16Jul
يوصي خبراء الأمان باستخدام المصادقة الثنائية لتأمين حساباتك عبر الإنترنت حيثما كان ذلك ممكنا.العديد من الخدمات الافتراضية للتحقق من سمز، وإرسال رموز عبر رسالة نصية إلى الهاتف الخاص بك عند محاولة تسجيل الدخول. ولكن رسائل سمز لديها الكثير من المشاكل الأمنية، وهي الخيار الأقل أمانا للمصادقة عاملين.
أول الأشياء أولا: سمز لا يزال أفضل من لا اثنين من المصادقة عامل على الإطلاق!
بينما نحن بصدد وضع القضية ضد سمز هنا، من المهم أن نوضح أولا شيئا واحدا: استخدام الرسائل القصيرة هو أفضل من عدم استخدام المصادقة اثنين عامل على الإطلاق.
عندما لا تستخدم المصادقة الثنائية، يحتاج شخص ما فقط إلى كلمة المرور لتسجيل الدخول إلى حسابك.عند استخدام المصادقة الثنائية مع الرسائل القصيرة سمز، سوف يحتاج شخص إلى كل من الحصول على كلمة المرور الخاصة بك والوصول إلى الرسائل النصية الخاصة بك للوصول إلى حسابك.سمز هو أكثر أمنا من أي شيء على الإطلاق.
إذا كان سمز هو الخيار الوحيد، يرجى استخدام سمز.ومع ذلك، إذا كنت تريد معرفة سبب توصية خبراء الأمان بتجنب الرسائل القصيرة سمز وما نوصي به بدلا من ذلك، فاقرأوا.
مبادلات سيم السماح للمهاجمين بسرقة رقم الهاتف
إليك كيفية عمل التحقق من سمز: عند محاولة تسجيل الدخول، ترسل الخدمة رسالة نصية إلى رقم الهاتف الجوال الذي قدمته لهم سابقا.يمكنك الحصول على هذا الرمز على هاتفك وإدخاله لتسجيل الدخول. هذا الرمز هو جيد فقط للاستخدام مرة واحدة.
يبدو أنه آمن بشكل معقول.بعد كل شيء، فقط لديك رقم هاتفك وشخص لديه أن يكون هاتفك لرؤية رمز الحق؟للاسف لا.
إذا كان شخص ما يعرف رقم هاتفك ويمكن الحصول على المعلومات الشخصية مثل الأرقام الأربعة الأخيرة من رقم الضمان الاجتماعي الخاص بك، للأسف، وهذا يكون من السهل العثور عليها بفضل العديد من الشركات والوكالات الحكومية التي تسربت بيانات العملاء - يمكنهم الاتصال بكشركة الهاتف ونقل رقم هاتفك إلى هاتف جديد.ويعرف هذا باسم "مبادلة سيم"، وهي نفس العملية التي تقوم بها عند شراء جهاز جديد ونقل رقم هاتفك إليه.يقول الشخص أنك أنت، وتقدم البيانات الشخصية، وشركة الهاتف الخليوي الخاص بك بإعداد هواتفهم مع رقم الهاتف الخاص بك.سيحصلون على رموز الرسائل القصيرة سمز المرسلة إلى رقم هاتفك على هواتفهم.
لقد رأينا تقارير عن حدوث ذلك في المملكة المتحدة، حيث سرق المهاجمون رقم هاتف الضحية واستخدموها للوصول إلى الحساب المصرفي للضحية.وحذرت ولاية نيويورك أيضا من هذه الفضيحة.
في جوهرها، وهذا هو هجوم الهندسة الاجتماعية التي تعتمد على خداع شركة الهاتف الخليوي الخاص بك.ولكن شركة الهاتف الخليوي الخاص بك لا ينبغي أن تكون قادرة على توفير شخص ما مع الوصول إلى رموز الأمان الخاصة بك في المقام الأول!
الرسائل القصيرة يمكن اعتراضها في العديد من الطرق
ومن الممكن أيضا للتطفل على رسائل سمز.وسيريد المنشقون السياسيون والصحفيون في البلدان القمعية أن يكونوا حذرين، لأن الحكومة يمكن أن تخطف رسائل سمز كما يتم إرسالها عبر شبكة الهاتف.وقد حدث ذلك بالفعل في إيران، حيث قيل إن المتسللين الإيرانيين قد أخلوا بعدد من رسائل رسول برقية من خلال اعتراض رسائل سمز التي وفرت الوصول إلى تلك الحسابات.
كما أساء المهاجمون المشاكل في SS7، ونظام الاتصال المستخدمة للتجوال، لاعتراض رسائل سمز على الشبكة وتوجيهها في أماكن أخرى.هناك العديد من الطرق الأخرى رسائل يمكن اعتراضها، بما في ذلك من خلال استخدام أبراج الهاتف الخليوي وهمية.لم يتم تصميم رسائل سمز للأمن، ويجب عدم استخدامها لذلك.
وبعبارة أخرى، يمكن للمهاجم متطورة مع القليل من المعلومات الشخصية خطف رقم الهاتف الخاص بك للوصول إلى حساباتك على الانترنت ومن ثم استخدام تلك الحسابات لمحاولة استنزاف الحسابات المصرفية الخاصة بك، على سبيل المثال.هذا هو السبب في المعهد الوطني للمعايير والتكنولوجيا لم يعد يوصي باستخدام رسائل سمز المصادقة اثنين عامل.
البديل: إنشاء رموز على جهازك
نظام المصادقة ثنائي العوامل الذي لا يعتمد على سمز هو متفوق، لأن شركة الهاتف الخليوي لن تكون قادرة على إعطاء شخص آخر الوصول إلى الرموز الخاصة بك.الخيار الأكثر شيوعا لهذا هو تطبيق مثل غوغل أوثنتيكاتور.ومع ذلك، نوصي أوثي، نظرا لأنه يقوم بكل ما يفعله غوغل أوثنتيكاتور والمزيد.
تطبيقات مثل هذا توليد رموز على جهازك.حتى لو كان مهاجم خداع شركة الهاتف الخليوي الخاص بك إلى تحريك رقم هاتفك إلى هواتفهم، فإنها لن تكون قادرة على الحصول على رموز الأمان الخاصة بك.البيانات اللازمة لتوليد تلك الرموز سوف تبقى بشكل آمن على هاتفك.
ليس عليك استخدام الرموز، إما.تقوم خدمات مثل تويتر و غوغل و ميكروسوفت باختبار المصادقة الثنائية على التطبيق والتي تسمح لك بتسجيل الدخول على جهاز آخر من خلال تفويض تسجيل الدخول في التطبيق على هاتفك.
هناك أيضا رموز الأجهزة المادية التي يمكنك استخدامها.وقد نفذت شركات كبيرة مثل جوجل ودروببوإكس بالفعل معيارا جديدا لرموز التوثيق اثنين عامل القائم على الأجهزة اسمه U2F.هذه كلها أكثر أمنا من الاعتماد على شركة الهاتف الخليوي وشبكة الهاتف التي عفا عليها الزمن.
إذا كان ذلك ممكنا، تجنب سمز المصادقة اثنين عامل.انها أفضل من لا شيء ويبدو مريحة، ولكن عادة ما يكون أقل أمان اثنين عامل المصادقة مخطط يمكنك اختيار.
لسوء الحظ، بعض الخدمات تجبرك على استخدام الرسائل القصيرة.إذا كنت قلقا بشأن ذلك، فيمكنك إنشاء رقم هاتف غوغل فوايس وإعطائه خدمات تتطلب مصادقة الرسائل القصيرة سمز.يمكنك بعد ذلك تسجيل الدخول إلى حسابك في غوغل - والذي يمكنك حمايته باستخدام طريقة مصادقة ثنائية العوامل أكثر أمنا - ويمكنك الاطلاع على الرسائل الآمنة في موقع غوغل فوايس أو تطبيقه.لا تعيد توجيه الرسائل من غوغل فوايس إلى رقم هاتفك الجوال الفعلي.