Miks te ei tohiks kasutada SMS-i kahe teguri autentimiseks (ja selle asemel, mida kasutada)
Turvaspetsialistid soovitavad online-kontode turvalisuse tagamiseks kasutada kahe faktoriga autentimist. Paljud teenused vaikimisi SMS-i kinnituseks, saates teie telefonile tekstisõnumi kaudu sisselogimise ajal. Kuid SMS-sõnumitel on palju turvaprobleeme ja need on kõige vähem turvaline valik kahe teguri autentimiseks.
Esimesed asjad: SMS on endiselt parem kui kahekordne autentimine üldse!
Kuigi me kavatseme siin SMSi vastu panna, on oluline, et teeme kõigepealt ühe selguse: SMS-i kasutamine on parem kui üldse mitte kahekordse autentimise kasutamine.
Kui te ei kasuta kahe faktoriga autentimist, vajab keegi teie kontole sisselogimiseks ainult teie parooli. Kui kasutate SMS-iga kahekordset autentimist, peab keegi teie kontole pääsemiseks saama nii parooli kui ka juurdepääsu teie tekstisõnumitele. SMS on palju turvalisem kui mitte midagi.
Kui SMS on teie ainus võimalus, kasutage SMS-i. Kui soovite teada, miks turvatöötajad soovitavad SMSi vältida ja mida soovitame selle asemel, loe edasi.
SIM-vahetustehingud lubavad ründajatel teie telefoninumbrit varastada
SMS-verifitseerimise toimingud on järgmised: Kui proovite sisse logida, saadab teenus tekstsõnumi mobiilinumbrile, mille olete varem neile andnud. Sa saad selle koodi oma telefonis ja sisestad selle sisse logida. See kood on hea ainult ühekordseks kasutamiseks.
See kõlab mõistlikult turvaliselt. Lõppude lõpuks, ainult teil on oma telefoninumber ja keegi peab teie telefoni koodi koodi nägema? Kahjuks ei.
Kui keegi teab teie telefoninumbrit ja pääseb ligi isiklikele andmetele, nagu teie sotsiaalkindlustusnumbri neli viimast numbrit, on see kahjuks lihtne leida tänu paljudele korporatsioonidele ja valitsusasutustele, kes on kliendiandmeid lekkinud - nad võivad teie telefoniga ühendust võtta firma ja teisaldage oma telefoninumber uuele telefonile. Seda nimetatakse „SIM-vahetusteks“ ja see on sama protsess, mida teete uue seadme ostmisel ja oma telefoninumbri teisaldamisel. Isik ütleb, et nad oled, annavad isikuandmeid ja teie mobiiltelefoniettevõte loob oma telefoni oma telefoninumbriga. Nad saavad SMS-koodid, mis saadetakse teie telefoninumbrile oma telefonis.
Me oleme näinud, et see juhtub Ühendkuningriigis, kus ründajad varastasid ohvri telefoninumbri ja kasutasid seda juurdepääsu ohvri pangakontole. New Yorgi osariik on selle kelmuse eest hoiatanud.
Selle tuumaks on see sotsiaalse inseneri rünnak, mis tugineb teie mobiiltelefoniettevõtte peksmisele. Kuid teie mobiiltelefonifirma ei peaks esitama kellelegi juurdepääsu teie turvakoodidele!
SMS-sõnumeid saab paljudel viisidel vastu võtta
Samuti on võimalik SMS-sõnumeid vastu võtta. Poliitilised dissidentid ja represseerivate riikide ajakirjanikud tahavad olla ettevaatlikud, kuna valitsus võib SMS-sõnumeid telefonivõrgu kaudu saata. See on juba juhtunud Iraanis, kus Iraani häkkerid on väidetavalt ohustanud mitmeid telegrammi sõnumikontosid, haarates SMS-sõnumid, mis võimaldasid juurdepääsu nendele kontodele.
Samuti on ründajad kuritarvitanud rändluseks kasutatavat SS7-süsteemi, SMS-sõnumite võrgus pealtkuulamiseks ja mujale suunamiseks. On mitmeid muid võimalusi, kuidas sõnumeid saab kinni haarata, sealhulgas võltsitud mobiiltelefonitornide kasutamise kaudu. SMS-sõnumid ei ole mõeldud turvalisuseks ja neid ei tohiks kasutada.
Teisisõnu, kogenud ründaja, kellel on natuke isiklikku teavet, võib teie telefoninumbrit pääseda ligi, et pääseda ligi oma online-kontodele ja kasutada neid kontosid näiteks pangaarvete äravooluks. Sellepärast ei soovita Riiklik Standardite ja Tehnoloogia Instituut enam SMS-sõnumite kasutamist kahe teguri autentimiseks.
Alternatiiv: genereerige oma seadmes koodid
Kahe teguri autentimise skeem, mis ei tugine SMS-ile, on parem, sest mobiiltelefonifirma ei saa anda kellelegi juurdepääsu teie koodidele. Selle kõige populaarsem valik on rakendus nagu Google Authenticator. Soovitame siiski Authy-d, sest see teeb kõik, mida Google Authenticator teeb.
Sellised rakendused tekitavad teie seadmes koode. Isegi kui ründaja trikkis teie mobiiltelefoni firma oma telefoninumbri teisaldamiseks, ei saaks nad oma turvakoode saada. Nende koodide genereerimiseks vajalikud andmed jäävad teie telefoni turvaliselt.
Te ei pea kasutama ka koode. Teenused nagu Twitter, Google ja Microsoft testivad rakendusel põhinevat kahekordset autentimist, mis võimaldab teil sisse logida teises seadmes, lubades oma rakenduses sisselogimist teie telefonis.
Samuti on võimalik kasutada füüsilisi riistvara märke. Suured ettevõtted, nagu Google ja Dropbox, on juba rakendanud uue standardi riistvarapõhiste kahefaktoriliste autentimismärkide jaoks, mille nimi on U2F. Need on kõik turvalisemad, kui tugineda oma mobiiltelefoni ettevõttele ja vananenud telefonivõrgule.
Võimaluse korral vältige SMS-i kahe teguri autentimiseks. See on parem kui mitte midagi ja tundub mugav, kuid see on tavaliselt kõige vähem turvaline kahefaktoriline autentimisskeem, mida saate valida.
Kahjuks sunnivad mõned teenused teid SMS-i kasutama. Kui olete selle pärast mures, võite luua Google Voice'i telefoninumbri ja anda sellele teenuseid, mis nõuavad SMS-i autentimist. Seejärel saate oma Google'i kontole sisse logida, mida saate kaitsta turvalisema kahefaktorilise autentimismeetodiga ja vaadata turvalisi sõnumeid Google Voice'i veebisaidil või rakenduses. Lihtsalt ärge edastage Google Voice'i sõnumeid teie tegelikule telefoninumbrile.