16Jul
Turvalisus eksperdid soovitavad kasutada kahekordse autentimise, et tagada teie online-kontod, kui võimalik. Paljud teenused vaikimisi SMS-i kontrollimiseks, SMS-i saatmisel tekstisõnumiga telefonile, kui proovite sisse logida. Kuid SMS-sõnumitel on palju turvaprobleeme ja need on vähim turvaline võimalus kaherežiimse autentimise jaoks.
esimene asi kõigepealt: SMS ei ole ikka veel parem kui kahesugune tegur autentimine kõigil!
Kuigi me kavatseme siinkohal SMS-i vastu võtta, on oluline, et me esmalt teeme selgeks: SMS-i kasutamine on parem kui kaheteguri autentimise kasutamine üldse.
Kui te ei kasuta kahetegurilist autentimist, vajab keegi teie kontole sisselogimiseks ainult teie parooli. Kui kasutate kahetegurilist autentimist SMSiga, peab keegi oma kontole juurdepääsu saamiseks nii oma parooli omandama kui ka oma tekstisõnumite juurde pääsema. SMS on palju turvalisem kui üldse mitte midagi.
Kui SMS on teie ainus võimalus, palun kasutage SMS-i. Kuid kui soovite teada, miks turvatöötajad soovitavad SMSi vältida ja mida me soovitame selle asemel, loe edasi.
SIM-i vahetused Võimaldage ründajatel oma telefoninumbri varjata
Järgnevalt kirjeldatakse, kuidas SMS-kinnitamine toimib. Kui proovite sisse logida, saadab teenus tekstisõnumi mobiiltelefoninumbril, mille olete varem neile andnud. Saate selle koodi oma telefoni siseselt sisestada. See kood sobib ainult üheks kasutamiseks.
See kõlab mõistlikult turvaliselt. Lõppude lõpuks on teil ainult teie telefoninumber ja keegi peab oma telefoni nägema, kas kood on õige? Kahjuks ei.
Kui keegi teab teie telefoninumbrit ja pääseb ligipääsu isikuandmetele nagu teie sotsiaalkindlustusnumbri neli viimast numbrit - kahjuks on see hõlpsasti leitav tänu paljudele klienditeavet lekivatele ettevõtetele ja valitsusasutustele - nad võivad teiega ühendust võttatelefonifirma ja teisaldage oma telefoninumber uuele telefonile. Seda tuntakse kui "SIM-kaardi vahetust" ja see on sama protsess, mida teete uue seadme ostmisel ja selle telefoninumbri laadimisel. Isik ütleb, et olete teie, annab isikuandmeid ja teie mobiiltelefoni ettevõte oma telefoni oma telefoninumbri abil. Nad saadavad oma telefoni telefoninumbrile SMS-sõnumite koodid.
Oleme näinud aruandeid sellest, mis juhtus Ühendkuningriigis, kus ründajad varastasid ohvri telefoninumbri ja kasutasid seda ohvri pangakontole pääsemiseks. New Yorgi osariik on hoiatanud selle pettuse eest.
Oma põhiosas on see sotsiaaltehnoloogia rünnak, mis põhineb teie mobiilioperaatori petmisel. Kuid teie mobiilsidefirma ei tohiks pakkuda kellelegi, kellel on juurdepääs turvakoodidele!
SMS-sõnumeid saab kinni mitmel viisil
Samuti on võimalik SMS-sõnumeid saata. Repressiivsetes riikides asuvad poliitilised teisitimõtlejad ja ajakirjanikud tahavad olla ettevaatlikud, kuna valitsus võiks SMS-sõnumeid röövida, kui nad saadetakse telefonivõrgu kaudu. See on juba juhtunud Iraanis, kus Iraani häkkerid teatasid, et ohustasid mitmeid telegrammide sõnumikontodeid, peites nende kontodele juurdepääsu võimaldanud SMS-i.
ründajad on ka rämpsposti SS7-s, rändluses kasutatavast ühendussüsteemist, SMS-sõnumite pealt võrgust peksid ja mujal mujale suunanud. Sõnumeid saab kinni ka mitmel viisil, sealhulgas võltsitud mobiiltelefoni tornide kasutamise kaudu. SMS-sõnumid ei olnud turvalisuse jaoks mõeldud ja neid ei tohiks seda kasutada.
Teisisõnu, keerukas ründaja, kellel on natuke isiklikke andmeid, võib oma telefoninumbri hankida, et pääseda juurde oma veebikontodele, ja seejärel kasutada neid kontosid näiteks pankade kontode tühjendamiseks. Seepärast ei soovi riikliku standardite ja tehnoloogia instituut enam soovitada SMS-teadete kasutamist kahefaasilise autentimise jaoks.
Alternatiiv: genereerige oma seadme koodid
Kahetegurne autentimisskeem, mis ei tugine SMS-ile, on parem, kuna mobiiltelefoni ettevõte ei saa kellelegi teisele juurdepääsu teie koodidele. Kõige populaarsem variant on see rakendus nagu Google Authenticator. Siiski soovitame Authy, sest see teeb kõik Google Authenticatori toiminguid ja muud. Sellised
rakendused genereerivad teie seadmes koodid. Isegi kui ründaja petab teie mobiilioperaati oma telefoninumbri teisaldamisel oma telefoni, ei suuda nad oma turvakoode saada. Nende koodide loomiseks vajalikud andmed jäävad kindlasse telefoni.
Samuti ei pea te koode kasutama. Teenused, nagu vidistama, Google ja Microsoft, testivad rakenduslikku kahetegurilist autentimist, mis võimaldab teil teises seadmes sisse logida, lubades telefoni oma rakenduse sisselogimiseks.
Võimalik on kasutada ka füüsilisi riistvarakujundusi. Suured ettevõtted nagu Google ja Dropbox on juba rakendanud uut standardit riistvarapõhiste kahefaktoriliste autentimissertifikaatide jaoks, mille nimi on U2F.Need on kõik turvalisemad kui tugineda teie mobiiltelefoni ettevõttele ja vananenud telefonivõrgule.
Võimaluse korral vältige kaheteguri autentimisega SMS-i. See on parem kui mitte midagi ja tundub mugav, kuid see on tavaliselt kõige vähem turvaline kaheteguriline autentimisskeem, mida saate valida.
Kahjuks sunnivad mõned teenused SMSi kasutama. Kui olete selle pärast mures, võite luua Google Voice'i telefoninumbri ja anda neile teenused, mis vajavad SMSi autentimist. Seejärel võiksite oma Google'i kontole sisse logida - mida saate kaitsta turvalisema kahenumbrilise autentimismeetodiga - ja vaadata Google Voice'i veebisaidil või rakenduses olevaid turvalisi sõnumeid.Ärge edastage sõnumeid Google Voice'ist oma tegelikule mobiiltelefoninumbrile.