Домашня » як » Чому ви не повинні використовувати SMS для двофакторної аутентифікації (і що використовувати замість неї)

    Чому ви не повинні використовувати SMS для двофакторної аутентифікації (і що використовувати замість неї)

    Фахівці з безпеки рекомендують використовувати двофакторну аутентифікацію, щоб захистити свої онлайн-рахунки, де це можливо. Багато служб за замовчуванням перевіряють SMS-повідомлення, надсилаючи коди через текстове повідомлення на телефон, коли ви намагаєтеся ввійти. Але SMS-повідомлення мають багато проблем із безпекою і є найменш безпечним варіантом для двофакторної автентифікації.

    По-перше, перше: SMS все ще краще, ніж відсутність двофакторної автентифікації!

    Хоча ми маємо намір викласти справу проти SMS тут, важливо спочатку зрозуміти одне: користуватися SMS краще, ніж взагалі не використовувати двофакторну автентифікацію.

    Якщо ви не використовуєте двофакторну перевірку автентичності, для входу до облікового запису потрібний лише ваш пароль. Якщо ви використовуєте двофакторну аутентифікацію за допомогою SMS, вам потрібно буде отримати пароль і отримати доступ до ваших текстових повідомлень, щоб отримати доступ до вашого облікового запису. SMS набагато безпечніше, ніж нічого.

    Якщо SMS є єдиним варіантом, скористайтеся SMS. Проте, якщо ви хочете дізнатися, чому експерти з безпеки рекомендують уникати SMS-повідомлень і те, що ми рекомендуємо, читайте далі.

    SIM-свопи Дозволити зловмисникам вкрасти ваш номер телефону

    Ось як працює перевірка SMS. Коли ви намагаєтеся увійти, служба надсилає текстове повідомлення на номер мобільного телефону, який ви раніше надали. Ви отримаєте цей код на своєму телефоні та введіть його, щоб увійти. Цей код корисний лише для одного використання.

    Це звучить досить безпечно. Зрештою, тільки у вас є свій номер телефону, і хтось повинен мати свій телефон, щоб бачити код-право? На жаль, немає.

    Якщо хтось знає ваш номер телефону і може отримати доступ до особистої інформації, як, наприклад, останні чотири цифри вашого номера соціального страхування, на жаль, це легко знайти завдяки багатьом корпораціям і урядовим установам, які просочили дані про клієнтів - вони можуть зв'язатися з вашим телефоном номер компанії та перемістіть свій номер телефону на новий телефон. Ця функція називається "заміною SIM-карткою" і є тим самим процесом, який виконується під час придбання нового пристрою та переміщення номера телефону до нього. Людина каже, що ви, надаєте персональні дані, і ваша компанія мобільного телефону встановлює свій телефон з вашим номером телефону. Вони отримають коди SMS-повідомлень, надіслані на ваш номер телефону на свій телефон.

    Ми бачили повідомлення про це у Великобританії, де зловмисники вкрали номер телефону жертви і використали його для отримання доступу до банківського рахунку жертви. Держава Нью-Йорка також попередила про цю аферу.

    За своєю суттю, це атака соціальної інженерії, яка спирається на обману вашої компанії мобільного телефону. Але ваша компанія мобільного телефону не повинна бути в змозі надати комусь доступ до ваших кодів безпеки в першу чергу!

    SMS-повідомлення можуть перехоплюватися багатьма способами

    Можна також перехопити SMS-повідомлення. Політичні дисиденти та журналісти в репресивних країнах захочуть бути обережними, оскільки уряд може захопити SMS-повідомлення, які надсилаються через телефонну мережу. Це вже відбулося в Ірані, де іранські хакери, як повідомляється, скомпрометували кілька облікових записів Telegram, перехопивши SMS-повідомлення, які забезпечували доступ до цих облікових записів..

    Зловмисники також зловживали проблемами в SS7, системі підключення, що використовується для роумінгу, для перехоплення SMS-повідомлень в мережі і маршрутизації їх в іншому місці. Існує багато інших способів перехоплення повідомлень, у тому числі шляхом використання підроблених башт стільникового телефону. SMS-повідомлення не розраховані на безпеку і не повинні використовуватися для цього.

    Іншими словами, досвідчений зловмисник, який має трохи особистої інформації, може захопити ваш номер телефону, щоб отримати доступ до ваших облікових записів в Інтернеті, а потім скористатися цими обліковими записами. Саме тому Національний інститут стандартів і технологій більше не рекомендує використовувати SMS для двофакторної аутентифікації.

    Альтернатива: Створення коду на вашому пристрої

    Двофакторна схема аутентифікації, яка не покладається на SMS, є вищою, оскільки компанія стільникового телефону не зможе надати комусь доступ до ваших кодів. Найпопулярнішим варіантом для цього є додаток, як Google Authenticator. Однак ми рекомендуємо Authy, оскільки він робить все, що виконує Google Authenticator, і багато іншого.

    Такі програми генерують коди на вашому пристрої. Навіть якщо зловмисник обдурив вашу компанію мобільного телефону, щоб перенести свій номер телефону на свій телефон, вони не зможуть отримати ваші коди безпеки. Дані, необхідні для створення цих кодів, залишаться надійно на вашому телефоні.

     

    Також не потрібно використовувати коди. Такі служби, як Twitter, Google і Microsoft, перевіряють двофакторну автентифікацію на основі додатків, яка дозволяє входити на інший пристрій, дозволяючи вхід у їхній програмі на телефоні.

    Є також фізичні маркери апаратних засобів, які можна використовувати. Великі компанії, такі як Google і Dropbox, вже впровадили новий стандарт для апаратних маркерів двофакторної автентифікації, названих U2F. Всі вони більш безпечні, ніж покладатися на компанію мобільного телефону та застарілу телефонну мережу.

    Якщо можливо, уникайте SMS для двофакторної аутентифікації. Це краще, ніж нічого, і здається зручним, але зазвичай це найменш безпечна двофакторна схема автентифікації.

    На жаль, деякі служби змушують вас використовувати SMS. Якщо вас це хвилює, ви можете створити номер телефону Google Voice і надати його службам, які вимагають автентифікації SMS. Потім ви можете увійти до свого облікового запису Google, який можна захистити за допомогою більш безпечного методу двофакторної автентифікації, і переглядати захищені повідомлення на веб-сайті або програмі Google Voice. Просто не пересилайте повідомлення з Google Voice на фактичний номер стільникового телефону.