Turvallisuusasiantuntijat suosittelevat käyttämällä kaksivaiheista todennusta suojaamaan online-tilisi aina kun mahdollista. Monet palvelut käyttävät oletuksena tekstiviestivahvistusta ja lähettävät koodeja tekstiviestinä puhelimeesi, kun yrität kirjautua sisään. Mutta tekstiviesteillä on paljon turvallisuusongelmia, ja ne ovat vähiten turvallinen vaihtoehto kaksivaiheiselle todennukselle.
Ensimmäiset asiat ensin: tekstiviestit ovat edelleen parempia kuin kaksitekijöiset todennukset!
LIITTYVÄT: Mikä on kaksivaiheinen todennus ja miksi tarvitsen sitä?
Vaikka aiomme selvittää tapauksen tekstiviestejä vastaan, on tärkeää, että teemme ensin yhden asian selväksi: Tekstiviestien käyttö on parempi kuin ei käyttää kaksivaiheista todennusta lainkaan.
Kun et käytä kaksivaiheista todennusta, joku tarvitsee vain salasanasi kirjautumiseen tiliisi. Kun käytät kaksivaiheista todennusta tekstiviestien kanssa, jonkun on sekä hankittava salasanasi että pääsy tekstiviesteihisi päästäksesi tilillesi. SMS on paljon turvallisempi kuin ei mitään.
Jos tekstiviesti on ainoa vaihtoehto, käytä tekstiviestejä. Jos kuitenkin haluat tietää, miksi turvallisuusasiantuntijat suosittelevat tekstiviestien välttämistä ja mitä sen sijaan suosittelemme, lue lisää.
SIM-vaihdot sallivat hyökkääjien varastaa puhelinnumerosi
Näin tekstiviestivahvistus toimii: Kun yrität kirjautua sisään, palvelu lähettää tekstiviestin matkapuhelinnumeroon, jonka olet aiemmin antanut heille. Saat kyseisen koodin puhelimeesi ja annat sen kirjautua varten. Koodi on hyvä vain kertakäyttöön.
Se kuulostaa kohtuullisen turvalliselta. Loppujen lopuksi vain sinulla on puhelinnumerosi ja joku tarvitsee puhelimesi nähdäksesi koodin - eikö? Valitettavasti ei.
Jos joku tietää puhelinnumerosi ja saa pääsyn henkilökohtaisiin tietoihin, kuten sosiaaliturvatunnuksesi viimeiset neljä numeroa - valitettavasti tämä on helppo löytää lukemattomien asiakastietoja vuotaneiden yritysten ja valtion virastojen ansiosta - hän voi ottaa yhteyttä puhelimeesi yrityksen ja siirtää puhelinnumerosi uuteen puhelimeen. Tätä kutsutaan SIM-vaihto “, Ja se on sama prosessi, jonka teet ostaessasi uuden laitteen ja siirtäessäsi puhelinnumerosi siihen. Henkilö sanoo olevansa sinä, antaa henkilötiedot, ja matkapuhelinyrityksesi asettaa puhelimen puhelinnumerollasi. He saavat puhelinnumeroon lähetetyt tekstiviestikoodit puhelimeensa.
Olemme nähneet raportteja tästä tapahtumasta Iso-Britanniassa , jossa hyökkääjät varastivat uhrin puhelinnumeron ja käyttivät sitä saadakseen pääsyn uhrin pankkitilille. New Yorkin osavaltio on myös varoitti tästä huijauksesta.
Sen ytimessä tämä on a sosiaalisen suunnittelun hyökkäys joka perustuu matkapuhelinyrityksesi huijaamiseen. Matkapuhelinyrityksesi ei kuitenkaan pitäisi pystyä tarjoamaan kenellekään pääsyä turvakoodeihisi!
Tekstiviestejä voidaan siepata monin tavoin
Myös SMS-viestejä on mahdollista nuuskia. Poliittiset toisinajattelijat ja toimittajat repressiivisissä maissa haluavat olla varovaisia, koska hallitus voi kaapata tekstiviestit, kun ne lähetetään puhelinverkon kautta. Tämä on jo tapahtunut vuonna Iran , jossa iranilaiset hakkerit tiettävästi vaarantivat useita Telegram Messenger -tilejä sieppaamalla kyseisille tileille pääsyn mahdollistaneet tekstiviestit.
Hyökkääjät ovat myös käyttäneet väärin SS7: n ongelmat , verkkovierailussa käytettävä yhteysjärjestelmä sieppaamaan tekstiviestejä verkossa ja reitittämään ne muualle. On monia muita tapoja viestejä siepata, myös käyttämällä väärennettyjä matkapuhelintorneja. Tekstiviestejä ei ole suunniteltu turvallisuuteen, eikä niitä tule käyttää siihen.
Toisin sanoen hienostunut hyökkääjä, jolla on vähän henkilökohtaisia tietoja, voi kaapata puhelinnumerosi päästäksesi verkkotileihisi ja yrittää sitten käyttää näitä tilejä esimerkiksi tyhjentämään pankkitilisi. Siksi National Institute of Standards and Technology on ei enää suosittele tekstiviestien käyttö kaksivaiheisessa todennuksessa.
Vaihtoehto: Luo koodit laitteellesi
LIITTYVÄT: Authyn määrittäminen kaksisuuntaiselle todennukselle (ja synkronoida koodisi laitteiden välillä)
Kaksivaiheinen todennustapa, joka ei ole riippuvainen tekstiviesteistä, on parempi, koska matkapuhelinyhtiö ei voi antaa kenellekään muulle pääsyä koodeihisi. Suosituin vaihtoehto tähän on sovelluksen kaltainen Google Authenticator . Kuitenkin, suosittelemme Authy , koska se tekee kaiken Google Authenticatorin ja paljon muuta.
Tällaiset sovellukset luovat koodeja laitteellesi. Vaikka hyökkääjä huijaisi matkapuhelinyhtiötäsi siirtämään puhelinnumerosi puhelimeensa, he eivät pystyisi saamaan turvakoodejasi. Koodien luomiseen tarvittavat tiedot pysyisivät turvallisesti puhelimessasi.
LIITTYVÄT: Googlen uuden koodittoman kaksitekijän todennuksen määrittäminen
Sinun ei myöskään tarvitse käyttää koodeja. Palvelut, kuten Twitter, Google ja Microsoft, testaavat sovelluspohjainen kahden tekijän todennus jonka avulla voit kirjautua sisään toisella laitteella valtuuttamalla kirjautumisen puhelimen sovelluksessa.
Voit myös käyttää fyysisiä laitteistomerkkejä. Suuret yritykset, kuten Google ja Dropbox, ovat jo toteuttaneet uusi standardi laitteistopohjaisille kaksivaiheisille todennustunnuksille nimeltä U2F . Nämä ovat kaikki turvallisempia kuin luottaa matkapuhelinyritykseesi ja vanhentuneeseen puhelinverkkoon.
Vältä mahdollisuuksien mukaan tekstiviestejä kaksivaiheisessa todennuksessa. Se on parempi kuin ei mitään ja näyttää kätevältä, mutta se on yleensä vähiten turvallinen kaksivaiheinen todennustapa, jonka voit valita.
Valitettavasti jotkut palvelut pakottavat käyttämään tekstiviestejä. Jos olet huolissasi tästä, voit luoda Google Voicen puhelinnumeron ja antaa sen palveluille, jotka vaativat tekstiviestitodennuksen. Voit sitten kirjautua sisään Google-tilillesi - jonka voit suojata turvallisemmalla kaksivaiheisella todennusmenetelmällä - ja nähdä suojatut viestit Google Voicen verkkosivustolla tai sovelluksessa. Älä vain välitä viestejä Google Voicesta todelliseen matkapuhelinnumeroon.
