Első dolog először: Az SMS még mindig jobb, mint kétfaktoros hitelesítés mindenkinél!
Miközben az ügyet SMS-re bocsátjuk, fontos, hogy először egy dolgot tegyünk egyértelművé: Az SMS használata jobb, mintha egyáltalán nem használnánk a kétütemű hitelesítést.
Ha nem használ kétütemű hitelesítést, valaki csak akkor kéri jelszavát, ha bejelentkezik fiókjába. Ha kétfunkciós hitelesítést használ SMS-lel, valakinek mindketten meg kell szereznie a jelszavát, és hozzáférést kell kapnia a szöveges üzenetekhez, hogy hozzáférjen a fiókjához. Az SMS sokkal biztonságosabb, mint egyáltalán semmi.
Ha az SMS az egyetlen opció, kérjük, használja az SMS-t. Ha azonban szeretné megtudni, hogy a biztonsági szakértők miért javasolják az SMS elkerülését és azt, amit mi javasolunk, olvasd el.
A SIM kártyák lehetővé teszik a támadók számára, hogy ellopják telefonszámát
Az SMS-ellenőrzés működése: Amikor bejelentkezik, a szolgáltatás szöveges üzenetet küld a korábban már megadott mobiltelefonszámra. Ezt a kódot a telefonján kapja meg, és beírja a bejelentkezéshez. Ez a kód csak egy felhasználásra alkalmas.
Ha valaki ismeri a telefonszámát, és hozzáférhet olyan személyes adatokhoz, mint például a társadalombiztosítási szám utolsó négy számjegye - sajnos ez könnyen megtalálható a sok vállalatnak és kormányzati ügynökségnek köszönhetően, amelyek kiszivárgották az ügyféladatokat. és áthelyezi telefonszámát egy új telefonra. Ez a "SIM-swap" néven ismert, és ugyanaz a folyamat, amelyet akkor hajt végre, amikor új eszközt vásárol, és áthelyezi a telefonszámát. A személy azt mondja, hogy te vagy, megadja a személyes adatokat, és a mobiltelefon-társasága beállítja telefonját telefonszámával. Kapják meg az SMS-kódokat a telefonszámára a telefonjukra.
Láttuk, hogy ez történt az Egyesült Királyságban, ahol a támadók elloptak egy áldozat telefonszámát, és felhasználták, hogy hozzáférjenek az áldozat bankszámlájához. A New York állam figyelmeztetett a csalásra.
A lényege, hogy ez egy szociális technikai támadás, amely támaszkodik a trükkje a mobiltelefon-társaság. De a mobiltelefon-vállalatának nem szabad eljutnia ahhoz, hogy valaki hozzáférhessen a biztonsági kódokhoz!
Az SMS üzenetek sokféleképpen elfoghatók
A támadók az SS7-ben, a barangoláshoz használt kapcsolódási rendszert, a hálózati SMS-üzenetek elfogására és másutt történő eljuttatására is kihasználtak. Számos másféle módon lehet elfogni az üzeneteket, többek között hamis mobiltelefon tornyok használatával. Az SMS-üzeneteket nem a biztonságra tervezték, és nem használhatók rá.
Más szóval egy bonyolult támadó, aki egy csomó személyes adattal rendelkezik, eltérítheti telefonszámát, és hozzáférhet az online fiókokhoz, majd felhasználhatja ezeket a fiókokat, például a bankszámlák lefaragását. Ezért az Országos Szabványügyi és Technológiai Intézet már nem ajánlja SMS üzenetek használatát a kétfaktoros hitelesítéshez.
Az alternatíva: létrehozza a kódokat az eszközön
A kétfaktoros hitelesítési séma, amely nem támaszkodik az SMS-re, jobb, mert a mobiltelefon-vállalat nem lesz képes arra, hogy valaki más hozzáférhessen kódjaihoz. Ez a legnépszerűbb lehetőség egy olyan alkalmazás, mint a Google Hitelesítő. Azonban az Authy-t ajánljuk, mivel mindent megtesz a Google Hitelesítőtől, és így tovább.
Az ehhez hasonló alkalmazások kódokat generálnak a készüléken. Még akkor is, ha egy támadó becsapta mobiltelefon-vállalatát a telefonszám átvitelére a telefonjára, nem tudják megszerezni a biztonsági kódokat. A kódok létrehozásához szükséges adatok biztonságosan megmaradnak a telefonon.
Vannak fizikai hardver-tokenek is, amelyeket használhat. A nagyvállalatok, mint a Google és a Dropbox már alkalmaztak egy új szabványt az U2F nevű hardveralapú kétfaktoros hitelesítési zálogok számára. Ezek biztonságosabbak, mint a mobiltelefon-vállalatán és az elavult telefonhálózaton.
Ha lehetséges, elkerülje az SMS-t a kétütemű hitelesítéshez. Ez jobb, mint a semmi, és kényelmesebbnek tűnik, de általában ez a legkevésbé biztonságos kétütemű hitelesítési rendszer.
Sajnos néhány szolgáltatás arra kényszerít, hogy SMS-t használjon. Ha aggódsz, akkor létrehozhatsz egy Google Voice telefonszámot, és megadhatod azokat az SMS-hitelesítést igénylő szolgáltatásokat. Ezután bejelentkezhet a Google-fiókjába - amelyet biztonságosabb kétütemű hitelesítési módszerrel védhet - és megtekintheti a biztonságos üzeneteket a Google Voice webhelyén vagy alkalmazásában. Csak ne továbbítson üzeneteket a Google Voice-ból az aktuális mobiltelefonszámra.
