Συνιστούν ειδικοί ασφαλείας χρησιμοποιώντας έλεγχο ταυτότητας δύο παραγόντων για να ασφαλίσετε τους διαδικτυακούς λογαριασμούς σας όπου είναι δυνατόν. Πολλές υπηρεσίες είναι προεπιλεγμένες στην επαλήθευση SMS, στέλνοντας κωδικούς μέσω μηνύματος κειμένου στο τηλέφωνό σας όταν προσπαθείτε να συνδεθείτε. Ωστόσο, τα μηνύματα SMS έχουν πολλά προβλήματα ασφαλείας και αποτελούν τη λιγότερο ασφαλή επιλογή για έλεγχο ταυτότητας δύο παραγόντων.
Πρώτα πράγματα πρώτα: Το SMS εξακολουθεί να είναι καλύτερο από κανένα έλεγχο ταυτότητας δύο παραγόντων!
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί το χρειάζομαι;
Ενώ πρόκειται να παρουσιάσουμε την υπόθεση εναντίον SMS εδώ, είναι σημαντικό να ξεκαθαρίσουμε πρώτα ένα πράγμα: Η χρήση SMS είναι καλύτερη από το να μην χρησιμοποιείτε καθόλου έλεγχο ταυτότητας δύο παραγόντων.
Όταν δεν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων, κάποιος χρειάζεται μόνο τον κωδικό πρόσβασής σας για να συνδεθεί στον λογαριασμό σας. Όταν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων με SMS, κάποιος θα πρέπει να αποκτήσει και τον κωδικό πρόσβασής σας και να αποκτήσει πρόσβαση στα μηνύματα κειμένου σας για να αποκτήσει πρόσβαση στον λογαριασμό σας. Το SMS είναι πολύ πιο ασφαλές από τίποτα.
Εάν το SMS είναι η μόνη σας επιλογή, χρησιμοποιήστε το SMS. Ωστόσο, εάν θέλετε να μάθετε γιατί οι ειδικοί ασφαλείας προτείνουν την αποφυγή SMS και αυτό που προτείνουμε, διαβάστε παρακάτω.
Η ανταλλαγή SIM επιτρέπει στους εισβολείς να κλέψουν τον αριθμό τηλεφώνου σας
Δείτε πώς λειτουργεί η επαλήθευση SMS: Όταν προσπαθείτε να συνδεθείτε, η υπηρεσία στέλνει ένα μήνυμα κειμένου στον αριθμό του κινητού τηλεφώνου που του έχετε ήδη παράσχει. Λαμβάνετε αυτόν τον κωδικό στο τηλέφωνό σας και τον εισάγετε για να συνδεθείτε. Αυτός ο κωδικός είναι καλός μόνο για μία χρήση.
Ακούγεται αρκετά ασφαλές. Σε τελική ανάλυση, μόνο έχετε τον αριθμό τηλεφώνου σας και κάποιος πρέπει να έχει το τηλέφωνό σας για να δει τον κωδικό — σωστά; Δυστυχώς όχι.
Αν κάποιος γνωρίζει τον αριθμό τηλεφώνου σας και μπορεί να αποκτήσει πρόσβαση σε προσωπικές πληροφορίες, όπως τα τέσσερα τελευταία ψηφία του αριθμού κοινωνικής ασφάλισης σας - δυστυχώς, αυτό είναι εύκολο να βρεθεί χάρη στις πολλές εταιρείες και κυβερνητικές υπηρεσίες που έχουν διαρρεύσει δεδομένα πελατών - μπορούν να επικοινωνήσουν με το τηλέφωνό σας εταιρεία και μετακινήστε τον αριθμό τηλεφώνου σας σε ένα νέο τηλέφωνο. Αυτό είναι γνωστό ως « Ανταλλαγή SIM ", Και είναι η ίδια διαδικασία που εκτελείτε όταν αγοράζετε μια νέα συσκευή και μετακινείτε τον αριθμό τηλεφώνου σας σε αυτήν. Το άτομο λέει ότι είστε εσείς, παρέχει τα προσωπικά δεδομένα και η εταιρεία κινητής τηλεφωνίας σας ρυθμίζει το τηλέφωνό σας με τον αριθμό τηλεφώνου σας. Θα λάβουν τους κωδικούς μηνυμάτων SMS που αποστέλλονται στον αριθμό τηλεφώνου σας στο τηλέφωνό τους.
Έχουμε δει αναφορές για αυτό στο Ηνωμένο Βασίλειο , όπου οι εισβολείς έκλεψαν τον αριθμό τηλεφώνου του θύματος και τον χρησιμοποίησαν για να αποκτήσουν πρόσβαση στον τραπεζικό λογαριασμό του θύματος. Το New York State έχει επίσης προειδοποίησε σχετικά με αυτήν την απάτη.
Στον πυρήνα του, αυτό είναι επίθεση κοινωνικής μηχανικής που βασίζεται στην εξαπάτηση της εταιρείας κινητής τηλεφωνίας σας. Όμως, η εταιρεία κινητής τηλεφωνίας σας δεν πρέπει να μπορεί να παρέχει σε κάποιον πρόσβαση στους κωδικούς ασφαλείας σας!
Τα μηνύματα SMS μπορούν να παραληφθούν με πολλούς τρόπους
Είναι επίσης δυνατό να παρακολουθείτε μηνύματα SMS. Οι πολιτικοί αντιφρονούντες και δημοσιογράφοι σε καταπιεστικές χώρες θα θέλουν να είναι προσεκτικοί, καθώς η κυβέρνηση θα μπορούσε να εισβάλει σε μηνύματα SMS καθώς αποστέλλονται μέσω του τηλεφωνικού δικτύου. Αυτό έχει ήδη συμβεί στο Ιράν , όπου οι Ιρανοί χάκερ φέρεται να παραβίασαν έναν αριθμό λογαριασμών αγγελιοφόρων Telegram αναχαιτίζοντας τα μηνύματα SMS που παρείχαν πρόσβαση σε αυτούς τους λογαριασμούς.
Οι επιτιθέμενοι έχουν επίσης κακοποιήσει προβλήματα στο SS7 , το σύστημα σύνδεσης που χρησιμοποιείται για περιαγωγή, για να παρακολουθεί μηνύματα SMS στο δίκτυο και να τα δρομολογεί αλλού. Υπάρχουν πολλοί άλλοι τρόποι με τους οποίους μπορούν να παρεμποδίζονται τα μηνύματα, συμπεριλαμβανομένης της χρήσης πλαστών πύργων κινητών τηλεφώνων. Τα μηνύματα SMS δεν έχουν σχεδιαστεί για ασφάλεια και δεν πρέπει να χρησιμοποιούνται για αυτό.
Με άλλα λόγια, ένας εξελιγμένος εισβολέας με λίγα προσωπικά στοιχεία θα μπορούσε να καταλάβει τον αριθμό τηλεφώνου σας για να αποκτήσει πρόσβαση στους διαδικτυακούς λογαριασμούς σας και στη συνέχεια να χρησιμοποιήσει αυτούς τους λογαριασμούς για να προσπαθήσει να εξαντλήσει τους τραπεζικούς λογαριασμούς σας, για παράδειγμα. Γι 'αυτό είναι το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας δεν προτείνω πλέον τη χρήση μηνυμάτων SMS για έλεγχο ταυτότητας δύο παραγόντων.
Η εναλλακτική λύση: Δημιουργήστε κωδικούς στη συσκευή σας
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς να ρυθμίσετε την ταυτότητα για έλεγχο ταυτότητας δύο παραγόντων (και να συγχρονίσετε τους κωδικούς σας μεταξύ συσκευών)
Ένα σχήμα ελέγχου ταυτότητας δύο παραγόντων που δεν βασίζεται σε SMS είναι ανώτερο, επειδή η εταιρεία κινητής τηλεφωνίας δεν θα μπορεί να δώσει σε κάποιον άλλο πρόσβαση στους κωδικούς σας. Η πιο δημοφιλής επιλογή για αυτό είναι μια εφαρμογή σαν Επαληθευτής Google . Ωστόσο, προτείνουμε το Authy , αφού κάνει ό, τι κάνει ο Επαληθευτής Google και πολλά άλλα.
Εφαρμογές όπως αυτό δημιουργούν κωδικούς στη συσκευή σας. Ακόμα κι αν ένας εισβολέας εξαπάτησε την εταιρεία κινητής τηλεφωνίας σας να μεταφέρει τον αριθμό τηλεφώνου σας στο τηλέφωνό του, δεν θα μπορούσε να λάβει τους κωδικούς ασφαλείας σας. Τα δεδομένα που απαιτούνται για τη δημιουργία αυτών των κωδικών θα παραμείνουν με ασφάλεια στο τηλέφωνό σας.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς να ρυθμίσετε τον νέο έλεγχο ταυτότητας δύο παραγόντων χωρίς κώδικα
Δεν χρειάζεται να χρησιμοποιήσετε κωδικούς. Υπηρεσίες όπως το Twitter, το Google και η Microsoft δοκιμάζουν έλεγχος ταυτότητας δύο παραγόντων βάσει εφαρμογής που σας επιτρέπει να συνδεθείτε σε άλλη συσκευή εξουσιοδοτώντας τη σύνδεση στην εφαρμογή τους στο τηλέφωνό σας.
Υπάρχουν επίσης φυσικά διακριτικά υλικού που μπορείτε να χρησιμοποιήσετε. Οι μεγάλες εταιρείες όπως η Google και το Dropbox έχουν ήδη εφαρμόσει ένα νέο πρότυπο για διακριτικά ελέγχου ταυτότητας δύο παραγόντων βάσει υλικού που ονομάζονται U2F . Όλα αυτά είναι πιο ασφαλή από το να βασίζεστε στην εταιρεία κινητών τηλεφώνων σας και στο ξεπερασμένο τηλεφωνικό δίκτυο.
Εάν είναι δυνατόν, αποφύγετε τα SMS για έλεγχο ταυτότητας δύο παραγόντων. Είναι καλύτερο από το τίποτα και φαίνεται βολικό, αλλά είναι συνήθως το λιγότερο ασφαλές σχήμα ελέγχου ταυτότητας δύο παραγόντων που μπορείτε να επιλέξετε.
Δυστυχώς, ορισμένες υπηρεσίες σας αναγκάζουν να χρησιμοποιήσετε SMS. Εάν ανησυχείτε για αυτό, μπορείτε να δημιουργήσετε έναν αριθμό τηλεφώνου Google Voice και να τον δώσετε σε υπηρεσίες που απαιτούν έλεγχο ταυτότητας μέσω SMS. Στη συνέχεια, θα μπορούσατε να συνδεθείτε στον λογαριασμό σας Google - τον οποίο μπορείτε να προστατεύσετε με μια πιο ασφαλή μέθοδο ελέγχου ταυτότητας δύο παραγόντων - και να δείτε τα ασφαλή μηνύματα στον ιστότοπο ή την εφαρμογή Google Voice. Απλώς μην προωθείτε μηνύματα από το Google Voice στον πραγματικό αριθμό κινητού τηλεφώνου σας.
