16Jul

Miért nem kellene SMS-t használni a kétfaktoros hitelesítéshez( és mi a helyett használhatja)

A biztonsági szakértők kétfaktoros hitelesítést használnak az online fiókok védelmére, ahol csak lehetséges. Számos szolgáltatás alapértelmezett az SMS-hitelesítésre, kódküldés a szöveges üzenetben a telefonra a bejelentkezéskor. Az SMS-üzenetek azonban számos biztonsági problémával járnak, és a legkevésbé biztonságosak a kétfaktoros hitelesítéshez.

Első dolog először: Az SMS még mindig jobb, mint kétfaktoros hitelesítés mindenkinél!

Míg az ügyet SMS-ről fogjuk megtervezni, fontos, hogy először egy dolgot tegyünk egyértelművé: Az SMS használata jobb, mint egyáltalán nem kétfaktúrájú hitelesítés.

Ha nem használ kétütemű hitelesítést, valaki csak a jelszóra van szüksége ahhoz, hogy bejelentkezzen fiókjába. Ha kétfunkciós hitelesítést használ SMS-lel, valakinek mindketten meg kell szereznie a jelszavát, és hozzáférést kell kapnia a szöveges üzenetekhez, hogy hozzáférjen a fiókjához. Az SMS sokkal biztonságosabb, mint egyáltalán semmi.

Ha az SMS az egyetlen opció, kérjük, használja az SMS-t. Ha azonban szeretné megtudni, hogy a biztonsági szakértők miért javasolják az SMS elkerülését és azt, amit mi javasolunk, olvasd el.

SIM-swapok A támadók számára lehetővé teszi számukra, hogy ellopják telefonszámát

Az SMS-ellenőrzés működése: Amikor bejelentkezik, a szolgáltatás szöveges üzenetet küld a korábban már megadott mobiltelefonszámra. Ezt a kódot a telefonján kapja meg, és beírja a bejelentkezéshez. Ez a kód csak egy felhasználásra alkalmas.

Meglehetősen biztonságosnak tűnik. Végül is csak a telefonszámod van, és valakinek szüksége van arra, hogy a telefonja látja a kódot? Sajnos nincs.

Ha valaki ismeri a telefonszámát, és hozzáférhet olyan személyes adatokhoz, mint például a társadalombiztosítási szám utolsó négy számjegye - sajnos ez könnyen megtalálható a sok vállalatnak és kormányzati ügynökségnek köszönhetően, amelyek kiszivárgották az ügyfelek adatait.telefonszámot, és áthelyezheti telefonszámát egy új telefonra. Ez a "SIM-swap" néven ismert, és ugyanaz a folyamat, amelyet akkor hajt végre, amikor új eszközt vásárol, és áthelyezi a telefonszámát. A személy azt mondja, hogy te vagy, megadja a személyes adatokat, és a mobiltelefon-társasága beállítja telefonját telefonszámával. Kapják meg az SMS-kódokat a telefonszámára a telefonjukra.

Láttuk, hogy ez történt az Egyesült Királyságban, ahol a támadók elloptak egy áldozat telefonszámát, és arra használták, hogy hozzáférjen az áldozat bankszámlájához. A New York állam figyelmeztetett a csalásra.

Alapvetően ez egy olyan szociális technikai támadás, amely támaszkodik a mobiltelefon-vállalat megcsalására. De a mobiltelefon-vállalatának nem szabad eljutnia ahhoz, hogy valaki hozzáférhessen a biztonsági kódokhoz!

SMS üzenetek sokféleképpen lehallgathatók

Az SMS-üzenetek elrejtésére is lehetőség van. Az elnyomó országokban a politikai disszidensek és az újságírók óvatosak lesznek, mivel a kormány átirányíthatja az SMS-üzeneteket a telefonhálózaton keresztül. Ez már megtörtént Iránban, ahol az iráni hackerek állítólag veszélyeztettek számos Telegram hírlevél számláját azáltal, hogy elfogták az SMS-üzeneteket, amelyek hozzáférést biztosítottak ezekhez a számlákhoz.

A támadók az SS7-ben, a barangoláshoz használt kapcsolódási rendszert, a hálózati SMS-üzenetek elfogására és másutt történő eljuttatására is kihasználtak. Számos másféle módon lehet elfogni az üzeneteket, többek között hamis mobiltelefon tornyok használatával. Az SMS-üzeneteket nem a biztonságra tervezték, és nem használhatók rá.

Más szóval egy bonyolult támadó, aki egy csomó személyes adattal rendelkezik, eltérítheti telefonszámát, hogy hozzáférjen az online fiókokhoz, majd használja ezeket a fiókokat, hogy megkísérelje a bankszámlák lecsapolását. Ezért az Országos Szabványügyi és Technológiai Intézet már nem ajánlja SMS üzenetek használatát a kétfaktoros hitelesítéshez.

Az alternatíva: Készülékkódok létrehozása az eszközön

A kétütemű hitelesítési séma, amely nem támaszkodik az SMS-re, jobb, mert a mobiltelefon-vállalat nem lesz képes arra, hogy valaki más hozzáférhessen kódjaihoz. Ez a legnépszerűbb lehetőség egy olyan alkalmazás, mint a Google Hitelesítő.Azonban az Authy-t ajánljuk, mivel mindent megtesz a Google Hitelesítőtől, és így tovább.

Az ehhez hasonló alkalmazások kódokat generálnak a készüléken. Még akkor is, ha egy támadó becsapta mobiltelefon-vállalatát a telefonszám átvitelére a telefonjára, nem tudják megszerezni a biztonsági kódokat. A kódok létrehozásához szükséges adatok biztonságosan megmaradnak a telefonon.

Nem kell kódokat használni. A Twitter, a Google és a Microsoft - például a Google és a Microsoft - olyan alkalmazásokat tesztelnek, amelyek alkalmazásalapú, két tényezőjű hitelesítést tartalmaznak, amely lehetővé teszi, hogy bejelentkezzen egy másik eszközön, engedélyezve a bejelentkezés alkalmazását a telefonján.

A fizikai hardver-tokenek is használhatók. A nagyvállalatok, mint a Google és a Dropbox már bevezetett egy új szabványt az U2F nevű hardveralapú kétfaktoros hitelesítési zsetonok számára. Ezek biztonságosabbak, mint a mobiltelefon-vállalatán és az elavult telefonhálózaton.

Ha lehetséges, elkerülje az SMS-t a kétütemű hitelesítéshez. Ez jobb, mint a semmi, és kényelmesebbnek tűnik, de általában ez a legkevésbé biztonságos kétütemű hitelesítési rendszer.

Sajnos néhány szolgáltatás arra kényszerít, hogy SMS-t használjon. Ha aggódsz, akkor létrehozhatsz egy Google Voice telefonszámot, és megadhatod azokat az SMS-hitelesítést igénylő szolgáltatásokat. Ezután bejelentkezhet a Google-fiókjába - amelyet biztonságosabb kétütemű hitelesítési módszerrel védhet - és megtekintheti a biztonságos üzeneteket a Google Voice webhelyén vagy alkalmazásában. Csak ne továbbítson üzeneteket a Google Voice-ból az aktuális mobiltelefonszámra.