Główna » jak » Dlaczego nie powinieneś używać SMS-a do uwierzytelniania dwuskładnikowego (i czego używać zamiast tego)

    Dlaczego nie powinieneś używać SMS-a do uwierzytelniania dwuskładnikowego (i czego używać zamiast tego)

    Eksperci ds. Bezpieczeństwa zalecają stosowanie uwierzytelniania dwuskładnikowego w celu zabezpieczenia kont internetowych w miarę możliwości. Wiele usług domyślnie obsługuje weryfikację SMS-ów, wysyłając kody za pomocą wiadomości tekstowych na telefon podczas próby zalogowania. Ale wiadomości SMS mają wiele problemów z zabezpieczeniami i są najmniej bezpieczną opcją uwierzytelniania dwuskładnikowego.

    Po pierwsze: SMS jest nadal lepszy niż brak dwuetapowego uwierzytelniania w ogóle!

    Choć zamierzamy wytyczyć tutaj sprawę przeciwko SMS-owi, ważne jest, aby najpierw wyjaśnić jedną rzecz: korzystanie z SMS-a jest lepsze niż niestosowanie uwierzytelniania dwuskładnikowego w ogóle.

    Jeśli nie używasz uwierzytelniania dwuskładnikowego, ktoś potrzebuje tylko Twojego hasła, aby zalogować się na swoje konto. Podczas korzystania z uwierzytelniania dwuskładnikowego za pomocą wiadomości SMS, ktoś będzie musiał zarówno uzyskać hasło, jak i uzyskać dostęp do wiadomości tekstowych, aby uzyskać dostęp do konta. SMS jest dużo bezpieczniejszy niż nic.

    Jeśli SMS jest Twoją jedyną opcją, użyj SMS-a. Jeśli jednak chcesz się dowiedzieć, dlaczego eksperci od bezpieczeństwa zalecają unikanie SMS-ów i tego, co zalecamy, czytaj dalej.

    Swapy SIM umożliwiają atakującym ukradzenie twojego numeru telefonu

    Oto, jak działa weryfikacja za pomocą wiadomości SMS: przy próbie zalogowania się usługa wysyła wiadomość tekstową na podany wcześniej numer telefonu komórkowego. Dostajesz ten kod na swój telefon i wprowadzasz go, aby się zalogować. Ten kod jest dobry tylko do jednorazowego użytku.

    Brzmi dość bezpiecznie. W końcu tylko ty masz swój numer telefonu i ktoś musi mieć telefon, żeby zobaczyć kod, prawda? Niestety nie.

    Jeśli ktoś zna Twój numer telefonu i może uzyskać dostęp do danych osobowych, takich jak cztery ostatnie cyfry numeru ubezpieczenia społecznego - niestety łatwo jest to sprawdzić dzięki wielu korporacjom i agencjom rządowym, które ujawniły dane klienta - mogą skontaktować się z Twoim telefonem i przenieś swój numer telefonu na nowy telefon. Jest to tak zwana "wymiana SIM" i jest to ten sam proces, który wykonuje się przy zakupie nowego urządzenia i przeniesieniu do niego numeru telefonu. Ta osoba mówi, że to ty, podaje dane osobowe, a twoja firma telefoniczna ustawia telefon z numerem telefonu. Otrzymają kody wiadomości SMS wysłane na twój numer telefonu na swoim telefonie.

    Widzieliśmy doniesienia o tym w Wielkiej Brytanii, gdzie napastnicy ukradli numer telefonu ofiary i wykorzystali go, by uzyskać dostęp do konta bankowego ofiary. New York State również ostrzegł przed tym oszustwem.

    W gruncie rzeczy jest to atak socjotechniczny polegający na oszukiwaniu firmy telefonii komórkowej. Ale twoja firma komórkowa nie powinna być w stanie zapewnić komuś dostępu do kodów bezpieczeństwa w pierwszej kolejności!

    Wiadomości SMS mogą być przechwytywane w wielu sposobach

    Możliwe jest również podsłuchiwanie wiadomości SMS. Polityczni dysydenci i dziennikarze w represyjnych krajach będą chcieli zachować ostrożność, ponieważ rząd może przejąć wiadomości SMS, ponieważ są one przesyłane przez sieć telefoniczną. To już się stało w Iranie, gdzie irańscy hakerzy naruszyli pewną liczbę kont posłańców Telegram, przechwytując wiadomości SMS zapewniające dostęp do tych kont.

    Atakujący wykorzystali również problemy w SS7, systemie połączeń wykorzystywanym do roamingu, do przechwytywania wiadomości SMS w sieci i kierowania ich w inne miejsce. Istnieje wiele innych sposobów przechwytywania wiadomości, w tym z wykorzystaniem fałszywych wież telefonii komórkowej. Wiadomości SMS nie zostały zaprojektowane z myślą o bezpieczeństwie i nie powinny być wykorzystywane do tego celu.

    Innymi słowy, wyrafinowany atakujący z odrobiną danych osobowych może przejąć twój numer telefonu, aby uzyskać dostęp do twoich kont online, a następnie użyć tych kont, aby spróbować np. Drenować swoje konta bankowe. Dlatego Narodowy Instytut Standardów i Technologii już nie zaleca stosowania wiadomości SMS do uwierzytelniania dwuskładnikowego.

    Alternatywa: Wygeneruj kody na swoim urządzeniu

    Dwuskładnikowy schemat uwierzytelniania, który nie polega na SMS-ach, jest lepszy, ponieważ firma telefonii komórkowej nie będzie w stanie dać komuś dostępu do kodów. Najpopularniejszą opcją jest aplikacja Google Authenticator. Jednak zalecamy Authy, ponieważ robi wszystko, co robi Google Authenticator i więcej.

    Aplikacje takie jak ta generują kody na Twoim urządzeniu. Nawet jeśli napastnik oszukał twoją firmę telefonii komórkowej w przeniesieniu twojego numeru telefonu na swój telefon, nie byliby w stanie uzyskać twoich kodów bezpieczeństwa. Dane potrzebne do wygenerowania tych kodów pozostaną bezpiecznie w telefonie.

     

    Nie musisz też używać kodów. Usługi takie jak Twitter, Google i Microsoft testują oparte na aplikacji uwierzytelnianie dwuskładnikowe, które umożliwia zalogowanie się na innym urządzeniu poprzez autoryzację logowania w aplikacji na telefonie.

    Istnieją również fizyczne tokeny sprzętowe, których możesz użyć. Duże firmy, takie jak Google i Dropbox, już wdrożyły nowy standard dla dwuskładnikowych tokenów uwierzytelniania o nazwie U2F. Są one bardziej bezpieczne niż poleganie na firmie telefonii komórkowej i przestarzałej sieci telefonicznej.

    Jeśli to możliwe, unikaj SMS-ów dla uwierzytelniania dwuskładnikowego. Jest to lepsze niż nic i wydaje się wygodne, ale zwykle jest to najmniej bezpieczny, dwuskładnikowy schemat uwierzytelniania, który możesz wybrać.

    Niestety niektóre usługi zmuszają Cię do korzystania z SMS-ów. Jeśli się o to martwisz, możesz utworzyć numer telefonu Google Voice i przekazać go usługom, które wymagają uwierzytelnienia SMS-em. Następnie możesz zalogować się na swoje konto Google - które możesz zabezpieczyć bezpieczniejszą, dwuskładnikową metodą uwierzytelniania - i wyświetlać bezpieczne wiadomości w witrynie lub aplikacji Google Voice. Po prostu nie przesyłaj wiadomości z Google Voice na rzeczywisty numer telefonu komórkowego.