Начална » как да » Защо не трябва да използвате SMS за удостоверяване с два фактора (и какво да използвате вместо това)

    Защо не трябва да използвате SMS за удостоверяване с два фактора (и какво да използвате вместо това)

    Експертите по сигурността препоръчват използването на двуфакторна автентификация, за да осигурят онлайн сметките си, когато е възможно. Много услуги по подразбиране за проверка на SMS, изпращане на кодове чрез текстово съобщение до телефона ви, когато се опитвате да влезете. Но SMS съобщенията имат много проблеми със сигурността и са най-малко сигурна опция за двуфакторно удостоверяване.

    Първи неща: SMS все още е по-добър от никакъв два-фактор удостоверяване!

    Макар че ще изпратим случая срещу SMS тук, важно е първо да изясним едно нещо: използването на SMS е по-добре, отколкото да не се използва двуфакторно удостоверяване..

    Когато не използвате двуфакторно удостоверяване, някой се нуждае само от паролата ви, за да влезете в профила си. Когато използвате двуфакторно удостоверяване с SMS, някой ще трябва да придобие паролата ви и да получи достъп до текстовите ви съобщения, за да получи достъп до профила ви. SMS е много по-сигурен, отколкото нищо.

    Ако SMS е единствената ви опция, моля, използвайте SMS. Ако искате обаче да научите защо експертите по сигурността препоръчват да се избягва SMS и какво препоръчваме вместо това, прочетете.

    SIM суапове Разрешаване на атакуващите да откраднат вашия телефонен номер

    Ето как работи удостоверяването на SMS: Когато се опитате да влезете, услугата изпраща текстово съобщение до номера на мобилния телефон, който предварително сте им предоставили. Получавате този код на телефона си и го въвеждате, за да влезете. Този код е добър само за еднократна употреба.

    Звучи доста сигурно. В края на краищата, само вие имате телефонния си номер и някой трябва да има вашия телефон, за да вижда правилния код? За съжаление не.

    Ако някой знае вашия телефонен номер и може да получи достъп до лична информация, като последните четири цифри от вашия номер за социална сигурност, за съжаление, това е лесно да се намери благодарение на многото корпорации и правителствени агенции, които са изтекли данни на клиентите - те могат да се свържат с телефона ви и преместете телефонния си номер на нов телефон. Това е известно като „Смяна на SIM карта“ и е същият процес, който изпълнявате, когато купувате ново устройство и премествате телефонния си номер към него. Човекът казва, че сте вие, предоставя личните ви данни и вашата компания за мобилен телефон задава телефона си с вашия телефонен номер. Те ще получат кодовете на SMS съобщенията, изпратени до вашия телефонен номер, на телефона си.

    Виждали сме съобщения за това в Обединеното кралство, където нападателите са откраднали телефонния номер на жертвата и са го използвали, за да получат достъп до банковата сметка на жертвата. Ню Йорк също предупреди за тази измама.

    В основата си това е атака от социалното инженерство, която разчита на измамване на вашата компания за мобилен телефон. Но вашата компания за мобилен телефон не трябва да бъде в състояние да предостави на някого достъп до вашите кодове за сигурност на първо място!

    SMS съобщенията могат да бъдат заловени в много начини

    Също така е възможно да нахлузвате по SMS съобщения. Политическите дисиденти и журналистите в репресивните страни ще искат да бъдат внимателни, тъй като правителството може да открадне SMS съобщенията, тъй като те се изпращат по телефонната мрежа. Това вече се случи в Иран, където според ирански хакери са били компрометирани редица сметки на телеграми, като са заловени SMS съобщенията, които са осигурили достъп до тези сметки.

    Нападателите също са злоупотребили с проблемите в SS7, системата за свързване, използвана за роуминг, за прекъсване на SMS съобщения в мрежата и насочването им на друго място. Има много други начини, по които съобщенията могат да бъдат заловени, включително чрез използването на фалшиви кули за мобилни телефони. SMS съобщенията не са предназначени за сигурност и не трябва да се използват за тях.

    С други думи, усъвършенстван нападател с малко лична информация може да отвлече вашия телефонен номер, за да получи достъп до онлайн профилите ви и след това да използва тези сметки, за да опита да изчерпи банковите ви сметки например. Затова Националният институт за стандарти и технологии вече не препоръчва използването на SMS съобщения за двуфакторна автентификация.

    Алтернативата: Генериране на кодове на вашето устройство

    Двуфакторната схема за удостоверяване, която не разчита на SMS, е по-добра, защото компанията за мобилни телефони няма да може да даде на някой друг достъп до вашите кодове. Най-популярната опция за това е приложение, като Google Authenticator. Препоръчваме обаче Authy, тъй като прави всичко, което прави Google Authenticator, и още.

    Такива приложения генерират кодове на устройството ви. Дори ако някой хакер накара вашия мобилен телефон да премести телефонния ви номер в телефона, те няма да могат да получат вашите кодове за сигурност. Данните, необходими за генерирането на тези кодове, ще останат сигурно на телефона ви.

     

    Не е нужно да използвате и кодове. Услуги като Twitter, Google и Microsoft тестват дву-факторно удостоверяване на базата на приложения, което ви позволява да влезете в друго устройство, като разрешите влизането в приложението на телефона си.

    Има и физически символи за хардуер, които можете да използвате. Големите компании като Google и Dropbox вече въведоха нов стандарт за базирани на хардуер двутекстови маркери за удостоверяване, наречени U2F. Всички те са по-сигурни, отколкото да разчитате на вашата компания за мобилен телефон и на остарялата телефонна мрежа.

    Ако е възможно, избягвайте SMS за удостоверяване с два фактора. Това е по-добре от нищо и изглежда удобно, но обикновено е най-сигурната двуфакторна схема за автентификация, която можете да изберете.

    За съжаление някои услуги ви принуждават да използвате SMS. Ако се притеснявате за това, можете да създадете телефонен номер на Google Voice и да го предоставите на услуги, които изискват удостоверяване чрез SMS. След това можете да влезете в профила си в Google, който можете да защитите с по-сигурен двуфакторен метод за удостоверяване и да видите защитените съобщения в уебсайта или приложението на Google Voice. Просто не препращайте съобщения от Google Voice към действителния си мобилен телефонен номер.