Raccomandano gli esperti di sicurezza utilizzando l'autenticazione a due fattori per proteggere i tuoi account online ove possibile. Molti servizi utilizzano per impostazione predefinita la verifica tramite SMS, inviando codici tramite messaggio di testo al tuo telefono quando tenti di accedere. Ma i messaggi SMS hanno molti problemi di sicurezza e sono l'opzione meno sicura per l'autenticazione a due fattori.
Per prima cosa: gli SMS sono ancora meglio di nessuna autenticazione a due fattori!
RELAZIONATO: Che cos'è l'autenticazione a due fattori e perché ne ho bisogno?
Anche se qui esporremo la causa contro gli SMS, è importante prima chiarire una cosa: utilizzare gli SMS è meglio che non utilizzare affatto l'autenticazione a due fattori.
Quando non utilizzi l'autenticazione a due fattori, qualcuno necessita solo della tua password per accedere al tuo account. Quando utilizzi l'autenticazione a due fattori con gli SMS, qualcuno dovrà acquisire la tua password e avere accesso ai tuoi messaggi di testo per accedere al tuo account. Gli SMS sono molto più sicuri di niente.
Se l'SMS è la tua unica opzione, usa gli SMS. Tuttavia, se desideri scoprire perché gli esperti di sicurezza consigliano di evitare gli SMS e cosa consigliamo invece, continua a leggere.
Gli scambi di SIM consentono agli aggressori di rubare il tuo numero di telefono
Ecco come funziona la verifica tramite SMS: quando provi ad accedere, il servizio invia un messaggio di testo al numero di cellulare che hai fornito in precedenza. Ottieni quel codice sul tuo telefono e inseriscilo per accedere. Il codice è valido solo per un singolo utilizzo.
Sembra ragionevolmente sicuro. Dopotutto, solo tu hai il tuo numero di telefono e qualcuno deve avere il tuo telefono per vedere il codice, giusto? Sfortunatamente no.
Se qualcuno conosce il tuo numero di telefono e può accedere a informazioni personali come le ultime quattro cifre del tuo numero di previdenza sociale, purtroppo è facile da trovare grazie alle numerose società e agenzie governative che hanno trapelato i dati dei clienti, possono contattare il tuo telefono azienda e sposta il tuo numero di telefono su un nuovo telefono. Questo è noto come " Scambio SIM ", Ed è lo stesso processo che esegui quando acquisti un nuovo dispositivo e ci sposti il tuo numero di telefono. La persona dice che sei tu, fornisce i dati personali e la tua compagnia di telefonia cellulare configura il proprio telefono con il tuo numero di telefono. Riceveranno i codici dei messaggi SMS inviati al tuo numero di telefono sul loro telefono.
Abbiamo visto rapporti di ciò che accade nel Regno Unito , in cui gli aggressori hanno rubato il numero di telefono di una vittima e lo hanno utilizzato per ottenere l'accesso al conto bancario della vittima. Lo ha anche lo Stato di New York messo in guardia su questa truffa.
In sostanza, questo è un file attacco di ingegneria sociale che si basa sull'inganno della tua compagnia di telefoni cellulari. Ma la tua compagnia di telefonia cellulare non dovrebbe essere in grado di fornire a qualcuno l'accesso ai tuoi codici di sicurezza in primo luogo!
I messaggi SMS possono essere intercettati in molti modi
È anche possibile curiosare nei messaggi SMS. Dissidenti politici e giornalisti nei paesi repressivi vorranno fare attenzione, poiché il governo potrebbe dirottare i messaggi SMS mentre vengono inviati attraverso la rete telefonica. Questo è già successo in Iran , dove gli hacker iraniani avrebbero compromesso una serie di account di messaggistica di Telegram intercettando i messaggi SMS che fornivano l'accesso a tali account.
Anche gli aggressori hanno abusato problemi in SS7 , il sistema di connessione utilizzato per il roaming, per intercettare i messaggi SMS sulla rete e instradarli altrove. Ci sono molti altri modi in cui i messaggi possono essere intercettati, anche attraverso l'uso di falsi ripetitori di telefoni cellulari. I messaggi SMS non sono stati progettati per la sicurezza e non dovrebbero essere utilizzati per questo.
In altre parole, un aggressore sofisticato con un po 'di informazioni personali potrebbe dirottare il tuo numero di telefono per ottenere l'accesso ai tuoi account online e quindi utilizzare tali account per tentare di svuotare i tuoi conti bancari, ad esempio. Ecco perché lo è il National Institute of Standards and Technology non consiglia più l'uso di messaggi SMS per l'autenticazione a due fattori.
L'alternativa: genera codici sul tuo dispositivo
RELAZIONATO: Come impostare Authy per l'autenticazione a due fattori (e sincronizzare i codici tra i dispositivi)
Uno schema di autenticazione a due fattori che non si basa sugli SMS è superiore, perché la società di telefonia cellulare non sarà in grado di fornire a qualcun altro l'accesso ai tuoi codici. L'opzione più popolare per questo è un'app come Google Authenticator . Tuttavia, consigliamo Authy , poiché fa tutto ciò che fa Google Authenticator e altro ancora.
App come questa generano codici sul tuo dispositivo. Anche se un malintenzionato inducesse la tua compagnia di telefonia a trasferire il tuo numero di telefono al proprio telefono, non sarebbe in grado di ottenere i tuoi codici di sicurezza. I dati necessari per generare quei codici rimarrebbero al sicuro sul tuo telefono.
RELAZIONATO: Come impostare la nuova autenticazione a due fattori senza codice di Google
Non è nemmeno necessario utilizzare codici. Servizi come Twitter, Google e Microsoft stanno testando autenticazione a due fattori basata su app che ti consente di accedere su un altro dispositivo autorizzando l'accesso nella loro app sul tuo telefono.
Ci sono anche token hardware fisici che puoi usare. Le grandi aziende come Google e Dropbox hanno già implementato un nuovo standard per i token di autenticazione a due fattori basati su hardware denominato U2F . Questi sono tutti più sicuri che fare affidamento sulla tua compagnia di telefoni cellulari e sulla rete telefonica obsoleta.
Se possibile, evita gli SMS per l'autenticazione a due fattori. È meglio di niente e sembra conveniente, ma di solito è lo schema di autenticazione a due fattori meno sicuro che puoi scegliere.
Sfortunatamente, alcuni servizi ti obbligano a utilizzare gli SMS. Se sei preoccupato per questo, potresti creare un numero di telefono di Google Voice e fornirlo ai servizi che richiedono l'autenticazione tramite SMS. Puoi quindi accedere al tuo account Google, che puoi proteggere con un metodo di autenticazione a due fattori più sicuro, e vedere i messaggi protetti nel sito web o nell'app di Google Voice. Basta non inoltrare i messaggi da Google Voice al tuo numero di cellulare effettivo.
