Domovská » jak » Proč byste neměli používat SMS pro ověření dvou faktorů (a co je třeba použít)

    Proč byste neměli používat SMS pro ověření dvou faktorů (a co je třeba použít)

    Bezpečnostní experti doporučují použití dvoufaktorové autentizace, aby zajistily vaše online účty všude tam, kde je to možné. Mnoho služeb je výchozí k ověření SMS a při pokusu o přihlášení odesílá kódy prostřednictvím textové zprávy. Telefonní zprávy však mají mnoho bezpečnostních problémů a jsou nejméně zabezpečenou možností dvoufaktorové autentizace.

    První věci první: SMS je stále lepší, než žádná ověření dvou faktorů na všech!

    Zatímco se budeme zabývat případem proti SMS zde, je důležité, abychom nejprve učinili jednu věc jasnou: Používání SMS je lepší než nepoužívat dvoufaktorovou autentizaci vůbec.

    Pokud nepoužíváte dvoufaktorovou autentizaci, někdo potřebuje pouze vaše heslo k přihlášení do vašeho účtu. Při použití dvoufaktorového ověřování pomocí SMS budete muset někdo získat heslo a získat přístup ke svým textovým zprávám, abyste získali přístup k vašemu účtu. SMS je mnohem bezpečnější než nic.

    Je-li SMS jedinou možností, použijte SMS. Pokud se však chcete dozvědět, proč odborníci v oblasti bezpečnosti doporučují vyhnout se SMS a co doporučujeme, přečtěte si.

    SIM Swap umožňují útočníkům ukrást své telefonní číslo

    Zde funguje ověření SMS: Když se pokusíte přihlásit, služba odešle textovou zprávu na číslo mobilního telefonu, které jste předtím poskytli. Získáte tento kód v telefonu a zadejte jej, abyste se přihlásili. Tento kód je vhodný pouze pro jedno použití.

    Zní to poměrně bezpečně. Koneckonců, máte pouze vaše telefonní číslo a někdo musí mít telefon, aby viděl kód správně? Bohužel ne.

    Pokud někdo zná vaše telefonní číslo a může získat přístup k osobním údajům, jako jsou poslední čtyři číslice vašeho čísla sociálního pojištění - bohužel to lze snadno zjistit díky mnoha korporacím a vládním agenturám, které unikly datům zákazníků - mohou kontaktovat váš telefon a přesuňte své telefonní číslo na nový telefon. Toto je známé jako "výměna SIM" a je to stejný proces, který provádíte při zakoupení nového zařízení a přemístění jeho telefonního čísla. Ta osoba říká, že jste vy, poskytujete osobní údaje a vaše společnost mobilního telefonu nastaví svůj telefon s vaším telefonním číslem. Dostanou SMS zprávy na telefonním čísle.

    Viděli jsme zprávy o této události ve Velké Británii, kde útočníci ukradli telefonní číslo oběti a využili jej k získání přístupu k bankovnímu účtu oběti. New York State také varoval před tímto podvodem.

    Ve svém jádru je to útok sociálního inženýrství, který se spoléhá na podvádění vašeho mobilního telefonu. Ale vaše mobilní telefonní společnost by neměla být schopna poskytnout někomu přístup k vašim bezpečnostním kódům na prvním místě!

    SMS zprávy mohou být zachyceny mnoha způsoby

    Je také možné poslouchat SMS zprávy. Politickí disidenti a novináři v represivních zemích budou chtít být opatrní, protože vláda by mohla přijímat zprávy SMS, které jsou posílány prostřednictvím telefonní sítě. To se již stalo v Íránu, kde íránští hackeři údajně ohrožovali řadu účtů telegramových posterů zachycením zpráv SMS, které poskytovaly přístup k těmto účtům.

    Útočníci také zneužívají problémy v systému SS7, systému připojení používaném pro roaming, který zachycuje zprávy SMS v síti a směruje je jinde. Existuje mnoho dalších způsobů, jak lze zachytit zprávy, včetně používání falešných mobilních telefonů. SMS zprávy nebyly navrženy pro zabezpečení a neměly by být používány.

    Jinými slovy, sofistikovaný útočník s trochou osobních informací by mohl zneužít vaše telefonní číslo, aby získal přístup k vašim online účtům a poté tyto účty použil k pokusu o vypouštění bankovních účtů. Proto národní institut pro normalizaci a technologii už neodporuje používání SMS zpráv pro dvoufaktorovou autentizaci.

    Alternativa: Generujte kódy na vašem zařízení

    Dvoufaktorová schéma ověřování, která se nespoléhá na SMS, je lepší, protože společnost mobilního telefonu nebude schopna dát někomu jinému přístup k vašim kódům. Nejoblíbenější možností je aplikace, jako je Google Authenticator. Nicméně doporučujeme Authy, protože dělá vše, co Google Authenticator dělá a víc.

    Aplikace, jako je toto, generují kódy v zařízení. Dokonce i kdyby útočník podvedl vaši mobilní telefonní společnost, aby přesunula vaše telefonní číslo na svůj telefon, nemohla by dostat vaše bezpečnostní kódy. Údaje potřebné pro generování těchto kódů zůstanou bezpečně v telefonu.

     

    Nemusíte používat ani kódy. Služby jako Twitter, Google a Microsoft testují autentizaci dvou faktorů založenou na aplikacích, která umožňuje přihlášení k jinému zařízení tím, že povolíte přihlášení do aplikace v telefonu.

    K dispozici jsou také tokeny fyzického hardwaru, které můžete použít. Velké společnosti jako Google a Dropbox již zavedly nový standard pro hardwarové dvoufaktorové ověřovací toky nazvané U2F. To vše je bezpečnější než spoléhání na mobilní telefony a zastaralou telefonní síť.

    Je-li to možné, vyhněte se SMS pro dvoufaktorové ověřování. Je to lepší než nic a vypadá to pohodlně, ale obvykle je to nejméně bezpečná dvojfaktorová schéma autentizace, kterou si můžete vybrat.

    Naneštěstí některé služby vás nutí používat SMS. Pokud se o vás obáváte, můžete vytvořit telefonní číslo Google Voice a poskytnout jej službám vyžadujícím ověření SMS. Potom se můžete přihlásit do svého účtu Google - který můžete chránit pomocí bezpečnější dvoufaktorové metody ověřování - a zobrazit bezpečnostní zprávy na webu nebo v aplikaci Google Voice. Prostřednictvím Google Voice neposílejte zprávy na vaše skutečné číslo mobilního telefonu.