16Jul
Сигурност стручњаци препоручују коришћење двоструке аутентификације да би осигурали своје онлине рачуне гдје год је то могуће.Многе услуге подразумевају верификацију СМС-а, шаљујући кодове путем текстуалне поруке на свој телефон када покушате да се пријавите. Али СМС поруке имају доста сигурносних проблема и најмање су сигурне опције за двоструку аутентификацију.
Фирст Тхингс Фирст: СМС је још бољи него без аутентичности за два фактора!
Док ћемо овде изложити случај против СМС-а, важно је да прво разјаснимо једну ствар: коришћење СМС-а је боље него што не користи двоструку аутентификацију.
Када не користите двоструку аутентикацију, некоме је потребна само ваша лозинка за пријављивање на свој налог.Када користите двоструку аутентичност са СМС-ом, неко ће морати обоје добити вашу лозинку и добити приступ вашим текстуалним порукама како бисте приступили свом рачуну.СМС је много сигурнији него ништа.
Ако је СМС ваша једина опција, молимо вас да користите СМС.Међутим, ако желите сазнати зашто стручњаци за сигурност препоручују избјегавање СМС-а и оно што ми препоручујемо, прочитајте даље.
Замене СИМ-а дозвољавају нападачима да украде ваш број телефона
Ево како функционише верификација СМС-а: Када покушате да се пријавите, услуга шаље текстуалну поруку на број мобилног телефона који сте им претходно доставили.Добићете тај код на телефону и унесите га да се пријавите. Тај код је добар само за једну употребу.
Звучи разумно безбедно.На крају крајева, само имате телефонски број и неко мора имати ваш телефон да види код-десно?Нажалост нема.
Ако неко зна ваш број телефона и може да добије приступ личним информацијама као што су последње четири цифре вашег броја социјалног осигурања - нажалост, то је лако пронаћи захваљујући многим корпорацијама и владиним агенцијама које су откриле податке о купцима - они могу контактиратителефонску компанију и померите свој телефонски број на нови телефон.Ово је познато као "СИМ свап" и исти је исти процес када купујете нови уређај и померате свој број телефона на њега.Особа каже да сте ви, да обезбедите личне податке, а ваша компанија мобилног телефона поставља свој телефон својим телефонским бројем.Они ће добити СМС поруке које су послате на ваш телефонски број на свом телефону.
Видели смо извештаје о томе да се то дешавало у Великој Британији, где су нападачи украли телефонски број жртве и искористили га како би приступили рачуну жртве.Држава Нев Иорка упозорила је и на ову превару.
У свом језгру, ово је напад социјалног инжењеринга који се ослања на преваре своје компаније мобилног телефона.Али ваша компанија мобилног телефона не би требала да некоме омогући приступ вашим сигурносним кодовима!
СМС поруке могу бити пресретнуте на многе начине
Такође је могуће сноопирати СМС поруке.Политички дисиденти и новинари у репресивним земљама ће желети бити опрезни, јер би влада могла отети СМС поруке пошто су послате путем телефонске мреже.Ово се већ десило у Ирану, где су ирански хакери наводно компромитовали велики број Телеграмових гласовних рачуна притискањем СМС порука које су омогућиле приступ тим рачунима.
Нападачи су такође злоупотребили проблеме у СС7, систему повезивања који се користи за роминг, да пресретне СМС поруке на мрежи и усмери их на другом мјесту.Постоји много других начина да се поруке могу пресретати, укључујући и коришћење лажних кула за мобилне телефоне.СМС поруке нису дизајниране за сигурност и не би требало користити за то.
Другим речима, софистицирани нападач са мало личних података могао би да отвори ваш телефонски број да би добио приступ вашим онлајн налозима, а затим их користите како бисте покушали да исцрпљујете своје банкарске рачуне, на пример.Због тога Национални институт за стандарде и технологију више не препоручује коришћење СМС порука за двофакторску аутентификацију.
Алтернатива: Генерисање кодова на уређају
Два фактора шема идентификације која се не ослања на СМС је супериорна, јер компанија компаније мобилне телефоније неће моћи да некоме другима дају приступ својим кодовима.Најпопуларнија опција за ово је апликација као што је Гоогле Аутхентицатор.Међутим, препоручујемо Аутхи, пошто све чини Гоогле Аутхентицатор и још више.
Апликације попут овог генеришу кодове на вашем уређају.Чак и ако је нападач преварио вашу компанију мобилног телефона да помера свој телефонски број на свој телефон, они не би могли да добију ваше сигурносне кодове.Подаци потребни за генерисање тих кодова сигурно би остали на вашем телефону.
Не морате користити ни кодове.Услуге као што су Твиттер, Гоогле и Мицрософт тестирају аутентификацију по два фактора заснована на апликацији која вам омогућава да се пријавите на други уређај тако што ћете овластити пријављивање у својој апликацији на свом телефону.
Постоје и физички токови хардвера који можете користити.Велике компаније попут Гооглеа и Дропбок-а већ су имплементирале нови стандард за хардверске двокактне токове за аутентификацију назване У2Ф.Све су сигурније него ослањање на вашу компанију мобилне телефоније и застарелу телефонску мрежу.
Ако је могуће, избегавајте СМС за двофакторску аутентификацију.Боље је него ништа и чини се згодним, али обично је најмање сигурна двостепена шема аутентичности коју можете одабрати.
Нажалост, неке услуге захтевају да користите СМС.Ако сте забринути због овога, могли бисте да направите број Гоогле Воице телефона и да га дате услугама које захтевају аутоматску потврду СМС-а.Потом се можете пријавити на свој Гоогле налог - који можете заштитити помоћу сигурнијег двокактног начина провјере аутентичности - и видјети сигурне поруке на веб локацији или апликацији Гоогле Воице.Само не преусмеравајте поруке са Гоогле Воице на свој стварни број мобилног телефона.