Esimesed asjad kõigepealt: SMS ei ole ikka veel parem kui kahe faktori autentimine kõigil!
Kuigi me kavatseme välja tuua SMS-i vastu siin, on oluline, et me esmalt teeme ühe asja selgeks: SMS-i kasutamine on parem kui kaheteguri autentimise kasutamine üldse.
Kui te ei kasuta kahetegurilist autentimist, on teie kontole sisselogimiseks vaja ainult teie parooli. Kui kasutate kahetegurilist autentimist SMSiga, peab keegi oma kontole juurdepääsu saamiseks nii oma parooli omandama kui ka oma tekstisõnumite juurde pääsema. SMS on palju turvalisem kui üldse mitte midagi.
Kui SMS on teie ainus võimalus, palun kasutage SMS-i. Kuid kui soovite teada, miks turvatöötajad soovitavad SMSi vältida ja mida me soovitame selle asemel, loe edasi.
SIM-kaardi vahetused võimaldavad ründajatel teie telefoninumbrit varastada
Siin on SMS-kinnituse toimimine. Kui proovite sisse logida, saadab teenus mobiiltelefoninumbri, millele olete varem need andnud, tekstsõnumi. Saate selle koodi oma telefoni siseselt sisestada. See kood sobib ainult üheks kasutamiseks.
Kui keegi teab teie telefoninumbrit ja pääseb juurde teie isikuandmetele nagu teie sotsiaalkindlustusnumbri neli viimast numbrit - kahjuks on see hõlpsasti leitav tänu paljudele ettevõtte klientidele andnud ettevõttetele ja valitsusasutustele - nad saavad teie telefoniga ühendust võtta oma telefoninumbrit uude telefoni. Seda tuntakse kui SIM-kaardi vahetust ja see on sama protsess, mida teete uue seadme ostmisel ja selle telefoninumbri laadimisel. Isik ütleb, et olete teie, annab isikuandmeid ja teie mobiiltelefoni ettevõte oma telefoni oma telefoninumbri abil. Nad saadavad oma telefoni telefoninumbrile SMS-sõnumite koodid.
Oleme näinud aruandeid sellest, mis juhtus Ühendkuningriigis, kus ründajad varastasid ohvri telefoninumbri ja kasutasid seda, et pääseda ohvri pangakontole. New Yorgi osariik on hoiatanud selle pettuse eest.
Selle põhiosas on see sotsiaaltehnoloogia rünnak, mis põhineb teie mobiiltelefoni ettevõtte petmisel. Kuid teie mobiilsidefirma ei tohiks pakkuda kellelegi, kellel on juurdepääs turvakoodidele!
SMS-sõnumeid saab kinni mitmel viisil
Ründajad on ka rämpsposti SS7-s, rändluses kasutatavast ühendussüsteemist, SMS-sõnumite pealt võrgust peksid ja mujal mujale suunanud. Sõnumeid saab kinni ka mitmel viisil, sealhulgas võltsitud mobiiltelefoni tornide kasutamise kaudu. SMS-sõnumid ei olnud turvalisuse jaoks mõeldud ja neid ei tohiks seda kasutada.
Teisisõnu, vähese isikliku teabega rafineeritud ründaja võib oma telefoninumbri hankida, et pääseda oma veebikontodele, ja seejärel kasutada neid kontosid näiteks pankade kontode tühjendamiseks. Seepärast ei soovi riikliku standardite ja tehnoloogia instituut enam soovitada SMS-teadete kasutamist kahefaasilise autentimise jaoks.
Alternatiiv: genereeri koodid teie seadmes
Kahetegurne autentimisskeem, mis ei tugine SMS-ile, on parem, sest mobiiltelefoni ettevõte ei saa kellelegi teisele juurdepääsu teie koodidele. Kõige populaarsem variant on see rakendus nagu Google Authenticator. Siiski soovitame Authy, sest see teeb kõik Google Authenticatori toiminguid ja muud.
Sellised rakendused genereerivad teie seadmes koodid. Isegi kui ründaja petab teie mobiilioperaati oma telefoninumbri teisaldamisel oma telefoni, ei suuda nad oma turvakoode saada. Nende koodide loomiseks vajalikud andmed jäävad kindlasse telefoni.
Samuti on olemas füüsilised riistvarakellad, mida saate kasutada. Suured ettevõtted nagu Google ja Dropbox on juba rakendanud uut standardit riistvarapõhiste kahefaktoriliste autentimissertifikaatide jaoks, mille nimi on U2F. Need on kõik turvalisemad kui tugineda teie mobiiltelefoni ettevõttele ja vananenud telefonivõrgule.
Kui võimalik, vältige kahefaasilise autentimisega SMS-i. See on parem kui mitte midagi ja tundub mugav, kuid see on tavaliselt kõige vähem turvaline kaheteguriline autentimisskeem, mida saate valida.
Kahjuks sunnivad mõned teenused SMS-i kasutama. Kui olete selle pärast mures, võite luua Google Voice'i telefoninumbri ja anda neile teenused, mis vajavad SMSi autentimist. Seejärel võiksite oma Google'i kontole sisse logida - mida saate kaitsta turvalisema kahenumbrilise autentimismeetodiga - ja vaadata Google Voice'i veebisaidil või rakenduses olevaid turvalisi sõnumeid. Ärge edastage sõnumeid Google Voice'ist oma tegelikule mobiiltelefoninumbrile.
