Sikkerhetseksperter anbefaler bruker tofaktorautentisering for å sikre online-kontoene dine der det er mulig. Mange tjenester er standardverifisering av SMS, sender koder via tekstmelding til telefonen din når du prøver å logge på. Men SMS-meldinger har mange sikkerhetsproblemer, og er det minst sikre alternativet for tofaktorautentisering.
Første ting først: SMS er fortsatt bedre enn ingen tofaktorautentisering i det hele tatt!
I SLEKT: Hva er tofaktorautentisering, og hvorfor trenger jeg det?
Mens vi skal legge saken mot SMS her, er det viktig at vi først gjør en ting klar: Å bruke SMS er bedre enn å ikke bruke tofaktorautentisering i det hele tatt.
Når du ikke bruker tofaktorautentisering, trenger noen bare passordet ditt for å logge på kontoen din. Når du bruker tofaktorautentisering med SMS, må noen både skaffe seg passordet ditt og få tilgang til tekstmeldingene dine for å få tilgang til kontoen din. SMS er mye sikrere enn ingenting.
Hvis SMS er det eneste alternativet, kan du bruke SMS. Imidlertid, hvis du vil lære hvorfor sikkerhetseksperter anbefaler å unngå SMS og hva vi anbefaler i stedet, kan du lese videre.
SIM-bytter lar angripere stjele telefonnummeret ditt
Slik fungerer SMS-bekreftelse: Når du prøver å logge på, sender tjenesten en tekstmelding til mobilnummeret du tidligere har gitt dem. Du får den koden på telefonen din og skriver den for å logge på. Den koden er bare bra for engangsbruk.
Det høres rimelig sikkert ut. Det er tross alt bare du som har telefonnummeret ditt, og noen må ha telefonen din for å se koden - ikke sant? Dessverre ikke.
Hvis noen kjenner telefonnummeret ditt og kan få tilgang til personlig informasjon som de fire siste sifrene i personnummeret ditt - dessverre er dette lett å finne takket være de mange selskaper og offentlige etater som har lekket kundedata - de kan kontakte telefonen din firmaet og flytte telefonnummeret ditt til en ny telefon. Dette er kjent som en “ SIM-bytte “, Og er den samme prosessen du utfører når du kjøper en ny enhet og flytter telefonnummeret ditt til den. Personen sier at de er deg, oppgir personlige data, og mobiltelefonselskapet ditt setter opp telefonen med telefonnummeret ditt. De får SMS-meldingskodene sendt til telefonnummeret ditt på telefonen sin.
Vi har sett rapporter om dette som skjer i Storbritannia , der angripere stjal offerets telefonnummer og brukte det for å få tilgang til offerets bankkonto. New York State har også advarte om denne svindelen.
I kjernen er dette en sosialteknisk angrep som er avhengig av å lure mobilselskapet ditt. Men mobiltelefonselskapet ditt burde ikke være i stand til å gi noen tilgang til sikkerhetskodene dine i utgangspunktet!
SMS-meldinger kan avskjæres på mange måter
Det er også mulig å lure på SMS-meldinger. Politiske dissidenter og journalister i undertrykkende land vil være forsiktige, ettersom regjeringen kan kapre SMS-meldinger når de sendes gjennom telefonnettverket. Dette har allerede skjedd i Iran , der iranske hackere angivelig kompromitterte en rekke Telegram messenger-kontoer ved å snappe opp SMS-meldingene som ga tilgang til disse kontoene.
Angripere har også mishandlet problemer i SS7 , tilkoblingssystemet som brukes for roaming, for å avlytte SMS-meldinger i nettverket og dirigere dem andre steder. Det er mange andre måter meldinger kan avskjæres på, blant annet ved bruk av falske mobiltelefontårn. SMS-meldinger var ikke designet for sikkerhet, og skulle ikke brukes til det.
Med andre ord, en sofistikert angriper med litt personlig informasjon kan kapre telefonnummeret ditt for å få tilgang til dine online-kontoer og deretter bruke disse kontoene for å prøve å tømme bankkontoer, for eksempel. Derfor er National Institute of Standards and Technology anbefaler ikke lenger bruk av SMS-meldinger for tofaktorautentisering.
Alternativet: Generer koder på enheten din
I SLEKT: Slik setter du opp Authy for tofaktorautentisering (og synkroniserer kodene dine mellom enheter)
En tofaktors autentiseringsordning som ikke er avhengig av SMS er overlegen, fordi mobiltelefonselskapet ikke vil kunne gi noen andre tilgang til kodene dine. Det mest populære alternativet for dette er en app som Google Authenticator . Derimot, Vi anbefaler Authy , siden den gjør alt Google Authenticator gjør og mer.
Apper som dette genererer koder på enheten din. Selv om en angriper lurte mobilselskapet ditt til å flytte telefonnummeret ditt til telefonen deres, ville de ikke kunne få sikkerhetskodene dine. Dataene som trengs for å generere disse kodene, forblir trygt på telefonen din.
I SLEKT: Hvordan sette opp Googles nye kodeløse tofaktorautentisering
Du trenger heller ikke å bruke koder. Tjenester som Twitter, Google og Microsoft tester app-basert tofaktorautentisering som lar deg logge på på en annen enhet ved å autorisere påloggingen i appen deres på telefonen din.
Det er også fysiske maskinvaretokener du kan bruke. Store selskaper som Google og Dropbox har allerede implementert en ny standard for maskinvarebaserte tofaktorautentiseringspoletter med navnet U2F . Disse er alle sikrere enn å stole på mobiltelefonselskapet og det utdaterte telefonnettverket.
Unngå om mulig SMS for tofaktorautentisering. Det er bedre enn ingenting og virker praktisk, men det er vanligvis det minst sikre tofaktorautentiseringsskjemaet du kan velge.
Dessverre tvinger noen tjenester deg til å bruke SMS. Hvis du er bekymret for dette, kan du opprette et Google Voice-telefonnummer og gi det til tjenester som krever SMS-autentisering. Deretter kan du logge på Google-kontoen din - som du kan beskytte med en sikrere tofaktorautentiseringsmetode - og se de sikre meldingene på nettstedet eller appen til Google Voice. Bare ikke videresend meldinger fra Google Voice til ditt faktiske mobiltelefonnummer.
