Pirmas dalykas pirmas: SMS vis dar geresnis negu dviejų faktorių autentifikavimas visiems!
Nors mes ketiname išdėstyti bylą prieš SMS čia, svarbu iš pradžių padaryti vieną dalyką aišku: SMS naudojimas yra geriau nei dvigubo autentifikavimo naudojimas apskritai.
Kai nenaudojate dviejų faktorių autentifikavimo, norint prisijungti prie savo paskyros, kažkas tik turi tavo slaptažodį. Jei naudosite dviejų veiksnių autentifikavimą naudodamiesi SMS, kažkuriui reikės įsigyti savo slaptažodį ir susipažinti su savo tekstiniais pranešimais, kad galėtumėte pasiekti jūsų paskyrą. SMS yra daug saugesnis nei nieko.
Jei SMS yra vienintelė galimybė, prašome naudoti SMS. Tačiau jei norėtumėte sužinoti, kodėl saugumo ekspertai rekomenduoja išvengti SMS ir ką mes rekomenduojame, skaitykite toliau.
SIM apsikeitimai leisti atakuojantiems sugadinti jūsų telefono numerį
Štai kaip veikia patvirtinimas apie SMS: kai bandote prisijungti, paslauga išsiųs tekstinį pranešimą į mobilųjį telefoną, kurį anksčiau jai suteikėte. Jūs gaunate šį kodą savo telefone ir įveskite jį norėdami prisijungti. Šis kodas yra tinkamas tik vienkartiniam naudojimui.
Jei kas nors žino jūsų telefono numerį ir gali gauti prieigą prie asmeninės informacijos, pvz., Paskutinius keturis jūsų socialinio draudimo numerio skaitmenis, deja, tai būtų lengva rasti, nes daugelis korporacijų ir vyriausybinių agentūrų, kurių duomenys buvo išsiųstos, gali susisiekti su jūsų telefonu perkelkite savo telefono numerį į naują telefoną. Tai vadinama "SIM apsikeitimo" funkcija ir tai tas pats procesas, kurį atliekate perkant naują įrenginį ir perkeldami į jį savo telefono numerį. Asmuo sako, kad jūs esate, pateikia asmens duomenis, o jūsų mobiliojo ryšio kompanija nustato savo telefoną su savo telefono numeriu. Jie gaus SMS žinučių kodus, siunčiamus į savo telefono numerį savo telefone.
Mes matėme pranešimus apie tai, kaip tai įvyko Jungtinėje Karalystėje, kur užpuolikai pavogė aukos telefono numerį ir panaudojo ją norėdami gauti prieigą prie aukos banko sąskaitos. Niujorko valstija taip pat perspėjo apie šį sukčiavimą.
Iš esmės tai yra socialinės inžinerijos išpuolis, kuris priklauso nuo apgaulingos jūsų mobiliojo telefono kompanijos. Bet jūsų mobiliojo ryšio kompanija neturėtų galėti suteikti asmeniui prieigos prie jūsų saugos kodų pirmiausia!
SMS žinutės gali būti perimtos įvairiais būdais
Užpuolikai taip pat piktnaudžiauja SS7 problemomis, naudojančia ryšio tarptinkliniu ryšiu sistemą, perimdami SMS pranešimus tinkle ir nukreipdami juos kitur. Yra daugybė kitų būdų, kaip pranešimai gali būti perimti, taip pat naudojant suklastotus mobiliųjų telefonų bokštus. SMS žinutės nebuvo sukurtos saugumui ir neturėtų būti naudojamos.
Kitaip tariant, patobulintas užpuolikas su šiek tiek asmenine informacija gali užgrobti jūsų telefono numerį, kad gautumėte prieigą prie jūsų internetinių paskyrų, ir tada naudokite tas sąskaitas, pavyzdžiui, norėdami nuslėpti banko sąskaitas. Štai kodėl Nacionalinis standartų ir technologijų institutas nebeteikia SMS žinučių naudojimo dvifaziu autentifikavimu.
Alternatyva: sukurkite kodus savo įrenginyje
Dviejų veiksnių autentiškumo patvirtinimo schema, kuri neatsiejama nuo SMS, yra geresnė, nes mobiliojo ryšio kompanija negalės suteikti kam nors kitam prieigos prie jūsų kodų. Populiariausias pasirinkimas yra "Google Authenticator" programa. Tačiau mes rekomenduojame "Authy", nes tai daro viską, ko "Google" autentifikavimo priemonė atlieka ir dar daugiau.
Tokios programos sukuria kodus jūsų įrenginyje. Net jei užpuolikas apgaudinėja jūsų mobiliojo telefono kompaniją į savo telefono numerio perkėlimą į savo telefoną, jie negalės gauti jūsų saugos kodų. Šie kodai generuoti reikalingi duomenys bus saugūs jūsų telefone.
Taip pat yra fizinių aparatūros žetonų, kuriuos galite naudoti. Didelės įmonės, tokios kaip "Google" ir "Dropbox", jau įdiegė naują standartą, skirtą aparatūriniams dviejų faktorių autentifikavimo žetonams, pavadintoms U2F. Tai yra daug saugiau nei pasikliauti savo mobiliojo ryšio telefonu ir pasenusiu telefono tinklu.
Jei įmanoma, vengiama SMS dviejų veiksnių autentiškumo patvirtinimui. Tai geriau nei nieko ir atrodo patogiai, bet tai paprastai yra mažiausiai saugi dviejų faktorių autentifikavimo schema, kurią galite pasirinkti.
Deja, kai kurios paslaugos verčia jus naudotis SMS žinute. Jei esate susirūpinę dėl šios priežasties, galite sukurti "Google Voice" telefono numerį ir suteikti paslaugas, kurioms reikia SMS autentifikavimo. Tada galėsite prisijungti prie savo "Google" paskyros, kurią galite apsaugoti naudodami saugesnį dviejų veiksnių autentifikavimo metodą ir peržiūrėkite saugius pranešimus "Google Voice" svetainėje arba programoje. Tiesiog nepasiųskite pranešimų iš "Google Voice" į tikrąjį mobiliojo telefono numerį.