Experții în securitate recomandă utilizarea autentificării cu două factori pentru a vă asigura conturile online, ori de câte ori este posibil. Multe servicii implicite la verificarea SMS-urilor, trimițând coduri prin mesaj text la telefon atunci când încercați să vă conectați. Dar mesajele SMS au o mulțime de probleme de securitate și sunt cea mai puțin sigură opțiune pentru autentificarea cu două factori.
În timp ce vom elabora cazul împotriva SMS-ului aici, este important să facem mai întâi un lucru clar: utilizarea SMS-ului este mai bună decât să nu folosiți autentificarea cu doi factori.
Când nu utilizați autentificarea cu două factori, cineva trebuie să aibă parola doar pentru a vă conecta la cont. Când utilizați autentificarea în doi factori cu SMS, este necesar ca cineva să achiziționeze parola și să obțină acces la mesajele dvs. text pentru a avea acces la contul dvs. SMS-ul este mult mai sigur decât nimic.
Dacă SMS este singura dvs. opțiune, vă rugăm să folosiți SMS-ul. Cu toate acestea, dacă doriți să aflați de ce experții în domeniul securității recomandă evitarea SMS-urilor și ceea ce vă recomandăm, citiți mai departe.
Iată cum funcționează verificarea SMS: Când încercați să vă conectați, serviciul trimite un mesaj text către numărul de telefon mobil pe care l-ați furnizat anterior. Obțineți codul respectiv pe telefon și introduceți-l pentru a vă conecta. Acest cod este bun pentru o singură utilizare.
Suna destul de sigur. La urma urmei, numai tu ai numărul tău de telefon și cineva trebuie să aibă telefonul tău pentru a vedea codul corect? Din pacate, nu.
Dacă cineva vă cunoaște numărul de telefon și poate obține acces la informații personale, cum ar fi ultimele patru cifre ale numărului dvs. de securitate socială - din păcate, acest lucru este ușor de găsit datorită numeroaselor corporații și agențiilor guvernamentale care au scos date despre clienți - pot contacta telefonul dvs. companie și mutați numărul de telefon pe un nou telefon. Aceasta este cunoscută sub numele de "swap SIM" și este același proces pe care îl efectuați atunci când cumpărați un dispozitiv nou și mutați numărul de telefon pe el. Persoana spune că ești tu, furnizează datele personale, iar compania dvs. de telefonie mobilă își stabilește telefonul cu numărul dvs. de telefon. Ei vor primi codurile de mesaje SMS trimise pe numărul dvs. de telefon pe telefonul lor.
Am văzut rapoarte despre acest lucru în Marea Britanie, unde atacatorii au furat numărul de telefon al victimei și l-au folosit pentru a avea acces la contul bancar al victimei. Statul New York a avertizat de asemenea despre această înșelătorie.
În centrul său, acesta este un atac de inginerie socială care se bazează pe pacalirea companiei dvs. de telefonie mobilă. Dar compania dvs. de telefonie mobilă nu ar trebui să fie în măsură să ofere cuiva accesul la codurile dvs. de securitate în primul rând!
De asemenea, este posibil să se sune pe mesaje SMS. Disidenții politici și jurnaliștii din țările represive vor dori să fie atenți, deoarece guvernul ar putea să atace mesajele SMS atunci când sunt trimise prin rețeaua telefonică. Acest lucru sa întâmplat deja în Iran, unde hackerii iranieni au compromis un număr de conturi de telegrame prin interceptarea mesajelor SMS care au oferit acces la acele conturi.
Atacatorii au abuzat de asemenea de problemele din SS7, sistemul de conectare utilizat pentru roaming, pentru a intercepta mesajele SMS în rețea și pentru a le rută în altă parte. Există multe alte moduri în care pot fi interceptate mesaje, inclusiv prin folosirea turnurilor de telefon mobil fals. Mesajele SMS nu au fost concepute pentru securitate și nu ar trebui utilizate pentru acestea.
Cu alte cuvinte, un atacator sofisticat, cu puțină informație personală, ar putea să vă abuzeze de numărul dvs. de telefon pentru a avea acces la conturile dvs. online și apoi să utilizați acele conturi pentru a încerca să vă scurgeți conturile bancare, de exemplu. De aceea, Institutul Național de Standarde și Tehnologie nu mai recomandă utilizarea mesajelor SMS pentru autentificarea în doi factori.
O schemă de autentificare cu două factori care nu se bazează pe SMS este superioară, deoarece compania de telefonie mobilă nu va putea da altcuiva acces la codurile dvs. Cea mai populară opțiune pentru aceasta este o aplicație ca Google Authenticator. Cu toate acestea, vă recomandăm Authy, deoarece face tot ceea ce face Google Authenticator și multe altele.
Aplicații ca aceasta generează coduri pe dispozitiv. Chiar dacă un atacator ți-a păcălit compania de telefonie mobilă în a-ți muta telefonul la telefon, nu ar putea să-ți primească codurile de securitate. Datele necesare pentru a genera aceste coduri vor rămâne în siguranță pe telefon.
De asemenea, nu trebuie să utilizați coduri. Servicii cum ar fi Twitter, Google și Microsoft testează autentificarea cu două factori bazată pe aplicații, care vă permite să vă conectați la un alt dispozitiv autorizând conectarea în aplicația lor pe telefon.
Există, de asemenea, jetoane hardware fizice pe care le puteți utiliza. Companiile mari precum Google și Dropbox au implementat deja un nou standard pentru jetoanele de autentificare bazate pe hardware, denumite U2F. Acestea sunt cu totul mai sigure decât să se bazeze pe compania dvs. de telefonie mobilă și pe rețeaua telefonică învechită.
Dacă este posibil, evitați SMS-urile pentru autentificarea cu doi factori. E mai bine decât nimic și pare convenabil, dar de obicei este cel mai puțin sigur schema de autentificare cu două factori pe care o puteți alege.
Din păcate, unele servicii vă obligă să utilizați SMS-urile. Dacă vă faceți griji în legătură cu acest lucru, puteți crea un număr de telefon Google Voice și îl puteți oferi serviciilor care necesită autentificare prin SMS. Apoi, puteți să vă conectați la contul dvs. Google - pe care îl puteți proteja printr-o metodă de autentificare mai sigură cu două factori - și să vedeți mesajele securizate pe site-ul sau aplicația Google Voice. Doar nu transmiteți mesajele de la Google Voice către numărul real de telefon mobil.