Prečo by ste nemali používať SMS na overovanie pomocou dvoch faktorov (a čo používať namiesto toho)
Odborníci v oblasti bezpečnosti odporúčajú použiť dvojfaktorovú autentifikáciu na zabezpečenie vašich online účtov vždy, keď je to možné. Mnoho služieb je predvolené na overenie SMS a odosielanie kódov prostredníctvom textovej správy do telefónu pri pokuse o prihlásenie. Ale správy SMS majú veľa bezpečnostných problémov a sú najmenšie zabezpečenou možnosťou dvojfaktorovej autentifikácie.
Prvé veci: SMS je stále lepšia ako žiadne overovanie dvoch faktorov na všetkých!
Zatiaľ čo budeme vysvetľovať prípad proti SMS, je dôležité najprv urobiť jednu vec jasnú: Používanie SMS je lepšie ako nepoužívanie dvojfaktorovej autentifikácie vôbec.
Ak nepoužívate dvojfaktorové overenie, niekto potrebuje iba vaše heslo na prihlásenie do vášho účtu. Ak používate dvojfaktorové overenie pomocou SMS, niekto bude musieť získať vaše heslo a získať prístup k vašim textovým správam, aby získali prístup k vášmu účtu. SMS je oveľa bezpečnejšia ako nič vôbec.
Ak je SMS vašou jedinou možnosťou, použite SMS. Ak sa však chcete dozvedieť, prečo odborníci v oblasti bezpečnosti odporúčajú vyhnúť sa SMS a čo odporúčame, prečítajte si ďalej.
SIM Swaps Povoliť útočníkom ukradnúť vaše telefónne číslo
Spôsob fungovania overovania SMS: Keď sa pokúsite prihlásiť, služba odošle textovú správu na číslo mobilného telefónu, ktoré ste predtým poskytli. Získate tento kód v telefóne a zadajte ho, aby ste sa mohli prihlásiť. Tento kód je vhodný len pre jedno použitie.
Znie to primerane bezpečné. Koniec koncov, len vy máte vaše telefónne číslo a niekto musí mať váš telefón, aby mohol vidieť kód správne? Bohužiaľ nie.
Ak niekto pozná vaše telefónne číslo a môže získať prístup k osobným informáciám, ako sú posledné štyri číslice svojho čísla sociálneho poistenia, bohužiaľ sa to dá ľahko nájsť vďaka mnohým spoločnostiam a vládnym agentúram, ktoré prenikli údaje o zákazníkoch - môžu kontaktovať váš telefón a presuňte svoje telefónne číslo na nový telefón. Toto je známe ako "swap SIM" a je to ten istý proces, ktorý vykonávate pri zakúpení nového zariadenia a presunutí jeho telefónneho čísla naň. Osoba hovorí, že ste vy, poskytuje osobné údaje a vaša mobilná telefónna spoločnosť si nastaví telefón s vaším telefónnym číslom. Dostanú kódy správ SMS odoslané na vaše telefónne číslo na telefóne.
Videli sme správy o tom, že sa to deje vo Veľkej Británii, kde útočníci ukradli telefónne číslo obete a použili ho na získanie prístupu k bankovému účtu obete. New York štát tiež varoval pred týmto podvodom.
V jadre je to útok sociálneho inžinierstva, ktorý sa spolieha na podvádzanie vašej mobilnej spoločnosti. Vaša spoločnosť mobilného telefónu by však nemala byť schopná poskytnúť niekomu prístup k vašim bezpečnostným kódom na prvom mieste!
Správy SMS môžu byť zachytené mnohými spôsobmi
Je tiež možné sledovať SMS správy. Politickí disidenti a novinári v represívnych krajinách budú chcieť byť opatrní, pretože vláda môže odviesť SMS správy, keď sú posielané cez telefónnu sieť. To sa už stalo v Iráne, kde iránski hackeri údajne ohrozili množstvo účtov telegramových správ prostredníctvom zachytenia SMS správ, ktoré poskytli prístup k týmto účtom.
Útočníci tiež zneužívajú problémy v systéme spojenia SS7, používanom pre roaming, na zachytenie SMS správ v sieti a ich smerovanie inde. Existuje mnoho ďalších spôsobov, ako je možné zachytiť správy, a to aj použitím falošných veží mobilného telefónu. SMS správy neboli určené na zabezpečenie a nemali by sa používať na to.
Inými slovami, sofistikovaný útočník s trochou osobných informácií by mohol zneužiť vaše telefónne číslo, aby získal prístup k vašim online účtom a potom použil tieto účty, aby sa napríklad pokúšal vyčerpať vaše bankové účty. Preto Národný inštitút pre štandardy a technológie už neodporúča používanie SMS správ pre dvojfaktorové autentifikácie.
Alternatíva: Vytvorte kódy vo vašom zariadení
Systém dvojfaktorovej autentifikácie, ktorý nespolieha na SMS, je lepší, pretože spoločnosť mobilného telefónu nebude môcť dať niekomu inému prístup k vašim kódom. Najobľúbenejšou možnosťou je aplikácia ako Google Authenticator. Avšak odporúčame Authy, pretože to robí všetko, čo Google Authenticator robí a ďalšie.
Takéto aplikácie vytvárajú kódy v zariadení. Dokonca aj keď útočník podviedol vašu spoločnosť mobilného telefónu, aby presunula vaše telefónne číslo do svojho telefónu, nebolo by možné získať vaše bezpečnostné kódy. Údaje potrebné na vytvorenie týchto kódov zostanú v telefóne bezpečne.
Nemusíte používať ani kódy. Služby ako Twitter, Google a Microsoft testujú autentifikáciu založenú na dvoch faktoroch založenú na aplikáciách, ktorá vám umožňuje prihlásiť sa na inom zariadení tak, že povolíte prihlásenie do aplikácie v telefóne.
Existujú aj tokeny fyzického hardvéru, ktoré môžete použiť. Veľké spoločnosti ako Google a Dropbox už implementovali nový štandard pre hardvérové dvojfaktorové autentifikačné tokeny s názvom U2F. To všetko je bezpečnejšie ako spoliehanie sa na vašu spoločnosť mobilného telefónu a zastaranú telefónnu sieť.
Ak je to možné, vyhnite sa SMS pre dvojfaktorové overovanie. Je to lepšie ako nič a zdá sa, že je to pohodlné, ale zvyčajne je to najmenej bezpečná dvojfaktorová schéma autentifikácie, ktorú si môžete vybrať.
Niektoré služby nanešťastie nútia používať SMS. Ak sa o to obávate, môžete vytvoriť telefónne číslo Google Voice a poskytnúť mu služby, ktoré vyžadujú overenie prostredníctvom SMS. Potom by ste sa mohli prihlásiť do svojho účtu Google, ktorý môžete chrániť bezpečnejšou dvojfaktorovou metódou autentifikácie, a zobraziť bezpečné správy na webových stránkach alebo aplikáciách Google Voice. Jednoducho nepreposielajte správy zo služby Google Voice na svoje skutočné číslo mobilného telefónu.