Mājas lapa » » Kāpēc jums nevajadzētu izmantot SMS divfaktoru autentifikācijai (un to, ko lietot)

    Kāpēc jums nevajadzētu izmantot SMS divfaktoru autentifikācijai (un to, ko lietot)

    Drošības speciālisti iesaka izmantot divfaktoru autentifikāciju, lai, kad vien iespējams, nodrošinātu tiešsaistes kontus. Daudzi pakalpojumi noklusē SMS verifikāciju, sūtot kodus pa īsziņu uz jūsu tālruni, kad mēģināt pierakstīties. Tomēr SMS ziņojumos ir daudz drošības problēmu, un tie ir vismazāk droša iespēja divu faktoru autentifikācijai.

    Pirmās lietas pirmkārt: SMS joprojām ir labāka nekā nekāda divu faktoru autentifikācija!

    Lai gan mēs gatavojamies izklāstīt lietu pret īsziņu šeit, ir svarīgi, lai vispirms būtu skaidrs: SMS izmantošana ir labāka nekā vispār neizmantojot divu faktoru autentifikāciju.

    Ja neizmantojat divu faktoru autentifikāciju, kādam ir nepieciešama jūsu parole, lai pierakstītos savā kontā. Ja izmantojat divfaktoru autentifikāciju ar SMS, kādam būs jāiegūst jūsu parole un jāsaņem piekļuve jūsu īsziņām, lai piekļūtu jūsu kontam. SMS ir daudz drošāka nekā nekas.

    Ja SMS ir vienīgā iespēja, lūdzu, izmantojiet SMS. Tomēr, ja vēlaties uzzināt, kāpēc drošības speciālisti iesaka izvairīties no SMS un ko mēs iesakām, izlasiet tālāk.

    SIM mijmaiņas darījumi ļauj uzbrucējiem nozagt jūsu tālruņa numuru

    Kā darbojas SMS verifikācija: mēģinot pierakstīties, pakalpojums nosūta īsziņu uz mobilo tālruni, kuru iepriekš esat saņēmis. Jūs saņemsiet šo kodu savā tālrunī un ievadiet to, lai pierakstītos. Šis kods ir piemērots tikai vienai lietošanai.

    Tas izklausās pietiekami droši. Galu galā, tikai jums ir jūsu tālruņa numurs, un kādam ir jābūt tālrunim, lai redzētu pareizo kodu? Diemžēl nē.

    Ja kāds zina jūsu tālruņa numuru un var piekļūt personiskajai informācijai, piemēram, jūsu sociālā nodrošinājuma numura pēdējiem četriem cipariem, diemžēl tas ir viegli atrodams, pateicoties daudzām korporācijām un valsts aģentūrām, kas ir noplūdušas no klienta datiem - viņi var sazināties ar jūsu tālruni un pārvietojiet tālruņa numuru uz jaunu tālruni. Tas ir pazīstams kā “SIM maiņa”, un tas pats process, ko veicat, iegādājoties jaunu ierīci un pārvietojot tālruņa numuru uz to. Persona saka, ka jūs esat, sniedz personas datus, un jūsu mobilā tālruņa uzņēmums izveido savu tālruni ar jūsu tālruņa numuru. Viņi saņems īsziņu kodus, kas nosūtīti uz jūsu tālruņa numuru savā tālrunī.

    Mēs esam redzējuši ziņojumus par to, kas notiek Apvienotajā Karalistē, kur uzbrucēji nozaga upura tālruņa numuru un izmantoja to, lai piekļūtu cietušā bankas kontam. Ņujorkas valsts ir arī brīdinājusi par šo scam.

    Tās pamatā ir sociālais inženierijas uzbrukums, kas balstās uz jūsu mobilā telefona uzņēmuma tricking. Bet jūsu mobilā telefona kompānijai nevajadzētu būt iespējai sniegt personai piekļuvi jūsu drošības kodiem!

    Īsziņas var tikt pārtulkotas daudzos veidos

    Ir iespējams arī uzņemt īsziņas. Politiskie disidenti un žurnālisti represīvajās valstīs vēlēsies būt uzmanīgiem, jo ​​valdība var nolaupīt īsziņas, jo tās tiek nosūtītas pa tālruņa tīklu. Tas jau ir noticis Irānā, kur ir ziņots, ka Irānas hackers ir apdraudējuši vairākus telegrammas e-pasta ziņojumus, pārtverot SMS ziņojumus, kas nodrošināja piekļuvi šiem kontiem..

    Uzbrucēji ir arī ļaunprātīgi izmantojuši problēmas SS7, viesabonēšanas savienojuma sistēmai, lai pārtvertu īsziņas tīklā un maršrutētu tās citur. Ir daudz citu veidu, kā ziņojumus var aizturēt, tostarp izmantojot viltus mobilā telefona torņus. Īsziņas netika paredzētas drošībai, un tās nedrīkst izmantot.

    Citiem vārdiem sakot, sarežģīts uzbrucējs ar nelielu personisko informāciju var nolaupīt jūsu tālruņa numuru, lai piekļūtu tiešsaistes kontiem un pēc tam izmantotu šos kontus, lai mēģinātu iztukšot jūsu bankas kontus. Tāpēc Nacionālais standartu un tehnoloģiju institūts vairs neiesaka izmantot SMS īsziņas divfaktoru autentifikācijai.

    Alternatīva: ģenerējiet kodus ierīcē

    Divfaktoru autentifikācijas shēma, kas nav atkarīga no SMS, ir pārāka, jo mobilo tālruņu kompānija nevarēs sniegt kādam citam piekļuvi jūsu kodiem. Vispopulārākais risinājums ir lietotne, piemēram, Google autentifikators. Tomēr mēs iesakām Authy, jo tā dara visu, ko Google Authenticator dara un vairāk.

    Līdzīgas lietojumprogrammas ierīcē ģenerē kodus. Pat ja uzbrucējs triks jūsu mobilā telefona kompāniju, lai pārvietotu jūsu tālruņa numuru uz savu tālruni, viņi nevarētu saņemt jūsu drošības kodus. Dati, kas nepieciešami šo kodu ģenerēšanai, paliktu droši jūsu tālrunī.

     

    Jums nav arī jāizmanto kodi. Pakalpojumi, piemēram, čivināt, Google un Microsoft, testē lietotnes balstītu divu faktoru autentifikāciju, kas ļauj pierakstīties citā ierīcē, autorizējot pierakstīšanos savā lietotnē savā tālrunī.

    Ir arī fiziski aparatūras žetoni, ko varat izmantot. Lielie uzņēmumi, piemēram, Google un Dropbox, jau ir ieviesuši jaunu standartu aparatūras bāzes divu faktoru autentifikācijas marķieriem U2F. Tie visi ir drošāki nekā paļaušanās uz mobilo telefonu uzņēmumu un novecojušo telefonu tīklu.

    Ja iespējams, izvairieties no īsziņu sūtīšanas divfaktoru autentifikācijai. Tas ir labāk nekā nekas, un šķiet ērti, bet tas parasti ir vismazāk droša divu faktoru autentifikācijas shēma, kuru varat izvēlēties.

    Diemžēl daži pakalpojumi liek jums izmantot SMS. Ja jūs uztraucaties par to, jūs varat izveidot Google Voice tālruņa numuru un piešķirt to pakalpojumiem, kuriem nepieciešama SMS autentifikācija. Pēc tam jūs varat pierakstīties savā Google kontā, kuru varat aizsargāt ar drošāku divu faktoru autentifikācijas metodi, un skatiet drošos ziņojumus Google Voice tīmekļa vietnē vai lietotnē. Vienkārši nenosūtiet ziņojumus no Google Voice uz savu faktisko mobilā tālruņa numuru.