16Jul
Apsaugos specialistai rekomenduoja naudoti dviejų faktorių autentifikavimą, kad galėtumėte saugoti savo internetines sąskaitas. Daugelis tarnybų pagal nutylėjimą atlieka SMS patikrinimą, siunčiant kodus tekstiniu pranešimu į savo telefoną, kai bandote prisijungti. Tačiau SMS žinutėmis yra daug saugumo problemų ir yra mažiausiai saugi dviejų veiksnių autentiškumo parinktis.
pirmas dalykas pirmas: SMS vis dar geresnis nei dviejų faktorių autentiškumo visiems!
Nors mes ketiname išdėstyti bylą prieš SMS čia, svarbu, kad mes pirmiausia padarysime vieną dalyką: SMS naudojimas yra geresnis nei dvigubo autentifikavimo naudojimas.
Jei nenaudojate dviejų faktorių autentifikavimo, norint prisijungti prie savo paskyros, kažkam reikia tik savo slaptažodžio. Jei naudosite dviejų veiksnių autentifikavimą naudodamiesi SMS, kažkuriui reikės įsigyti savo slaptažodį ir susipažinti su savo tekstiniais pranešimais, kad galėtumėte pasiekti jūsų paskyrą.SMS yra daug saugesnis nei nieko.
Jei SMS yra jūsų vienintelis pasirinkimas, prašome naudoti SMS.Tačiau jei norėtumėte sužinoti, kodėl saugumo ekspertai rekomenduoja išvengti SMS ir ką mes rekomenduojame, skaitykite toliau.
SIM apsikeitimai leidžia atakuojančioms priemonėms pavogti jūsų telefono numerį
Štai, kaip veikia SMS patvirtinimas: kai bandote prisijungti, paslauga siunčia teksto žinutę prie mobiliojo telefono numerio, kurį anksčiau jai suteikėte. Jūs gaunate šį kodą savo telefone ir įveskite jį norėdami prisijungti. Šis kodas yra tinkamas tik vienkartiniam naudojimui.
Tai skamba pakankamai saugiai. Galų gale, tik jūs turite savo telefono numerį, o kažkas turi turėti jūsų telefoną, kad galėtumėte pamatyti kodą?Deja, ne.
Jei kas nors žino jūsų telefono numerį ir gali gauti prieigą prie asmeninės informacijos, pvz., Paskutinius keturis jūsų socialinio draudimo numerio skaitmenis, deja, tai bus lengva rasti, nes daugelis korporacijų ir vyriausybinių agentūrų, kurios išleido klientų duomenis, gali susisiekti su savotelefono kompaniją ir perkelkite savo telefono numerį į naują telefoną.Tai vadinama "SIM apsikeitimo" funkcija ir tai tas pats procesas, kurį atliekate perkant naują įrenginį ir perkeldami į jį savo telefono numerį.Asmuo sako, kad jūs esate, pateikia asmens duomenis, o jūsų mobiliojo ryšio kompanija nustato savo telefoną su savo telefono numeriu. Jie gaus SMS žinučių kodus, siunčiamus į savo telefono numerį savo telefone.
Mes radome pranešimus apie tai, kas vyksta Jungtinėje Karalystėje, kur užpuolikai pavogė aukos telefono numerį ir naudojosi ja, norėdami gauti prieigą prie aukos banko sąskaitos. Niujorko valstija taip pat perspėjo apie šį sukčiavimą.
Iš esmės tai yra socialinės inžinerijos išpuolis, kuris priklauso nuo apgaulingų jūsų mobiliojo telefono kompanijos. Bet jūsų mobiliojo ryšio kompanija neturėtų galėti suteikti asmeniui prieigos prie jūsų saugos kodų pirmiausia!
SMS žinutės gali būti perimtos įvairiais būdais.
Taip pat galima snoop SMS žinutėmis. Politiniai disidentai ir žurnalistai represinėse šalyse norės būti atsargūs, nes vyriausybė gali užgrobti SMS žinutes, nes jie siunčiami per telefono tinklą.Tai jau įvyko Irane, kur, kaip pranešė, Irano įsilaužėlis pakenkė tam tikroms "Telegram messenger" sąskaitoms, perėmė SMS žinutes, kuriose buvo suteikta prieiga prie tų sąskaitų.
užpuolikai taip pat piktnaudžiauja SS7 problemomis, naudojančia tarptinklinio ryšio ryšių sistemą, perimdama SMS pranešimus tinkle ir nukreipdami juos kitur. Yra daugybė kitų būdų, kaip pranešimai gali būti perimti, taip pat naudojant suklastotus mobiliųjų telefonų bokštus. SMS žinutės nebuvo sukurtos saugumui ir neturėtų būti naudojamos.
Kitaip tariant, sudėtingas užpuolikas su šiek tiek asmenine informacija gali užgrobti jūsų telefono numerį, kad gautumėte prieigą prie jūsų internetinių paskyrų, ir tada naudokitės šiomis paskyromis, pavyzdžiui, nusausinkite savo banko sąskaitas.Štai kodėl Nacionalinis standartų ir technologijų institutas nebeteikia SMS žinučių naudojimo dvifaziu autentifikavimu.
Alternatyva: generuoti savo įrenginyje esančius kodus
Dviejų veiksnių autentiškumo patvirtinimo schema, kuri nėra pagrįsta SMS, yra geresnė, nes mobiliojo ryšio įmonė negalės suteikti kitam asmeniui prieigos prie jūsų kodų.Populiariausias pasirinkimas yra "Google Authenticator" programa. Tačiau mes rekomenduojame "Authy", nes tai daro viską, ko "Google" autentifikavimo priemonė atlieka ir dar daugiau. Tokios
programos sukuria kodus jūsų prietaise. Net jei užpuolikas apgaudinėja jūsų mobiliojo telefono kompaniją į savo telefono numerio perkėlimą į savo telefoną, jie negalės gauti jūsų saugos kodų.Šie kodai generuoti reikalingi duomenys bus saugūs jūsų telefone.
Jūs taip pat nereikia naudoti kodų.Paslaugos, pvz., "Twitter", "Google" ir "Microsoft", išbando dviejų pagrindinių funkcijų autentifikavimą, kuris leidžia prisijungti prie kito įrenginio, leidžiant prisijungti prie savo telefono programos.
Taip pat yra fizinių aparatūros žetonų, kuriuos galite naudoti. Didelės įmonės, tokios kaip "Google" ir "Dropbox", jau įdiegė naują standartą, skirtą aparatūriniams dviejų faktorių autentifikavimo žetonams, pavadintoms U2F.Tai yra daug saugiau nei pasikliauti savo mobiliojo ryšio telefonu ir pasenusiu telefono tinklu.
Jei įmanoma, vengiama SMS dviejų faktorių autentifikavimo. Tai geriau nei nieko ir atrodo patogiai, bet tai paprastai yra mažiausiai saugi dviejų faktorių autentifikavimo schema, kurią galite pasirinkti.
Deja, kai kurios paslaugos verčia jus naudotis SMS žinute. Jei esate susirūpinę dėl šios priežasties, galite sukurti "Google Voice" telefono numerį ir suteikti paslaugas, kurioms reikia SMS autentifikavimo. Tada galėsite prisijungti prie savo "Google" paskyros, kurią galite apsaugoti taikydami saugesnį dviejų veiksnių autentifikavimo metodą ir pamatę saugius pranešimus "Google Voice" svetainėje arba programoje. Tiesiog nepasiųskite pranešimų iš "Google Voice" į tikrąjį mobiliojo telefono numerį.