Irane, kur Irano įsilaužėliai, žinoma, pakenkė daugeliui telegramos pasiuntinių paskyrų, sulaikydami SMS žinutes, kurios suteikė prieigą prie tų paskyrų.
Užpuolikai taip pat piktnaudžiauja SS7, tarptinklinio ryšio sistemos, problemomis, perimti SMS žinutes tinkle ir juos nukreipti kitur. Yra daug kitų būdų, kaip galima sulaikyti pranešimus, įskaitant netikrų mobiliųjų telefonų bokštų naudojimą. SMS žinutės nebuvo skirtos saugumui ir neturėtų būti naudojamos jame.
Kitaip tariant, sudėtingas užpuolikas, turintis šiek tiek asmeninės informacijos, gali užgrobti jūsų telefono numerį, kad galėtumėte pasiekti savo internetines paskyras ir tada naudoti šias paskyras, kad bandytumėte išleisti savo banko sąskaitas. Štai kodėl Nacionalinis standartų ir technologijų institutas nerekomenduoja naudoti SMS žinučių dviejų faktorių autentifikavimui.
Alternatyva: generuoti kodus savo prietaise
Dviejų veiksnių autentifikavimo schema, kuri nesiremia SMS, yra pranašesnė, nes mobiliojo telefono kompanija negalės suteikti kitiems prieigos prie jūsų kodų. Populiariausia parinktis yra „Google“ autentifikavimo priemonė. Tačiau rekomenduojame „Authy“, nes ji daro viską, ką „Google“ autentifikavimo priemonė veikia ir dar daugiau.
Panašios programos sukuria kodą jūsų prietaise. Net jei užpuolikas apgaudinėjo jūsų mobiliojo telefono įmonę į savo telefono numerį, jie negalės gauti jūsų saugumo kodų. Duomenys, reikalingi šiems kodams generuoti, būtų saugūs jūsų telefone.
Neturite naudoti kodų. Paslaugos, pvz., „Twitter“, „Google“ ir „Microsoft“, tikrina „app“ pagrindu veikiantį dviejų veiksnių autentifikavimą, kuris leidžia jums prisijungti prie kito įrenginio, autorizuodamas prisijungimą savo prietaise savo telefone.
Taip pat galite naudoti fizinius aparatūros raktus. Didelės įmonės, tokios kaip „Google“ ir „Dropbox“, jau įdiegė naują standartą, skirtą aparatinės įrangos pagrindu naudojamiems dviejų veiksnių autentifikavimo žetonams, pavadintiems „U2F“. Jie visi yra saugesni nei pasikliauti savo mobiliojo telefono kompanija ir pasenusiu telefono tinklu.
Jei įmanoma, venkite SMS už dviejų veiksnių autentifikavimą. Tai geriau nei nieko ir atrodo patogu, tačiau paprastai tai mažiausiai saugoma dviejų veiksnių autentifikavimo schema, kurią galite pasirinkti.
Deja, kai kurios paslaugos verčia jus naudoti SMS. Jei nerimaujate, galite sukurti „Google Voice“ telefono numerį ir suteikti jam paslaugas, kurioms reikia SMS autentifikavimo. Tada galite prisijungti prie „Google“ paskyros, kurią galite apsaugoti naudojant saugesnį dviejų veiksnių autentifikavimo metodą, ir peržiūrėkite saugius pranešimus „Google Voice“ svetainėje arba programoje. Tiesiog neperduodami pranešimai iš „Google Voice“ į faktinį mobiliojo telefono numerį.