16Jul
Varnostni strokovnjaki priporočajo uporabo dvotočkovne avtentikacije, da zagotovijo svoje spletne račune, kadar koli je to mogoče. Mnoge storitve so privzete za preverjanje SMS-ja, pošiljanje kode prek besedilnega sporočila v telefon, ko se poskušate prijaviti. Toda sporočila SMS imajo veliko varnostnih težav in so najmanj varna možnost za dvokomponentno overjanje.
First Things First: SMS je še vedno boljši od nobenega dvomestnega preverjanja pristnosti!
Medtem, ko bomo tukaj razkrili primer proti SMS-ju, je pomembno, da najprej pojasnimo eno stvar: uporaba SMS-ja je boljša, kot da sploh ne uporabljamo dvostopenjske avtentifikacije.
Če ne uporabljate dvostopenjskega preverjanja pristnosti, nekdo potrebuje le geslo za prijavo v svoj račun. Ko uporabljate dvofaktorno preverjanje pristnosti s SMS-om, bo nekdo moral pridobiti geslo in pridobiti dostop do vaših besedilnih sporočil, da bi pridobil dostop do vašega računa. SMS je veliko bolj varen kot sploh nič.
Če je SMS vaša edina možnost, uporabite SMS.Če pa želite izvedeti, zakaj varnostni strokovnjaki priporočajo, da se izognete SMS-u in kaj priporočamo namesto tega, preberite na.
zamenjave SIM dovolijo napadalcem, da ukradejo svojo telefonsko številko
. Kako deluje preverjanje SMS-a: Ko se poskusite prijaviti, storitev pošlje besedilno sporočilo številki mobilnega telefona, s katerim ste jih že prejeli. To kodo dobite v telefonu in jo vnesite, da se prijavite. Ta koda je dobra samo za eno uporabo.
Sliši se razumno varno. Navsezadnje samo imate svojo telefonsko številko in nekdo mora imeti vaš telefon videti kodo?Žal ne.
Če kdo pozna vašo telefonsko številko in lahko dobi dostop do osebnih podatkov, kot so zadnje štiri številke vaše številke socialnega zavarovanja - na žalost je to težko najti zahvaljujoč številnim korporacijam in vladnim agencijam, ki so objavile podatke o strankah - lahko se obrnejo na vašetelefonsko podjetje in premaknite telefonsko številko na nov telefon. To je znano kot »zamenjava kartice SIM« in je isti postopek, ki ga opravljate pri nakupu nove naprave in nanj premaknite svojo številko. Oseba pravi, da ste vi, da zagotovite osebne podatke, in vaše podjetje mobilnega telefona nastavi svoj telefon s svojo telefonsko številko. Dobili bodo kode SMS sporočil, poslanih na vašo telefonsko številko v svojem telefonu.
V Združenem kraljestvu smo videli poročila o tem, v katerem so napadalci ukradli telefonsko številko žrtve in jo uporabili za dostop do bančnega računa žrtve. New York State je prav tako opozoril na to prevara.
V jedru je to napad socialnega inženiringa, ki se opira na prevaro vašega podjetja mobilnega telefona. Toda vaša družba mobilnega telefona ne bi smela nikomur omogočiti dostopa do vaših varnostnih kod! SMS sporočila
se lahko prevažajo na več načinov
Možno je tudi snemanje sporočil SMS.Politični disidenti in novinarji v represivnih državah bodo želeli biti previdni, saj bi vlada lahko ugrabila sporočila SMS, ko jih pošiljajo prek telefonskega omrežja. To se je že zgodilo v Iranu, kjer so iranski hekerji domnevno ogrozili številne račune Telegram messengerja, tako da so prestregli SMS sporočila, ki so omogočila dostop do teh računov.
Napadi so zlorabili tudi težave v SS7, povezovalnem sistemu, ki se uporablja za gostovanje, prekiniti SMS sporočila v omrežju in jih usmerjati drugam. Obstaja veliko drugih načinov, kako se lahko prestrežejo sporočila, vključno z uporabo lažnih stolpcev mobilnih telefonov. SMS-sporočila niso bila zasnovana za varnost in jih ne bi smela uporabljati.
Z drugimi besedami, prefinjen napadalec z nekaj osebnimi podatki bi lahko ugrabil vašo telefonsko številko, da bi dobil dostop do vaših spletnih računov in nato uporabil te račune, da bi poskusil, na primer, za odvajanje svojih bančnih računov. Zato nacionalni inštitut za standarde in tehnologijo ne priporoča več SMS sporočil za dvokomponentno avtentifikacijo.
Alternativa: Ustvari kodo na vaši napravi
Dvoštevilčni sistem za preverjanje pristnosti, ki se ne zanaša na SMS, je boljši, ker podjetje mobilnega telefona ne bo moglo dostopati do vaših kod. Najbolj priljubljena možnost za to je aplikacija, kot je Google Authenticator. Vendar priporočamo, da Authy, saj vse naredi Google Authenticator in še več.
Aplikacije, kot je ta, ustvarjajo kodo v napravi. Tudi če je napadalec prevrnil vašo podjetje mobilne telefonije, da telefonsko številko premakne v svoj telefon, ne bi mogli dobiti varnostnih kod. Podatki, potrebni za ustvarjanje teh kod, bi ostali varni v vašem telefonu.
Ni vam treba uporabljati kod. Storitve, kot so Twitter, Google in Microsoft, preskušajo preverjanje pristnosti na podlagi dveh aplikacij, ki vam omogoča, da se prijavite v drugo napravo, tako da dovolite prijavo v svoji aplikaciji v telefonu.
Obstajajo tudi fizični strojni žetoni, ki jih lahko uporabite. Velika podjetja, kot sta Google in Dropbox, sta že uvedla nov standard za dvokaktne žetone za preverjanje pristnosti na osnovi strojne opreme, imenovane U2F.Te so vse bolj varne kot se sklicujejo na vaše podjetje mobilnega telefona in zastarelo telefonsko omrežje.
Če je možno, se izogibajte SMS-ju za dvokomponentno preverjanje pristnosti. To je bolje kot nič in se zdi priročno, vendar je običajno najmanj varna dvotaktna avtentikacija, ki jo lahko izberete.
Na žalost, nekatere storitve zahtevajo, da uporabite SMS.Če ste zaskrbljeni zaradi tega, lahko ustvarite telefonsko številko Google Voice in jo daste na storitve, ki zahtevajo overjanje SMS.Nato se lahko prijavite v svoj Google Račun - ki ga lahko zaščitite z varnejšo metodo dveh načinov preverjanja pristnosti - in si oglejte varnostna sporočila na spletnem mestu ali aplikaciji Google Voice. Ne pošiljajte sporočil iz storitve Google Voice na svojo dejansko številko mobilnega telefona.