16Jul
συστήνουν τη χρήση ελέγχου ταυτότητας δύο παραγόντων για να εξασφαλίσουν τους λογαριασμούς σας στο διαδίκτυο όποτε είναι δυνατόν.Πολλές υπηρεσίες προεπιλογών για την επαλήθευση μέσω SMS, αποστέλλοντας κωδικούς μέσω μηνύματος κειμένου στο τηλέφωνό σας όταν προσπαθείτε να συνδεθείτε. Τα μηνύματα SMS έχουν όμως πολλά προβλήματα ασφαλείας και είναι η λιγότερο ασφαλή επιλογή για έλεγχο ταυτότητας δύο παραγόντων.
Πρώτα πρώτα πράγματα: Το SMS είναι ακόμα καλύτερο από ό, τι δεν υπάρχει έλεγχος ταυτότητας δύο παραγόντων σε όλους!
Ενώ πρόκειται να διατυπώσουμε την υπόθεση εναντίον SMS εδώ, είναι σημαντικό να κάνουμε πρώτα ένα πράγμα σαφές: Χρησιμοποιώντας το SMS είναι καλύτερο από το να μην χρησιμοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων καθόλου.
Όταν δεν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων, κάποιος χρειάζεται μόνο τον κωδικό πρόσβασής σας για να συνδεθεί στο λογαριασμό σας.Όταν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων με SMS, κάποιος θα πρέπει να αποκτήσει τον κωδικό πρόσβασής σας και να αποκτήσει πρόσβαση στα μηνύματα κειμένου σας για να αποκτήσει πρόσβαση στο λογαριασμό σας.Το SMS είναι πολύ πιο ασφαλές από το τίποτα.
Εάν το SMS είναι η μόνη σας επιλογή, χρησιμοποιήστε SMS.Ωστόσο, εάν θέλετε να μάθετε γιατί οι ειδικοί ασφαλείας συστήνουν την αποφυγή SMS και αυτό που προτείνουμε αντ 'αυτού, διαβάστε παρακάτω.
SIM Swaps Επιτρέψτε στους επιτιθέμενους να κλέψουν τον αριθμό τηλεφώνου σας
Ακολουθεί ο τρόπος λειτουργίας της επαλήθευσης SMS: Όταν επιχειρείτε να συνδεθείτε, η υπηρεσία στέλνει ένα μήνυμα κειμένου στον αριθμό κινητού τηλεφώνου που σας παρείχε προηγουμένως.Παίρνετε αυτόν τον κωδικό στο τηλέφωνό σας και εισάγετε τον για να συνδεθείτε. Ο κώδικας αυτός είναι καλός μόνο για μία μόνο χρήση.
Ακούγεται σχετικά ασφαλής.Μετά από όλα, μόνο εσείς έχετε τον αριθμό τηλεφώνου σας και κάποιος πρέπει να έχει το τηλέφωνό σας για να δει τον κώδικα-δεξιά;Δυστυχώς όχι.
Εάν κάποιος γνωρίζει τον αριθμό τηλεφώνου σας και μπορεί να αποκτήσει πρόσβαση σε προσωπικές πληροφορίες όπως τα τελευταία τέσσερα ψηφία του αριθμού κοινωνικής ασφάλισής σας, δυστυχώς, αυτό είναι εύκολο να βρεθεί χάρη στις πολλές εταιρείες και κρατικές υπηρεσίες που έχουν διαρρεύσει δεδομένα πελατών -τηλεφωνική εταιρεία και μετακινήστε τον αριθμό τηλεφώνου σας σε ένα νέο τηλέφωνο.Αυτό είναι γνωστό ως "εναλλαγή SIM" και είναι η ίδια διαδικασία που εκτελείτε όταν αγοράζετε μια νέα συσκευή και μεταφέρετε τον αριθμό του τηλεφώνου σε αυτήν.Το άτομο λέει ότι είστε εσείς, παρέχει τα προσωπικά σας δεδομένα και η εταιρεία κινητής τηλεφωνίας σας δημιουργεί το τηλέφωνό σας με τον αριθμό τηλεφώνου σας.Θα λάβουν τους κωδικούς μηνυμάτων SMS που αποστέλλονται στον αριθμό τηλεφώνου σας στο τηλέφωνό τους.
Έχουμε δει αναφορές αυτού του γεγονότος στο Ηνωμένο Βασίλειο, όπου οι επιτιθέμενοι έκλεψαν τον τηλεφωνικό αριθμό ενός θύματος και το χρησιμοποίησαν για να αποκτήσουν πρόσβαση στον τραπεζικό λογαριασμό του θύματος.Το κράτος της Νέας Υόρκης έχει προειδοποιήσει επίσης για αυτή την απάτη.
Στον πυρήνα της, αυτή είναι μια επίθεση κοινωνικής μηχανικής που βασίζεται στην εξαπάτηση της εταιρείας κινητής τηλεφωνίας σας.Αλλά η εταιρεία κινητής τηλεφωνίας σας δεν θα πρέπει να είναι σε θέση να παρέχει σε κάποιον πρόσβαση στους κωδικούς ασφαλείας σας, πρώτον!Τα μηνύματα SMS
μπορούν να παρεμποδιστούν σε πολλούς τρόπους
Είναι επίσης δυνατή η παρακολούθηση μηνυμάτων SMS.Οι πολιτικοί αντιφρονούντες και δημοσιογράφοι στις κατασταλτικές χώρες θα θέλουν να είναι προσεκτικοί, καθώς η κυβέρνηση θα μπορούσε να πειραματιστεί με μηνύματα SMS καθώς αποστέλλονται μέσω του τηλεφωνικού δικτύου.Αυτό συνέβη ήδη στο Ιράν, όπου οι ιρανοί χάκερ ανέφεραν ότι παραβίασαν ορισμένους λογαριασμούς τηλεγραφικών μηνυμάτων, παρεμποδίζοντας τα μηνύματα SMS που παρείχαν πρόσβαση στους λογαριασμούς αυτούς.Οι επιτιθέμενοι
έχουν επίσης καταχραστεί τα προβλήματα στο SS7, το σύστημα σύνδεσης που χρησιμοποιείται για την περιαγωγή, για να παρεμποδίζουν μηνύματα SMS στο δίκτυο και να τα δρομολογούν αλλού.Υπάρχουν πολλοί άλλοι τρόποι που μπορούν να παρεμποδιστούν τα μηνύματα, συμπεριλαμβανομένης της χρήσης ψευδών πύργων κινητής τηλεφωνίας.Τα μηνύματα SMS δεν σχεδιάστηκαν για ασφάλεια και δεν πρέπει να χρησιμοποιούνται για αυτό.
Με άλλα λόγια, ένας εξελιγμένος επιτιθέμενος με λίγες προσωπικές πληροφορίες θα μπορούσε να καταλάβει τον αριθμό του τηλεφώνου σας για να αποκτήσει πρόσβαση στους λογαριασμούς σας στο διαδίκτυο και στη συνέχεια να χρησιμοποιήσει τους λογαριασμούς αυτούς για να προσπαθήσει π.χ. να αποστραγγίσει τους τραπεζικούς λογαριασμούς σας.Αυτός είναι ο λόγος για τον οποίο το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας δεν συνιστά πλέον τη χρήση μηνυμάτων SMS για έλεγχο ταυτότητας δύο παραγόντων.
Η εναλλακτική λύση: Δημιουργία κωδικών στη συσκευή σας
Ένα σύστημα ελέγχου ταυτότητας δύο παραγόντων που δεν βασίζεται σε SMS είναι ανώτερο, επειδή η εταιρεία κινητής τηλεφωνίας δεν θα μπορεί να δώσει σε κάποιον άλλο πρόσβαση στους κωδικούς σας.Η πιο δημοφιλής επιλογή γι 'αυτό είναι μια εφαρμογή όπως ο Επαληθευτής Google.Ωστόσο, συνιστούμε την Authy, δεδομένου ότι κάνει ό, τι κάνει το Google Authenticator και πολλά άλλα.Οι εφαρμογές
αυτού του είδους δημιουργούν κώδικες στη συσκευή σας.Ακόμα κι αν ένας εισβολέας εξαπάτησε την εταιρεία κινητής τηλεφωνίας σας να μετακινήσει τον αριθμό τηλεφώνου στο τηλέφωνό του, δεν θα ήταν σε θέση να πάρει τους κωδικούς ασφαλείας.Τα δεδομένα που απαιτούνται για τη δημιουργία αυτών των κωδικών θα παραμείνουν με ασφάλεια στο τηλέφωνό σας.
Δεν χρειάζεται να χρησιμοποιείτε κωδικούς.Υπηρεσίες όπως το Twitter, το Google και η Microsoft δοκιμάζουν έλεγχο ταυτότητας δύο παραμέτρων βασισμένη σε εφαρμογές, η οποία σας επιτρέπει να συνδεθείτε σε άλλη συσκευή, επιτρέποντας τη σύνδεση στην εφαρμογή τους στο τηλέφωνό σας.
Υπάρχουν επίσης μάρκες φυσικού υλικού που μπορείτε να χρησιμοποιήσετε.Μεγάλες εταιρείες, όπως το Google και το Dropbox, έχουν ήδη εφαρμόσει ένα νέο πρότυπο για μάρκες που βασίζονται σε υλικό που βασίζονται σε υλικό δύο φάσεων και ονομάζονται U2F.Όλα αυτά είναι ασφαλέστερα από το να βασίζεστε στην εταιρεία κινητής τηλεφωνίας και στο παλιό τηλεφωνικό δίκτυο.
Εάν είναι δυνατόν, αποφύγετε την αποστολή μηνυμάτων SMS για έλεγχο ταυτότητας δύο παραγόντων.Είναι καλύτερα από τίποτα και φαίνεται βολικό, αλλά είναι συνήθως το λιγότερο ασφαλές σύστημα ελέγχου ταυτότητας δύο παραγόντων που μπορείτε να επιλέξετε.
Δυστυχώς, ορισμένες υπηρεσίες σας αναγκάζουν να χρησιμοποιείτε SMS.Εάν ανησυχείτε για αυτό, μπορείτε να δημιουργήσετε έναν αριθμό τηλεφώνου Google Voice και να τον δώσετε σε υπηρεσίες που απαιτούν έλεγχο ταυτότητας μέσω SMS.Θα μπορούσατε στη συνέχεια να συνδεθείτε στο λογαριασμό σας στο Google - τον οποίο μπορείτε να προστατεύσετε με ασφαλέστερο τρόπο ελέγχου ταυτότητας δύο παραγόντων - και να δείτε τα ασφαλή μηνύματα στον ιστότοπο ή την εφαρμογή Google Voice.Απλά μην προωθείτε μηνύματα από το Google Voice στον πραγματικό αριθμό κινητού τηλεφώνου σας.
