16Jul

Zašto ne biste smjeli upotrebljavati SMS za provjeru autentičnosti dvaju čimbenika( i što biste trebali koristiti)

Sigurnosni stručnjaci preporučuju autentifikaciju s dva faktora kako bi osigurali vaše online račune gdjegod je to moguće. Mnoge su usluge zadane na SMS potvrdu, šalju šifre putem SMS-a na telefon kada se pokušate prijaviti. No, SMS poruke imaju puno sigurnosnih problema i najsigurnija su opcija za provjeru autentičnosti s dva faktora.

Prvo što prvi: SMS je još uvijek bolji od dva faktorska autentifikacija na sve!

Dok ćemo ovdje iznijeti slučaj protiv SMS-a, važno je prvo napraviti jednu stvar: Korištenje SMS-a bolje je od korištenja autentičnosti s dva faktora.

Kada ne upotrebljavate autentifikaciju s dva faktora, netko treba samo vašu zaporku za prijavu na vaš račun. Kada upotrebljavate autentifikaciju s dva faktora putem SMS-a, netko će morati stjecati vašu zaporku i pristupiti vašim tekstualnim porukama da biste pristupili računu. SMS je mnogo sigurniji od ničega.

Ako je SMS jedina opcija, molimo vas da koristite SMS.Međutim, ako želite saznati zašto sigurnosni stručnjaci preporučuju izbjegavanje SMS poruka i onoga što preporučujemo, pročitajte dalje.

SIM swaps dopuštaju napadačima da ukrade vaš telefonski broj

Evo kako funkcionira SMS provjera: Kada se pokušate prijaviti, usluga šalje SMS poruku na broj mobilnog telefona koji ste im prethodno pružili. Dobit ćete taj kôd na svoj telefon i unijeti je za prijavu. Taj je kôd dobar samo za jednu upotrebu.

Zvuči razumno sigurno. Uostalom, samo vi imate svoj telefonski broj i netko mora imati vaš telefon da vidi kod - zar ne? Nažalost ne.

Ako netko zna vaš telefonski broj i može dobiti pristup osobnim informacijama kao što su posljednje četiri znamenke vašeg broja socijalnog osiguranja, nažalost to je lako pronaći zahvaljujući mnogim korporacijama i vladinim agencijama koje su procurile podatke o korisnicima.telefon i premjestite svoj telefonski broj na novi telefon. To je poznato kao "SIM swap" i isti je postupak koji izvršavate prilikom kupnje novog uređaja i premještanja telefonskog broja na njega. Osoba kaže da ste vi, pruža osobne podatke, a vaša tvrtka mobitela postavlja svoj telefon s vašim telefonskim brojem. Dobit će šifre SMS poruka poslane vašem telefonskom broju na svom telefonu.

Vidjeli smo izvješća o tome što se dogodilo u Velikoj Britaniji, gdje su napadači ukrali žrtvin telefonski broj i koristili ga kako bi dobili pristup bankovnom računu žrtve. Država New York također je upozorila na ovaj muljaža.

U svojoj srži, to je napad društvenog inženjeringa koji se oslanja na zavaravanje vaše tvrtke mobitela. Ali vaša tvrtka mobitela ne bi smjela moći pružiti nekome tko ima pristup vašim sigurnosnim kodovima na prvom mjestu!

SMS poruke se mogu presresti na mnoge načine

Također je moguće njuškati na SMS poruke. Politički disidenti i novinari u represivnim zemljama žele biti pažljivi, budući da bi vlada mogla oteti SMS poruke kako ih šalju putem telefonske mreže. To se već dogodilo u Iranu, gdje su navodno iranski hakeri ugrozili brojne telegramske glasnikove poruke prenoseći SMS poruke koje su omogućavale pristup tim računima.

Napadači su također zloupotrijebili probleme u SS7, sustav povezivanja koji se koristi za roaming, presretanje SMS poruka na mreži i njihovo usmjeravanje na drugom mjestu. Mnogo je drugih načina na koje se poruke mogu presresti, uključujući upotrebu lažnih tornjeva mobitela. SMS poruke nisu bile dizajnirane za sigurnost i ne bi se trebale koristiti za to.

Drugim riječima, sofisticirani napadač s malo osobnih podataka mogao bi oteti vaš telefonski broj kako bi dobio pristup vašim računima na mreži, a zatim pomoću tih računa pokušavao izvući bankovne račune, na primjer. Zato Nacionalni institut za standarde i tehnologiju više ne preporučuje upotrebu SMS poruka za provjeru autentičnosti s dva faktora.

Alternativa: generiranje šifri na vašem uređaju

Shema za autentifikaciju s dva faktora koja se ne oslanja na SMS je superiornija jer tvrtka mobitela neće moći dati drugome pristup kodovima. Najpopularnija opcija za to je aplikacija kao što je Google Autentifikator. Međutim, preporučujemo Authy, jer čini sve što čini Google Autentifikator i još mnogo toga.

Ovakve aplikacije generiraju kodove na vašem uređaju.Čak i ako je napadač prevario tvrtku mobitela u prebacivanje vašeg telefonskog broja na njihov telefon, oni ne bi mogli dobiti vaše sigurnosne kodove. Podaci potrebni za generiranje tih kodova sigurno će ostati na vašem telefonu.

Ne morate koristiti ni kodove. Usluge kao što su Twitter, Google i Microsoft ispituju autentifikaciju dva faktora temeljena na aplikaciji koja vam omogućuje da se prijavite na drugi uređaj tako što ćete autorizirati prijavu u svojoj aplikaciji na telefonu.

Postoje i fizički tokovi hardvera koje možete koristiti. Velike tvrtke poput Googlea i Dropboxa već su implementirale novi standard za tokove za provjeru autentičnosti dvaju faktora temeljenih na hardveru pod nazivom U2F.Sve su to sigurnije nego se oslanjaju na vašu tvrtku mobitela i zastarjele telefonske mreže.

Ako je moguće, izbjegavajte SMS za autentifikaciju s dva faktora. Bolje je od ničega i čini se prikladnim, ali obično je najmanje sigurna shema provjere autentičnosti s dva faktora koju možete odabrati.

Nažalost, neke usluge prisiljavaju vas da koristite SMS.Ako ste zabrinuti zbog toga, mogli biste izraditi telefonski broj Google Voicea i dati je uslugama koje zahtijevaju autentifikaciju putem SMS-a. Zatim se možete prijaviti na svoj Google račun - koji možete zaštititi sigurnijim načinom provjere autentičnosti s dva faktora - i pogledajte sigurne poruke na web mjestu ili aplikaciji Google Voicea. Nemojte prosljeđivati ​​poruke Google Voicea na svoj stvarni broj mobitela.