16Jul
Turvallisuusasiantuntijat suosittelevat käyttämään kaksitasoista todentamista varmistaakseen verkkotilisi mahdollisuuksien mukaan. Monet palvelut oletusarvoisesti lähettävät tekstiviestejä puhelimeen, kun yrität kirjautua sisään. Mutta tekstiviestillä on paljon tietoturvaongelmia, ja ne ovat vähiten turvattu vaihtoehto kahden tekijän todennusta varten.
Ensimmäiset asiat ensiksi: SMS on vielä parempi kuin kahden tekijän todennus kaikessa!
Vaikka aiomme laatia tapaus tekstiviestejä vastaan, on tärkeätä tehdä selväksi eräs asia: SMS-viestien käyttö on parempi kuin kahden tekijän autentikoinnin käyttämistä lainkaan.
Kun et käytä kaksitasoista todennusta, joku tarvitsee vain salasanasi kirjautumalla tiliisi. Kun käytät kaksitasoista todennusta tekstiviestillä, joku tarvitsee sekä hankkimaan salasanasi että pääsemään tekstiviesteihisi, jotta pääset käsiksi tiliisi. SMS on paljon turvallisempi kuin mikään ei ollenkaan.
Jos SMS on ainoa vaihtoehto, käytä tekstiviestiä.Jos haluat kuitenkin tietää, miksi turvallisuusasiantuntijat suosittelevat tekstiviestien välttämistä ja suosittelemme sitä, lue lisää.
SIM-kortit
Näin tekstiviestivarmennus toimii: Kun yrität kirjautua sisään, palvelu lähettää tekstiviestin siihen matkapuhelinnumeroon, jonka olet antanut aiemmin. Saat koodin puhelimeesi ja kirjoita se kirjautumiseen. Tämä koodi on vain yhtä käyttökertaa varten.
Se kuulostaa melko turvalliselta. Loppujen lopuksi sinulla on vain puhelinnumerosi ja jollakin puhelimella täytyy olla koodi, joka on oikein? Valitettavasti ei.
Jos joku tietää puhelinnumerosi ja pääsee käsiksi henkilökohtaisiin tietoihisi, kuten sosiaaliturvatunnuksen neljä viimeistä numeroa, valitettavasti tämä on helppo löytää monien yritysten ja julkishallinnon virastojen ansiosta, jotka ovat vuotaneet asiakastietoja.ja siirrä puhelinnumerosi uuteen puhelimeen. Tätä kutsutaan "SIM-swapiksi" ja se on sama prosessi, jota teet, kun ostat uuden laitteen ja siirrät puhelinnumerosi siihen. Henkilö sanoo, että olet sinä, antaa henkilökohtaiset tiedot, ja matkapuhelinyhtiö asettaa puhelimen puhelinnumerosi kanssa. He saavat tekstiviestikoodit, jotka lähetetään puhelinnumerosi puhelimeesi.
Olemme nähneet raportteja tästä tapahtumasta Isossa-Britanniassa, jossa hyökkääjät tappoivat uhrin puhelinnumeron ja käyttivät sitä pääsemästä uhrin pankkitilille. New Yorkin valtio on myös varoittanut tästä huijauksesta.
Tämä ydin on sosiaalinen tekniikka hyökkäys, joka perustuu temppu sinun matkapuhelin yritys. Mutta matkapuhelinyrityksesi ei saisi tarjota jollekulle pääsyä turvakoodeihisi ensiksi!
-tekstiviestit voidaan siepata monin tavoin
Myös tekstiviestejä voi nipistellä.Poliittiset toisinajattelijat ja toimittajat tukahduttavissa maissa haluavat olla varovainen, koska hallitus voi kaapata tekstiviestit, kun ne lähetetään puhelinverkon kautta. Tämä on jo tapahtunut Iranissa, jossa iranilaiset hakkerit raportoivat heikensivät useita Telegram messenger-tilejä salaamalla tekstiviestit, jotka antoivat pääsyn näille tileille.
Hyökkääjät ovat myös käyttäneet väärinkäytöksiä SS7: ssä, verkkovierailussa käytettävän yhteysjärjestelmän, verkkoviestintäsegmenttien sieppaamiseen ja reitittämiseen muualle. On olemassa monia muita tapoja, joilla viestit voidaan piilottaa, mukaan lukien väärennetyt matkapuhelin tornit. Tekstiviestejä ei ole suunniteltu turvallisuutta varten, eikä niitä pitäisi käyttää siihen.
Toisin sanoen hienostunut hyökkääjä, jolla on vähän henkilökohtaisia tietoja, voi kaapata puhelinnumerosi päästäkseen verkkotiliisi ja käyttää näitä tilejä esimerkiksi yrittäessäsi tyhjentää pankkitilisi. Siksi National Institute of Standards and Technology ei enää suosittele tekstiviestien käyttöä kaksitekijänä toimivalle todentamiselle.
Vaihtoehto: luodaan koodit laitteellasi
Kaksitasoinen autentikointijärjestelmä, joka ei tue tekstiviestejä, on erinomainen, koska matkapuhelinyhtiö ei pysty antamaan jollekulle muuta pääsyä koodeihisi. Tämän suosituin vaihtoehto on sovellus, kuten Google Authenticator. Suosittelemme kuitenkin Authyä, koska se tekee kaiken Google Authenticatorin ja paljon muuta.
Tällaiset sovellukset tuottavat koodeja laitteellesi. Vaikka hyökkääjä olisi halunnut matkapuhelinyrityksesi siirtämään puhelinnumeron puhelimeesi, he eivät pystyisi saamaan suojauskoodeja. Näiden koodien luomiseen tarvittavat tiedot pysyvät turvallisesti puhelimeesi.
Sinun ei tarvitse myöskään käyttää koodeja. Palvelut kuten Twitter, Google ja Microsoft testaavat sovellusperustaista kaksitasoista todennusta, jonka avulla voit kirjautua sisään toisessa laitteessa sallimalla kirjautumissovelluksen sovelluksessa puhelimeesi.
Käytettävissäsi ovat myös fyysiset laitteistokoodit. Suuret yritykset, kuten Google ja Dropbox, ovat jo ottaneet käyttöön uuden standardin laitteistopohjaisille kaksitekijäisten todennusmerkkien nimelle U2F.Nämä ovat turvallisempia kuin turvautumaan matkapuhelinyritykseen ja vanhentuneeseen puhelinverkkoon.
Jos mahdollista, vältä tekstiviestejä kahden tekijän todennusta varten. Se on parempi kuin mikään eikä se näytä sopivalta, mutta se on tavallisesti vähiten turvallinen kaksitekijäinen todentamisohjelma, jonka voit valita.
Valitettavasti jotkut palvelut pakottavat käyttämään tekstiviestejä.Jos olet huolissasi tästä, voit luoda Google Voice -puhelinnumeron ja antaa sen palveluille, jotka edellyttävät tekstiviestitodennusta. Voit sitten kirjautua Google-tiliisi, jota voit suojata turvallisemmalla kaksitasoisella todennustekniikalla, ja katso suojattuja viestejä Google Voice -sivustossa tai -sovelluksessa.Älä lähetä viestejä Google Voice -palvelusta todelliseen matkapuhelinnumeroosi.