16Jul
Bezpečnostní experti doporučují použití dvoufaktorové autentizace, aby zajistily vaše online účty všude tam, kde je to možné.Mnoho služeb je výchozí k ověření SMS a při pokusu o přihlášení odesílá kódy prostřednictvím telefonní zprávy do telefonu. Ale SMS zprávy mají mnoho bezpečnostních problémů a jsou nejméně zabezpečenou možností dvoufaktorové autentizace.
První věc první: SMS je stále lepší než žádná dvoufaktorová autentizace na všech!
Zatímco se budeme zabývat případem proti SMS zde, je důležité, abychom nejprve učinili jednu věc jasnou: Používání SMS je lepší než nepoužívání dvoufaktorové autentizace vůbec.
Pokud nepoužíváte dvoufaktorovou autentizaci, někdo potřebuje heslo k přihlášení do vašeho účtu. Při použití dvoufaktorového ověřování pomocí SMS budete muset obdržet heslo a získat přístup k textovým zprávám, abyste získali přístup k vašemu účtu. SMS je mnohem bezpečnější než vůbec nic.
Pokud je SMS jedinou volbou, použijte SMS.Pokud se však chcete dozvědět, proč odborníci v oblasti bezpečnosti doporučují vyhnout se SMS a co doporučujeme, přečtěte si.
SIM Swaps Povolit útočníkům ukrást své telefonní číslo
Zde je způsob, jak funguje ověření SMS: Při pokusu o přihlášení služba odešle textovou zprávu na číslo mobilního telefonu, které jste jim předtím poskytli. Tento kód získáte v telefonu a zadejte jej, abyste se přihlásili. Tento kód je vhodný pouze pro jedno použití.
Zní to poměrně bezpečně.Koneckonců, jen vy máte své telefonní číslo a někdo musí mít svůj telefon, aby viděl kód správný?Bohužel ne.
Pokud někdo zná vaše telefonní číslo a může získat přístup k osobním údajům, jako jsou poslední čtyři číslice vašeho čísla sociálního zabezpečení - bohužel to lze snadno zjistit díky mnoha korporacím a vládním agenturám, které prošly daty zákazníků -a přesuňte své telefonní číslo na nový telefon. Toto je známé jako "výměna SIM" a je to stejný proces, který provádíte při zakoupení nového zařízení a přemístění jeho telefonního čísla. Ten člověk říká, že jste vy, poskytujete osobní údaje a vaše mobilní telefonní společnost nastavuje svůj telefon s vaším telefonním číslem. Dostanou kódy zpráv SMS zaslané na vaše telefonní číslo na telefonu.
Viděli jsme zprávy o této události ve Velké Británii, kde útočníci ukradli telefonní číslo oběti a využili jej k získání přístupu k bankovnímu účtu oběti. New Yorkský stát také varoval před tímto podvodem.
Jádrem je to útok sociálního inženýrství, který se spoléhá na podvádění vašeho mobilního telefonu. Ale vaše mobilní telefonní společnost by neměla být schopna poskytnout někomu přístup k vašim bezpečnostním kódům na prvním místě!
Zprávy SMS mohou být zachyceny mnoha způsoby
Je také možné posílat SMS zprávy. Politickí disidenti a novináři v represivních zemích budou chtít být opatrní, protože vláda by mohla přijímat zprávy SMS, které jsou posílány prostřednictvím telefonní sítě.To se již stalo v Íránu, kde íránští hackeři údajně ohrožovali řadu účtů telegramových posterů zachycením SMS zpráv, které umožňovaly přístup k těmto účtům.Útočníci
také zneužili problémy s SS7, systémem připojení používaným pro roaming, který zachycuje SMS zprávy v síti a směruje je jinde. Existuje mnoho dalších způsobů, jak je možné zachytit zprávy, včetně používání falešných věží mobilního telefonu. SMS zprávy nebyly navrženy pro zabezpečení a neměly by být používány.
Jinými slovy, sofistikovaný útočník s trochou osobních informací by mohl zneužít vaše telefonní číslo, abyste získali přístup k vašim online účtům a poté je můžete použít k pokusům o vypouštění bankovních účtů.Proto národní institut pro normalizaci a technologii již neodpovídá použití SMS zpráv pro dvoufaktorovou autentizaci.
Alternativa: Vytvoření kódů na zařízení
Schéma dvoufaktorové autentizace, které se nespoléhá na SMS, je lepší, protože společnost mobilního telefonu nebude moci k vašim kódům dát někomu jinému přístup. Nejoblíbenější možností je aplikace jako Google Authenticator. Nicméně doporučujeme Authy, protože dělá vše, co Google Authenticator dělá a víc. Aplikace
, jako je toto, generují kódy v zařízení.Dokonce i když útočník podvedl vaše mobilní telefonní společnost, aby přesunula vaše telefonní číslo na svůj telefon, nemohla by dostat vaše bezpečnostní kódy.Údaje potřebné pro generování těchto kódů zůstanou bezpečně v telefonu.
Nemusíte používat ani kódy. Služby jako Twitter, Google a Microsoft testují autentizaci dvou faktorů založenou na aplikacích, která umožňuje přihlášení k jinému zařízení tím, že povolíte přihlášení do aplikace v telefonu.
K dispozici jsou také tokeny fyzického hardwaru, které můžete použít. Velké společnosti, jako je Google a Dropbox, již zavedly nový standard pro hardwarové dvoufaktorové ověřovací tokeny s názvem U2F.To vše je mnohem bezpečnější než spoléhat na vaši společnost mobilních telefonů a zastaralou telefonní síť.
Je-li to možné, vyhněte se SMS pro dvoufaktorovou autentizaci. Je to lepší než nic a vypadá to pohodlně, ale obvykle je to nejméně bezpečná dvojfaktorová schéma autentizace, kterou si můžete vybrat.
Bohužel některé služby vás nutí používat SMS.Pokud se o vás obáváte, můžete vytvořit telefonní číslo Google Voice a poskytnout jej službám vyžadujícím ověření SMS.Potom se můžete přihlásit do svého účtu Google, který můžete chránit pomocí bezpečnější dvoufaktorové metody ověřování - a zobrazit bezpečnostní zprávy na webu nebo v aplikaci Google Voice. Prostřednictvím služby Google Voice nepřesměrujte zprávy na své skutečné číslo mobilního telefonu.
