16Jul
מומחי אבטחה ממליצים להשתמש באימות דו-גורמי כדי לאבטח את החשבונות המקוונים שלך בכל מקום אפשרי.שירותי ברירת מחדל רבים לאימות ה- SMS, שליחת קודים באמצעות הודעת טקסט לטלפון שלך כאשר אתה מנסה להיכנס. אבל הודעות SMS יש הרבה בעיות אבטחה, והם האפשרות הבטוחה ביותר עבור אימות שני גורמים.
דברים ראשון ראשון: SMS עדיין עדיף מאשר לא אימות שני גורמים בכל!
בזמן שאנחנו הולכים לפרוש את המקרה נגד ה- SMS כאן, חשוב לנו קודם לעשות דבר אחד ברור: שימוש ב- SMS הוא טוב יותר מאשר לא באמצעות אימות שני גורמים בכלל.
כאשר אינך משתמש באימות משני גורמים, מישהו זקוק רק לסיסמה שלך כדי להיכנס לחשבון שלך.כאשר אתה משתמש באימות של שני גורמים עם SMS, מישהו יצטרך לרכוש את הסיסמה שלך וגם לקבל גישה להודעות הטקסט שלך כדי לקבל גישה לחשבון שלך.SMS הוא הרבה יותר בטוח מאשר שום דבר בכלל.
אם ה- SMS הוא האפשרות היחידה שלך, אנא השתמש ב- SMS.עם זאת, אם תרצה ללמוד מדוע מומחי אבטחה ממליצים להימנע מהודעות SMS ומה אנו ממליצים, המשך לקרוא.
מחליפי SIM מאפשרים לתוקפים לגנוב את מספר הטלפון שלך
כך פועל אימות ה- SMS: כאשר אתה מנסה להיכנס, השירות שולח הודעת טקסט למספר הטלפון הנייד שסיפקת בעבר.אתה מקבל את הקוד בטלפון שלך והזן אותו כדי להיכנס. קוד זה טוב רק לשימוש אחד.
זה נשמע מאובטח למדי.אחרי הכל, רק יש לך את מספר הטלפון שלך מישהו צריך את הטלפון שלך כדי לראות את הקוד הנכון?למרבה הצער לא.
אם מישהו יודע את מספר הטלפון שלך ויכול לקבל גישה למידע אישי כמו ארבע הספרות האחרונות של מספר הביטוח הלאומי שלך - למרבה הצער, זה יהיה קל למצוא תודה על תאגידים רבים וסוכנויות ממשלתיות אשר דלפו נתוני לקוחות, הם יכולים ליצור קשר עםחברת הטלפון והעברת מספר הטלפון שלך לטלפון חדש.זה ידוע בשם "החלפת ה- SIM", וזה אותו תהליך שאתה מבצע בעת רכישת מכשיר חדש ולהעביר את מספר הטלפון שלך אליו.האדם אומר שאתה, מספק את הנתונים האישיים, ואת הטלפון הסלולרי שלך החברה מגדירה את הטלפון עם מספר הטלפון שלך.הם יקבלו את קודי ה- SMS שנשלחו למספר הטלפון שלך בטלפון.
ראינו דיווחים על התרחשות זו בבריטניה, שם התוקפים גנבו את מספר הטלפון של הקורבן והשתמשו בו כדי לקבל גישה לחשבון הבנק של הקורבן.מדינת ניו יורק יש גם הזהיר מפני הונאה זו.
הליבה שלה, זה התקפה הנדסה חברתית, כי מסתמך על tricking הטלפון הסלולרי שלך החברה.אבל חברת הטלפון הסלולרי שלך לא אמור להיות מסוגל לספק למישהו גישה קודי האבטחה שלך מלכתחילה!הודעות SMS
ניתן ליירט בדרכים רבות
אפשר גם לחטט על הודעות SMS.מתנגדים פוליטיים ועיתונאים במדינות מדכאות ירצו להיזהר, שכן הממשלה יכולה לחטוף הודעות SMS כפי שהם נשלחים דרך רשת הטלפון.זה כבר אירע באיראן, שם האקרים האיראניים על פי הדיווחים בסכנה מספר חשבונות Telegram Messenger על ידי יירוט הודעות SMS שסיפק גישה חשבונות אלה.
תוקפים התעללו גם בבעיות ב- SS7, מערכת החיבור המשמשת לנדידה, ליירט הודעות SMS ברשת ולנתב אותן במקומות אחרים.ישנן דרכים רבות אחרות הודעות ניתן ליירט, כולל באמצעות שימוש מזויף מגדלי הטלפון הנייד.הודעות SMS לא תוכננו עבור אבטחה, ואין להשתמש בהן.
במילים אחרות, תוקף מתוחכם עם קצת מידע אישי יכול לחטוף את מספר הטלפון שלך כדי לקבל גישה לחשבונות המקוונים שלך ולאחר מכן להשתמש בחשבונות אלה כדי לנסות לנקז חשבונות הבנק שלך, למשל.זו הסיבה המכון הלאומי לתקנים וטכנולוגיה כבר לא ממליץ על שימוש הודעות SMS לאימות שני גורמים.
אלטרנטיבי: יצירת קודים בהתקן
ערכת אימות דו-גורמית שאינה מסתמכת על SMS היא מעולה, מכיוון שחברת הטלפון הסלולרי לא תוכל לתת למישהו אחר גישה לקודים שלך.האפשרות הנפוצה ביותר לכך היא אפליקציה כמו Google Authenticator.עם זאת, אנו ממליצים על Authy, שכן הוא עושה כל מה שעושה Google Authenticator ועוד.
Apps כמו זה ליצור קודים במכשיר שלך.גם אם תוקף מרומה את הטלפון הסלולרי שלך החברה להעביר את מספר הטלפון שלך לטלפון שלהם, הם לא יוכלו לקבל את קודי האבטחה שלך.הנתונים הדרושים ליצירת קודים אלה יישארו בטוחים בטלפון שלך.
אתה גם לא צריך להשתמש בקודים.שירותים כמו Twitter, Google ו- Microsoft בודקים אימות מבוסס שני גורמים, המאפשר לך להיכנס במכשיר אחר על ידי מתן הרשאת הכניסה באפליקציה שלהם בטלפון.
ישנם גם אסימוני חומרה פיזיים שניתן להשתמש בהם.חברות גדולות כמו Google ו- Dropbox יישמו כבר סטנדרט חדש עבור אסימוני אימות מבוססי-חומרה המבוססים על שני גורמים בשם U2F.כל אלה הם יותר מאובטח מאשר להסתמך על הטלפון הסלולרי שלך ואת רשת הטלפון המיושן.
אם ניתן, הימנע מ- SMS לאימות של שני גורמים.זה יותר טוב מכל דבר ונראה נוח, אבל זה בדרך כלל את התוכנית לפחות מאובטח שני גורמים אימות אתה יכול לבחור.
למרבה הצער, כמה שירותים לכפות עליך להשתמש ב- SMS.אם אתה מודאג לגבי זה, תוכל ליצור מספר טלפון של Google Voice ולהעניק אותו לשירותים הדורשים אימות SMS.לאחר מכן תוכל להיכנס לחשבון Google שלך - שבו תוכל להגן באמצעות שיטת אימות מאובטחת בעלת שני גורמים - ולראות את ההודעות המאובחות באתר או באפליקציה של Google Voice.פשוט אל תעביר הודעות מ- Google Voice למספר הטלפון הנייד שלך בפועל.