16Jul
zalecają stosowanie uwierzytelniania dwuskładnikowego w celu zabezpieczenia kont internetowych w miarę możliwości. Wiele usług domyślnie obsługuje weryfikację SMS-ów, wysyłanie kodów za pośrednictwem wiadomości tekstowych do telefonu podczas próby zalogowania. Jednak wiadomości SMS mają wiele problemów z zabezpieczeniami i są najmniej bezpieczną opcją uwierzytelniania dwuskładnikowego.
Pierwsze rzeczy na pierwszym miejscu: SMS jest nadal lepszy niż brak dwuetapowego uwierzytelniania!
Choć zamierzamy wytyczyć tutaj sprawę przeciwko SMS-owi, ważne jest, abyśmy najpierw wyjaśnili jedno: korzystanie z SMS-ów jest lepsze niż nieużywanie dwuskładnikowego uwierzytelniania.
Jeśli nie używasz uwierzytelniania dwuskładnikowego, ktoś potrzebuje tylko Twojego hasła, aby zalogować się na swoje konto. Podczas korzystania z uwierzytelniania dwuskładnikowego za pomocą wiadomości SMS, ktoś będzie musiał zarówno uzyskać hasło, jak i uzyskać dostęp do wiadomości tekstowych, aby uzyskać dostęp do konta. SMS jest o wiele bezpieczniejszy niż nic.
Jeśli SMS jest Twoją jedyną opcją, użyj SMS-a. Jeśli jednak chcesz się dowiedzieć, dlaczego eksperci od bezpieczeństwa zalecają unikanie SMS-ów i tego, co zalecamy, czytaj dalej.
Swapy SIM umożliwiają atakującym ukradzenie Twojego numeru telefonu
Oto, jak działa weryfikacja za pomocą wiadomości SMS: podczas próby zalogowania się usługa wysyła wiadomość tekstową na podany wcześniej numer telefonu komórkowego. Dostajesz ten kod na swój telefon i wprowadzasz go, aby się zalogować. Ten kod jest dobry tylko do jednorazowego użytku.
Brzmi dość bezpiecznie. W końcu tylko Ty masz swój numer telefonu i ktoś musi mieć telefon, żeby zobaczyć kod, prawda? Niestety nie.
Jeśli ktoś zna Twój numer telefonu i może uzyskać dostęp do danych osobowych, takich jak ostatnie cztery cyfry numeru ubezpieczenia społecznego - niestety łatwo jest to znaleźć dzięki wielu korporacjom i agencjom rządowym, które ujawniły dane klienta - mogą skontaktować się zfirma telefoniczna i przenieś swój numer telefonu na nowy telefon. Jest to tak zwana "wymiana SIM" i jest to ten sam proces, który wykonuje się przy zakupie nowego urządzenia i przeniesieniu do niego numeru telefonu. Ta osoba mówi, że to ty, podaje dane osobowe, a twoja firma komórkowa ustawia telefon z numerem telefonu. Otrzymają kody wiadomości SMS wysłane na Twój numer telefonu na swoim telefonie.
Widzieliśmy doniesienia o tym zdarzeniu w Wielkiej Brytanii, gdzie napastnik ukradł numer telefonu ofiary i wykorzystał go, by uzyskać dostęp do konta bankowego ofiary. Stan Nowy Jork ostrzegł również przed tym oszustwem.
W gruncie rzeczy jest to atak socjotechniczny polegający na oszukiwaniu firmy telefonii komórkowej. Ale Twoja firma komórkowa nie powinna być w stanie zapewnić komuś dostępu do kodów bezpieczeństwa w pierwszej kolejności! Wiadomości
mogą być przechwytywane w wielu sposobach
Możliwe jest również podsłuchiwanie wiadomości SMS.Polityczni dysydenci i dziennikarze w represyjnych krajach będą chcieli zachować ostrożność, ponieważ rząd może przejąć wiadomości SMS, ponieważ są one przesyłane przez sieć telefoniczną.Miało to już miejsce w Iranie, gdzie irańscy hakerzy naruszyli pewną liczbę kont posłańców Telegram, przechwytując wiadomości SMS zapewniające dostęp do tych kont.
Atakujący również nadużyli problemów w SS7, systemie połączeń wykorzystywanym do roamingu, do przechwytywania wiadomości SMS w sieci i kierowania ich w inne miejsce. Istnieje wiele innych sposobów przechwytywania wiadomości, w tym z wykorzystaniem fałszywych wież telefonii komórkowej. Wiadomości SMS nie zostały zaprojektowane z myślą o bezpieczeństwie i nie powinny być wykorzystywane do tego celu.
Innymi słowy, wyrafinowany atakujący z odrobiną danych osobowych może przejąć twój numer telefonu, aby uzyskać dostęp do twoich kont online, a następnie użyć tych kont, aby spróbować np. Drenować swoje konta bankowe. Dlatego Narodowy Instytut Standardów i Technologii już nie zaleca stosowania wiadomości SMS do uwierzytelniania dwuskładnikowego.
Alternatywa: Generuj kody na swoim urządzeniu
Dwuskładnikowy schemat uwierzytelniania, który nie polega na SMS-ach, jest lepszy, ponieważ firma telefonii komórkowej nie będzie mogła dać komuś dostępu do kodów. Najpopularniejszą opcją jest aplikacja Google Authenticator. Zalecamy jednak Authy, ponieważ robi to wszystko, co robi Google Authenticator i więcej.
Aplikacje tego typu generują kody na Twoim urządzeniu. Nawet jeśli atakujący oszukał twoją firmę telefonii komórkowej w przeniesieniu twojego numeru telefonu na swój telefon, nie byliby w stanie uzyskać twoich kodów bezpieczeństwa. Dane potrzebne do wygenerowania tych kodów pozostaną bezpiecznie w telefonie.
Nie musisz też używać kodów. Usługi takie jak Twitter, Google i Microsoft testują oparte na aplikacji uwierzytelnianie dwuskładnikowe, które umożliwia zalogowanie się na innym urządzeniu poprzez autoryzację logowania w aplikacji na telefonie.
Istnieją również fizyczne tokeny sprzętowe, których możesz użyć.Duże firmy, takie jak Google i Dropbox, już wdrożyły nowy standard dla dwuskładnikowych tokenów uwierzytelniania o nazwie U2F.Są one bardziej bezpieczne niż poleganie na firmie telefonii komórkowej i przestarzałej sieci telefonicznej.
Jeśli to możliwe, unikaj wiadomości SMS w celu uwierzytelniania dwuskładnikowego. Jest to lepsze niż nic i wydaje się wygodne, ale zazwyczaj jest to najmniej bezpieczny, dwuskładnikowy schemat uwierzytelniania, który możesz wybrać.
Niestety, niektóre usługi zmuszają Cię do korzystania z SMS-ów. Jeśli się o to martwisz, możesz utworzyć numer telefonu Google Voice i przekazać go usługom, które wymagają uwierzytelnienia SMS-em. Następnie możesz zalogować się na swoje konto Google - które możesz zabezpieczyć bezpieczniejszą metodą uwierzytelniania dwuskładnikowego - i wyświetlać bezpieczne wiadomości w witrynie lub aplikacji Google Voice. Po prostu nie przesyłaj wiadomości z Google Voice na rzeczywisty numer telefonu komórkowego.