Почетна » како да » Зашто не би требало да користите СМС за аутентификацију у два фактора (и шта да користите уместо)

    Зашто не би требало да користите СМС за аутентификацију у два фактора (и шта да користите уместо)

    Стручњаци за безбедност препоручују коришћење аутентификације у два фактора да бисте осигурали своје онлине налоге где год је то могуће. Многе услуге подразумијевају провјеру СМС-а, шаљући кодове путем текстуалне поруке на телефон када покушате да се пријавите. Али СМС поруке имају много сигурносних проблема и најмање су сигурна опција за аутентификацију у два фактора.

    Прво прво: СМС је и даље бољи од аутентификације на два фактора!

    Док ћемо овде да изнесемо случај против СМС-а, важно је да прво појаснимо једну ствар: коришћење СМС-а је боље него да се уопште не користи аутентификација у два фактора..

    Када не користите аутентификацију са два фактора, неко треба само вашу лозинку да бисте се пријавили на свој налог. Када користите аутентификацију у два фактора са СМС-ом, неко ће морати да прибави вашу лозинку и да добије приступ вашим текстуалним порукама да би добио приступ вашем налогу. СМС је много сигурнији него ништа.

    Ако је СМС ваша једина опција, користите СМС. Међутим, ако желите да сазнате зашто стручњаци за безбедност препоручују избегавање СМС порука и оно што препоручујемо уместо тога, прочитајте даље.

    СИМ замјене Омогућују нападачима да украду ваш број телефона

    Ево како функционише верификација СМС-а: Када покушате да се пријавите, услуга шаље текстуалну поруку на број мобилног телефона који сте претходно доставили. Тај код добијате на свом телефону и уносите га да се пријавите. Тај код је добар само за једнократну употребу.

    Звучи разумно сигурно. Уосталом, само ви имате свој број телефона и неко мора да има ваш телефон да види десно код? Нажалост нема.

    Ако неко зна ваш број телефона и може да добије приступ личним подацима као што су последње четири цифре вашег социјалног броја - на жалост, то је лако пронаћи захваљујући многим корпорацијама и владиним агенцијама које су процуриле податке о клијентима - могу да контактирају ваш телефон и преместите свој број телефона на нови телефон. То је познато као "СИМ замена" и исти је процес који извршавате када купите нови уређај и преместите број телефона на њега. Особа каже да сте ви, даје личне податке, а ваша компанија за мобилни телефон поставља свој телефон са вашим бројем телефона. Они ће добити СМС кодове послате на ваш телефонски број на свој телефон.

    Видели смо извештаје о томе у Великој Британији, где су нападачи украли број телефона жртве и искористили га да би добили приступ банковном рачуну жртве. Држава Нев Иорк је такође упозорила на ову превару.

    У својој суштини, ово је напад социјалног инжењеринга који се ослања на превару ваше компаније за мобилни телефон. Али ваша компанија за мобилни телефон не би требало да буде у могућности да некоме обезбеди приступ вашим безбедносним кодовима!

    СМС поруке могу се пресрести у много начина

    Такодје је могуће снооповати СМС поруке. Политички дисиденти и новинари у репресивним земљама желе да буду опрезни, јер влада може отети СМС поруке док их шаљу путем телефонске мреже. То се већ догодило у Ирану, гдје су ирански хакери наводно компромитовали бројне рачуне телеграмских гласника тако што су пресрели СМС поруке које су омогућиле приступ тим рачунима..

    Нападачи су такође злоупотријебили проблеме у СС7, систему веза који се користи за роаминг, за пресретање СМС порука на мрежи и њихово усмјеравање негдје другдје. Постоје многи други начини на које се поруке могу пресрести, укључујући и коришћење лажних торњева за мобителе. СМС поруке нису дизајниране за безбедност и не треба их користити.

    Другим речима, софистицирани нападач са мало личних података може да отме ваш телефонски број да би добио приступ вашим онлине налозима, а затим да искористи те рачуне да покуша да исцрпи ваше банковне рачуне, на пример. Зато Национални институт за стандарде и технологију више не препоручује употребу СМС порука за аутентификацију у два фактора.

    Алтернатива: Генеришите кодове на уређају

    Шема аутентикације са два фактора која се не ослања на СМС је супериорнија, јер компанија за мобилни телефон неће моћи да омогући неком другом приступ вашим кодовима. Најпопуларнија опција за ово је апликација као што је Гоогле Аутхентицатор. Међутим, препоручујемо Аутхи, јер чини све што Гоогле Аутхентицатор ради и још много тога.

    Апликације као што је ова генеришу кодове на вашем уређају. Чак и ако нападач превари вашу компанију за мобилни телефон да пребаци ваш број телефона на телефон, они не би могли да добију ваше безбедносне кодове. Подаци који су потребни за генерисање тих шифри остају безбедно на вашем телефону.

     

    Ни ви не морате да користите шифре. Услуге као што су Твиттер, Гоогле и Мицрософт тестирају аутентификацију засновану на апликацијама на основу два фактора која вам омогућава да се пријавите на другом уређају тако што ћете ауторизовати пријављивање у апликацији на телефону.

    Постоје и физички хардверски токени које можете користити. Велике компаније попут Гоогле-а и Дропбок-а већ су увеле нови стандард за хардверске двокомпонентне ознаке за аутентификацију под називом У2Ф. Све су сигурније од ослањања на вашу компанију за мобилне телефоне и застарјелу телефонску мрежу.

    Ако је могуће, избегавајте СМС за аутентификацију са два фактора. То је боље него ништа и изгледа згодно, али то је обично најсигурнија двофакторска шема аутентификације коју можете да изаберете.

    Нажалост, неке услуге вас присиљавају да користите СМС. Ако вас то брине, можете креирати телефонски број за Гоогле Воице и дати га услугама које захтевају аутентификацију СМС-а. Потом можете да се пријавите на свој Гоогле налог - који можете да заштитите помоћу сигурније методе за потврду аутентичности у два фактора - и да видите безбедне поруке на Веб локацији или апликацији Гоогле Воице. Само немојте слати поруке са Гоогле Воице на ваш стварни број мобилног телефона.