Pagina principala » HOWTO » De ce nu ar trebui să utilizați SMS pentru autentificarea în doi factori (și ce să utilizați în schimb)

    De ce nu ar trebui să utilizați SMS pentru autentificarea în doi factori (și ce să utilizați în schimb)

    Experții în securitate recomandă utilizarea autentificării cu două factori pentru a vă asigura conturile online ori de câte ori este posibil. Multe servicii implicite la verificarea SMS-urilor, trimiterea de coduri prin mesaj text la telefon atunci când încercați să vă conectați. Dar mesajele SMS au o mulțime de probleme de securitate și sunt cea mai puțin sigură opțiune pentru autentificarea cu doi factori.

    Primele lucruri: SMS-ul este încă mai bun decât nici o autentificare cu doi factori la toți!

    În timp ce vom elabora cazul împotriva SMS-ului aici, este important să facem mai întâi un lucru clar: utilizarea SMS-ului este mai bună decât nefolosirea autentificării cu doi factori.

    Când nu utilizați autentificarea cu doi factori, cineva are nevoie doar de parola dvs. pentru a vă conecta la contul dvs. Când utilizați autentificarea cu două factori prin SMS, este necesar ca cineva să achiziționeze parola și să obțină acces la mesajele dvs. text pentru a avea acces la contul dvs. SMS-ul este mult mai sigur decât nimic.

    Dacă SMS este singura dvs. opțiune, vă rugăm să folosiți SMS-ul. Cu toate acestea, dacă doriți să aflați de ce experții în domeniul securității recomandă evitarea SMS-urilor și ceea ce vă recomandăm, citiți mai departe.

    SIM Swaps permite atacatorilor să vă fure numărul de telefon

    Iată cum funcționează verificarea prin SMS: Când încercați să vă conectați, serviciul trimite un mesaj text către numărul de telefon mobil pe care l-ați furnizat anterior. Veți primi acel cod pe telefon și introduceți-l pentru a vă conecta. Acest cod este bun doar pentru o singură utilizare.

    Suna destul de sigur. La urma urmei, numai tu ai numărul tău de telefon și cineva trebuie să aibă telefonul tău pentru a vedea codul corect? Din pacate, nu.

    Dacă cineva vă cunoaște numărul de telefon și poate obține accesul la informații personale, precum ultimele patru cifre ale numărului dvs. de securitate socială - din păcate, acest lucru este ușor de găsit datorită numeroaselor corporații și agențiilor guvernamentale care au scos date despre clienți - pot contacta telefonul dvs. companie și mutați numărul de telefon pe un telefon nou. Aceasta este cunoscută sub numele de "swap SIM" și este același proces pe care îl efectuați atunci când achiziționați un dispozitiv nou și mutați numărul de telefon pe acesta. Persoana spune că ești tu, furnizează datele personale, iar compania dvs. de telefonie mobilă își stabilește telefonul cu numărul dvs. de telefon. Ei vor primi codurile de mesaje SMS trimise pe numărul dvs. de telefon pe telefonul lor.

    Am văzut rapoarte despre acest lucru în Marea Britanie, unde atacatorii au furat numărul de telefon al victimei și l-au folosit pentru a avea acces la contul bancar al victimei. Statul New York a avertizat de asemenea despre această înșelătorie.

    În centrul său, acesta este un atac de inginerie socială care se bazează pe păcălirea companiei dvs. de telefonie mobilă. Dar compania dvs. de telefonie mobilă nu ar trebui să poată oferi în primul rând accesul la codurile dvs. de securitate!

    Mesajele SMS pot fi interceptate în multe moduri

    De asemenea, este posibil să se sune pe mesaje SMS. Disidenții politici și jurnaliștii din țările represive vor dori să fie atenți, deoarece guvernul ar putea să atace mesajele SMS atunci când sunt trimise prin rețeaua telefonică. Acest lucru sa întâmplat deja în Iran, unde hackerii iranieni au compromis un număr de conturi de telegrame prin interceptarea mesajelor SMS care au oferit acces la acele conturi.

    Atacatorii au abuzat de asemenea de problemele din SS7, sistemul de conectare utilizat pentru roaming, pentru a intercepta mesajele SMS în rețea și pentru a le răsfoi în altă parte. Există multe alte modalități prin care pot fi interceptate mesaje, inclusiv prin folosirea turnurilor telefonice false. Mesajele SMS nu au fost concepute pentru securitate și nu ar trebui utilizate pentru acestea.

    Cu alte cuvinte, un atacator sofisticat, cu puțină informație personală, ar putea să-ți deturneze numărul de telefon pentru a avea acces la conturile dvs. online și apoi să folosească acele conturi pentru a încerca să vă scurgă conturile bancare, de exemplu. De aceea, Institutul Național de Standarde și Tehnologie nu mai recomandă utilizarea mesajelor SMS pentru autentificarea în doi factori.

    Alternativa: generați coduri pe dispozitivul dvs.

    O schemă de autentificare cu două factori care nu se bazează pe SMS este superioară, deoarece compania de telefonie mobilă nu va putea da altcuiva acces la codurile dvs. Cea mai populară opțiune pentru aceasta este o aplicație precum Google Authenticator. Cu toate acestea, vă recomandăm Authy, deoarece face tot ceea ce face Google Authenticator și multe altele.

    Aplicații ca aceasta generează coduri pe dispozitiv. Chiar dacă un atacator ți-a păcălit compania de telefonie mobilă pentru a-ți mișca numărul de telefon la telefon, nu ar putea să-ți primească codurile de securitate. Datele necesare pentru a genera aceste coduri vor rămâne în siguranță pe telefon.

     

    De asemenea, nu trebuie să utilizați coduri. Servicii precum Twitter, Google și Microsoft testează autentificarea pe două componente a aplicației, care vă permite să vă conectați la un alt dispozitiv autorizând conectarea în aplicația lor pe telefon.

    Există, de asemenea, jetoane hardware fizice pe care le puteți utiliza. Companiile mari precum Google și Dropbox au implementat deja un nou standard pentru jetoanele de autentificare bazate pe hardware, denumite U2F. Acestea sunt cu totul mai sigure decât să se bazeze pe compania dvs. de telefonie mobilă și pe rețeaua telefonică depășită.

    Dacă este posibil, evitați SMS-urile pentru autentificarea cu doi factori. Este mai bine decât nimic și pare convenabil, dar este, de obicei, cea mai puțin sigură schemă de autentificare cu două factori pe care o puteți alege.

    Din păcate, unele servicii vă obligă să utilizați SMS-urile. Dacă sunteți îngrijorat de acest lucru, puteți crea un număr de telefon Google Voice și îl puteți oferi serviciilor care necesită autentificare prin SMS. Apoi, puteți să vă conectați la contul dvs. Google - pe care îl puteți proteja printr-o metodă de autentificare mai sigură cu două factori - și să vedeți mesajele securizate pe site-ul sau aplicația Google Voice. Doar nu transmiteți mesajele de la Google Voice către numărul real de telefon mobil.