16Jul
Odborníci na bezpečnosť odporúčajú použitie dvojfaktorovej autentifikácie na zabezpečenie vašich online účtov všade tam, kde je to možné.Mnohé služby predvolene overujú SMS, odosielajú kódy prostredníctvom textovej správy do telefónu, keď sa pokúšate prihlásiť. Ale SMS správy majú veľa bezpečnostných problémov a sú najmenej zabezpečenou možnosťou dvojfaktorovej autentifikácie.
Prvé veci prvé: SMS je stále lepšia ako žiadna dvojfaktorová autentifikácia na všetkých!
Zatiaľ čo budeme vysvetľovať prípad proti SMS, je dôležité najprv urobiť jednu vec jasnú: Používanie SMS je lepšie ako nepoužívanie dvojfaktorovej autentifikácie vôbec.
Keď nepoužívate dvojfaktorové overenie, niekto potrebuje iba vaše heslo na prihlásenie do vášho účtu. Keď používate dvojfaktorové overenie prostredníctvom SMS, bude potrebné, aby ste niekoho získali svoje heslo a získali prístup k vašim textovým správam, aby ste získali prístup k svojmu účtu. SMS je oveľa bezpečnejšia ako nič vôbec.
Ak je vaša jediná možnosť SMS, použite SMS.Ak by ste sa však chceli dozvedieť, prečo odborníci v oblasti bezpečnosti odporúčajú vyhnúť sa SMS a čo odporúčame, prečítajte si ďalej.
SIM Swaps Povoliť útočníkom ukradnúť vaše telefónne číslo
Ako funguje overovanie SMS: Keď sa pokúšate prihlásiť, služba odošle textovú správu na číslo mobilného telefónu, ktoré ste im predtým poskytli. Získate tento kód v telefóne a zadajte ho, aby ste sa prihlásili. Tento kód je vhodný len pre jedno použitie.
Znie to primerane bezpečné.Koniec koncov, len vy máte vaše telefónne číslo a niekto musí mať váš telefón, aby mohol vidieť kód správne? Bohužiaľ nie.
Ak niekto pozná vaše telefónne číslo a môže získať prístup k osobným informáciám, ako sú posledné štyri číslice svojho čísla sociálneho poistenia, bohužiaľ sa to dá ľahko nájsť vďaka mnohým spoločnostiam a vládnym agentúram, ktoré prenikli údaje o zákazníkoch -telefónu a presuňte svoje telefónne číslo na nový telefón. Toto je známe ako "swap SIM" a je to ten istý proces, ktorý vykonávate pri zakúpení nového zariadenia a presunutie jeho telefónneho čísla.Človek hovorí, že ste vy, poskytuje osobné údaje a vaša mobilná telefónna spoločnosť si nastaví telefón s vaším telefónnym číslom. Dostanú kódy správ SMS odoslané na vaše telefónne číslo na svojom telefóne.
V Spojených štátoch sme videli správy o tom, že útočníci ukradli telefónne číslo obete a použili ho na získanie prístupu k bankovému účtu obete. New York štát tiež varoval pred týmto podvodom.
Je to jadro útoku sociálneho inžinierstva, ktorý sa spolieha na podvádzanie vašej mobilnej spoločnosti. Ale vaša mobilná spoločnosť by nemala byť schopná poskytnúť niekomu prístup k vašim bezpečnostným kódom na prvom mieste! SMS správy
môžu byť zablokované mnohými spôsobmi
Je tiež možné sledovať SMS správy. Politickí disidenti a novinári v represívnych krajinách budú chcieť byť opatrní, pretože vláda môže zachytiť SMS správy, keď sú posielané cez telefónnu sieť.To sa už stalo v Iráne, kde iránski hackeri údajne ohrozili množstvo účtov telegramových správ prostredníctvom zachytenia správ SMS, ktoré poskytli prístup k týmto účtom.
Útočníci tiež zneužívali problémy v systéme spojenia SS7, používanom pre roaming, na zachytenie SMS správ v sieti a ich smerovanie inde. Existuje mnoho ďalších spôsobov, ako je možné zachytiť správy, a to aj prostredníctvom použitia falošných mobilných telefónov. SMS správy neboli určené na zabezpečenie a nemali by sa používať na to.
Inými slovami, sofistikovaný útočník s trochou osobných informácií by mohol uniesť vaše telefónne číslo, aby získal prístup k vašim online účtom a potom tieto účty použil, aby sa pokúšal napríklad vypustiť vaše bankové účty. Preto Národný inštitút pre štandardy a technológie už neodporúča používanie SMS správ na dvojfaktorové autentifikácie.
Alternatíva: Generovanie kódov vo vašom zariadení
Schéma dvojfaktorovej autentifikácie, ktorá nespolieha na SMS, je lepšia, pretože spoločnosť mobilného telefónu nebude môcť dať niekomu inému prístup k vašim kódom. Najobľúbenejšou voľbou pre túto aplikáciu je aplikácia Google Authenticator. Avšak odporúčame Authy, pretože to robí všetko, čo Google Authenticator robí a ďalšie.
Aplikácie, ako je toto, generujú kódy vo vašom zariadení.Dokonca aj vtedy, keď útočník podviedol vašu spoločnosť mobilného telefónu, aby presunula telefónne číslo do svojho telefónu, nebolo by možné získať vaše bezpečnostné kódy.Údaje potrebné na vytvorenie týchto kódov zostanú v telefóne bezpečne.
Nemusíte používať ani kódy. Služby ako Twitter, Google a Microsoft testujú autentifikáciu dvoch faktorov založenú na aplikáciách, ktorá vám umožňuje prihlásiť sa na inom zariadení tak, že povolíte prihlásenie do aplikácie v telefóne.
Existujú aj tokeny fyzického hardvéru, ktoré môžete použiť.Veľké spoločnosti ako Google a Dropbox už implementovali nový štandard pre hardvérové dvojfaktorové autentifikačné tokeny s názvom U2F.To všetko je bezpečnejšie ako spoliehanie sa na vašu spoločnosť mobilného telefónu a zastaranú telefónnu sieť.
Ak je to možné, vyhýbajte sa SMS na dvojfaktorové overovanie. Je to lepšie ako nič a zdá sa to pohodlné, ale zvyčajne je to najmenej bezpečná dvojfaktorová schéma autentifikácie, ktorú si môžete vybrať.
Bohužiaľ, niektoré služby vás nútia používať SMS.Ak sa o to obávate, môžete vytvoriť telefónne číslo Google Voice a poskytnúť mu služby, ktoré vyžadujú overenie prostredníctvom SMS.Potom by ste sa mohli prihlásiť do svojho účtu Google, ktorý môžete chrániť bezpečnejšou dvojfaktorovou metódou overenia - a zobraziť bezpečné správy na webových stránkach alebo aplikáciách Google Voice. Jednoducho nepreposielajte správy zo služby Google Voice na vaše skutočné číslo mobilného telefónu.