Bezpečnostní experti doporučují pomocí dvoufaktorového ověřování zabezpečit své online účty, kdykoli je to možné. Mnoho služeb standardně ověřuje pomocí SMS a při pokusu o přihlášení odesílá kódy prostřednictvím SMS do telefonu. SMS zprávy však mají mnoho bezpečnostních problémů a jsou nejméně bezpečnou možností dvoufaktorového ověřování.
Nejdříve první: SMS je stále lepší než vůbec žádné dvoufaktorové ověřování!
PŘÍBUZNÝ: Co je dvoufaktorové ověřování a proč ho potřebuji?
I když zde pojednáme o případu SMS, je důležité nejprve objasnit jednu věc: Používání SMS je lepší než vůbec nepoužívat dvoufaktorové ověřování.
Pokud nepoužíváte dvoufaktorové ověřování, někdo pro přihlášení k vašemu účtu potřebuje pouze vaše heslo. Pokud používáte dvoufaktorové ověřování pomocí SMS, někdo bude muset získat heslo i přístup k vašim textovým zprávám, aby získal přístup k vašemu účtu. SMS jsou mnohem bezpečnější než vůbec nic.
Pokud je vaše jediná možnost SMS, použijte SMS. Pokud se však chcete dozvědět, proč bezpečnostní experti doporučují vyhýbat se SMS a co místo toho doporučujeme, čtěte dále.
Výměna SIM karty umožňuje útočníkům ukrást vaše telefonní číslo
Funguje ověřování pomocí SMS takto: Když se pokusíte přihlásit, služba odešle textovou zprávu na číslo mobilního telefonu, které jste jim dříve poskytli. Tento kód získáte do telefonu a zadáte jej pro přihlášení. Tento kód je vhodný pouze pro jednorázové použití.
Zní to přiměřeně bezpečně. Koneckonců, pouze vy máte své telefonní číslo a někdo musí mít váš telefon, aby kód viděl - správně? Bohužel ne.
Pokud někdo zná vaše telefonní číslo a může získat přístup k osobním informacím, jako jsou poslední čtyři číslice vašeho čísla sociálního zabezpečení - bohužel je to snadné najít díky mnoha společnostem a vládním agenturám, které unikly údaje o zákaznících - může kontaktovat váš telefon společnost a přesuňte své telefonní číslo na nový telefon. Toto se nazývá „ Výměna SIM karty “, A je to stejný proces, jaký provádíte, když si kupujete nové zařízení a přesouváte na něj své telefonní číslo. Osoba říká, že jste vy, poskytuje osobní údaje a vaše mobilní společnost nastaví telefon s vaším telefonním číslem. Dostanou kódy SMS zpráv zaslané na vaše telefonní číslo do svého telefonu.
Viděli jsme zprávy o této události ve Velké Británii , kde útočníci ukradli telefonní číslo oběti a použili jej k získání přístupu k bankovnímu účtu oběti. Stát New York také varoval o tomto podvodu.
V jádru je to útok sociálního inženýrství která se spoléhá na podvádění vaší mobilní společnosti. Vaše společnost poskytující mobilní telefony by ale neměla být vůbec schopna poskytnout někomu přístup k vašim bezpečnostním kódům!
SMS zprávy lze zachytit mnoha způsoby
Je také možné sledovat SMS zprávy. Političtí disidenti a novináři v represivních zemích budou chtít být opatrní, protože vláda by mohla unést SMS zprávy odesílané prostřednictvím telefonní sítě. To se již stalo v Írán , kde íránští hackeři údajně narušili řadu účtů telegramů messenger tím, že zachytili zprávy SMS, které poskytovaly přístup k těmto účtům.
Útočníci také zneužívali problémy v SS7 , systém připojení používaný k roamingu, k zachycení SMS zpráv v síti a jejich směrování jinam. Existuje mnoho dalších způsobů, jak lze zprávy zachytit, včetně použití falešných věží mobilních telefonů. SMS zprávy nebyly navrženy z důvodu bezpečnosti a neměly by se k tomu používat.
Jinými slovy, sofistikovaný útočník s trochou osobních údajů by mohl ukrást vaše telefonní číslo, aby získal přístup k vašim online účtům, a poté se pomocí těchto účtů pokusit například vyčerpat vaše bankovní účty. Proto je National Institute of Standards and Technology již nedoporučuji používání SMS zpráv pro dvoufaktorovou autentizaci.
Alternativa: Generování kódů na vašem zařízení
PŘÍBUZNÝ: Jak nastavit Authy pro dvoufaktorové ověřování (a synchronizovat vaše kódy mezi zařízeními)
Dvoufaktorové ověřovací schéma, které se nespoléhá na SMS, je lepší, protože společnost poskytující mobilní telefony nebude moci poskytnout někomu jinému přístup k vašim kódům. Nejoblíbenější možností je aplikace jako Google Authenticator . Nicméně, doporučujeme Authy , protože dělá vše, co Google Authenticator, a další.
Aplikace jako je tato generují kódy ve vašem zařízení. I kdyby útočník podvedl vaši společnost poskytující mobilní telefony k přesunutí vašeho telefonního čísla na svůj telefon, nemohl by získat vaše bezpečnostní kódy. Data potřebná k vygenerování těchto kódů zůstanou ve vašem telefonu bezpečně.
PŘÍBUZNÝ: Jak nastavit nové dvoufaktorové ověřování bez kódu společnosti Google
Také nemusíte používat kódy. Služby jako Twitter, Google a Microsoft testují dvoufaktorové ověřování založené na aplikaci , který vám umožní přihlásit se na jiném zařízení autorizací přihlášení v jejich aplikaci ve vašem telefonu.
Můžete také použít fyzické hardwarové tokeny. Velké společnosti jako Google a Dropbox již implementovaly nový standard pro hardwarové dvoufaktorové autentizační tokeny s názvem U2F . To vše je bezpečnější než spoléhání se na vaši společnost poskytující mobilní telefony a zastaralou telefonní síť.
Pokud je to možné, vyhněte se SMS pro dvoufaktorové ověřování. Je to lepší než nic a vypadá to pohodlně, ale je to obvykle nejméně bezpečné dvoufaktorové ověřovací schéma, které si můžete vybrat.
Některé služby vás bohužel nutí používat SMS. Pokud se toho obáváte, můžete si vytvořit telefonní číslo Google Voice a dát ho službám, které vyžadují ověření pomocí SMS. Poté se můžete přihlásit ke svému účtu Google - který můžete chránit bezpečnější dvoufaktorovou metodou ověřování - a zobrazit zabezpečené zprávy na webu nebo v aplikaci Google Voice. Jen nepředávejte zprávy ze služby Google Voice na své skutečné číslo mobilního telefonu.
