16Jul

Perché non si dovrebbe usare SMS per l'autenticazione a due fattori( e cosa usare invece)

Gli esperti di sicurezza

consigliano di utilizzare l'autenticazione a due fattori per proteggere i propri account online laddove possibile. Molti servizi hanno come impostazione predefinita la verifica tramite SMS, l'invio di codici tramite SMS al telefono quando si tenta di accedere. Tuttavia, gli SMS hanno molti problemi di sicurezza e sono l'opzione meno sicura per l'autenticazione a due fattori. Prima cosa di

: SMS è ancora meglio dell'autenticazione a due fattori a tutti!

Mentre stiamo per presentare il caso contro SMS qui, è importante innanzitutto chiarire una cosa: usare SMS è meglio che non usare l'autenticazione a due fattori.

Quando non si utilizza l'autenticazione a due fattori, qualcuno ha solo bisogno della propria password per accedere al proprio account. Quando si utilizza l'autenticazione a due fattori con SMS, è necessario che entrambi acquisiscano la password e accedano ai messaggi di testo per accedere al proprio account. SMS è molto più sicuro di niente.

Se l'SMS è l'unica opzione, utilizzare SMS.Tuttavia, se desideri sapere perché gli esperti di sicurezza consigliano di evitare gli SMS e cosa invece consigliamo, continua a leggere.

Swap SIM Consentono agli aggressori di rubare il numero di telefono

Ecco come funziona la verifica SMS: quando si tenta di accedere, il servizio invia un messaggio di testo al numero di cellulare che gli ha fornito in precedenza. Ottieni il codice sul tuo telefono e inseriscilo per accedere. Questo codice è valido solo per un singolo utilizzo.

Sembra abbastanza sicuro. Dopotutto, solo tu hai il tuo numero di telefono e qualcuno deve avere il tuo telefono per vedere il codice giusto? Sfortunatamente no.

Se qualcuno conosce il tuo numero di telefono e può accedere a informazioni personali come le ultime quattro cifre del tuo numero di previdenza sociale, sfortunatamente questo è facile da trovare grazie alle molte società e agenzie governative che hanno trapelato i dati dei clienti: possono contattare il tuocompagnia telefonica e sposta il tuo numero di telefono su un nuovo telefono. Questo è noto come "scambio SIM", ed è lo stesso processo che si esegue quando si acquista un nuovo dispositivo e si sposta il numero di telefono su di esso. La persona dice di essere te, fornisce i dati personali e la tua compagnia telefonica imposta il telefono con il tuo numero di telefono. Riceveranno i codici dei messaggi SMS inviati al tuo numero di telefono sul loro telefono.

Abbiamo visto rapporti di questo accadendo nel Regno Unito, dove gli aggressori hanno rubato il numero di telefono di una vittima e l'hanno usato per accedere al conto bancario della vittima. Lo Stato di New York ha anche avvertito di questa truffa.

Al suo centro, si tratta di un attacco di social engineering che si basa su ingannare la tua compagnia di telefonia mobile. Ma la tua compagnia di telefoni cellulari non dovrebbe essere in grado di fornire a qualcuno l'accesso ai tuoi codici di sicurezza, in primo luogo! I messaggi SMS

possono essere intercettati in molti modi.

È anche possibile curiosare su messaggi SMS.Dissidenti politici e giornalisti in paesi repressivi vorranno stare attenti, poiché il governo potrebbe dirottare i messaggi SMS mentre vengono inviati attraverso la rete telefonica. Ciò è già accaduto in Iran, dove gli hacker iraniani hanno riferito di aver compromesso un certo numero di account di messaggistica di Telegram intercettando i messaggi SMS che fornivano l'accesso a tali account.

Gli hacker hanno anche abusato dei problemi in SS7, il sistema di connessione utilizzato per il roaming, per intercettare i messaggi SMS sulla rete e instradarli altrove. Ci sono molti altri modi in cui i messaggi possono essere intercettati, anche attraverso l'uso di finte torri di telefoni cellulari. I messaggi SMS non sono stati progettati per la sicurezza e non dovrebbero essere utilizzati per questo.

In altre parole, un aggressore sofisticato con un po 'di informazioni personali potrebbe dirottare il tuo numero di telefono per accedere ai tuoi account online e quindi utilizzare tali account per tentare di svuotare i tuoi conti bancari, ad esempio. Ecco perché il National Institute of Standards and Technology non raccomanda più l'uso di messaggi SMS per l'autenticazione a due fattori.

L'alternativa: generare codici sul dispositivo

Uno schema di autenticazione a due fattori che non si basa su SMS è superiore, poiché la società di telefonia mobile non sarà in grado di fornire a qualcun altro l'accesso ai codici. L'opzione più popolare per questo è un'app come Google Authenticator. Tuttavia, consigliamo Authy, poiché fa tutto ciò che fa Google Authenticator e altro.

App come questo generano codici sul tuo dispositivo. Anche se un utente malintenzionato ingannasse la tua compagnia di telefonia mobile per spostare il tuo numero di telefono sul loro telefono, non sarebbe in grado di ottenere i tuoi codici di sicurezza. I dati necessari per generare quei codici rimarrebbero saldamente sul tuo telefono.

Non devi nemmeno usare i codici. Servizi come Twitter, Google e Microsoft stanno testando l'autenticazione a due fattori basata su app che consente di accedere su un altro dispositivo autorizzando l'accesso nella propria app sul telefono.

Esistono anche token hardware fisici che è possibile utilizzare. Grandi aziende come Google e Dropbox hanno già implementato un nuovo standard per i token di autenticazione a due fattori basati su hardware denominati U2F.Questi sono tutti più sicuri che fare affidamento sulla società di telefonia cellulare e la rete telefonica obsoleta.

Se possibile, evitare SMS per l'autenticazione a due fattori.È meglio di niente e sembra conveniente, ma di solito è lo schema di autenticazione a due fattori meno sicuro che puoi scegliere.

Sfortunatamente, alcuni servizi ti obbligano a usare SMS.Se sei preoccupato, puoi creare un numero di telefono di Google Voice e consegnarlo ai servizi che richiedono l'autenticazione via SMS.Puoi quindi accedere al tuo account Google, che puoi proteggere con un metodo di autenticazione a due fattori più sicuro, e vedere i messaggi protetti nel sito web o nell'app di Google Voice. Non inoltrare i messaggi di Google Voice al tuo numero di cellulare effettivo.