Эксперты по безопасности рекомендуют с использованием двухфакторной аутентификации чтобы обезопасить свои учетные записи в Интернете, где это возможно. Многие службы по умолчанию используют проверку по SMS, отправляя коды с помощью текстового сообщения на ваш телефон при попытке входа в систему. Однако SMS-сообщения имеют много проблем с безопасностью и являются наименее безопасным вариантом для двухфакторной аутентификации.
Перво-наперво: SMS по-прежнему лучше, чем отсутствие двухфакторной аутентификации!
СВЯЗАННЫЕ С: Что такое двухфакторная аутентификация и зачем она мне нужна?
Хотя мы собираемся здесь изложить доводы против SMS, важно сначала прояснить одну вещь: использование SMS лучше, чем полное отсутствие двухфакторной аутентификации.
Если вы не используете двухфакторную аутентификацию, кому-то нужен только ваш пароль для входа в ваш аккаунт. Когда вы используете двухфакторную аутентификацию с помощью SMS, кому-то потребуется как получить ваш пароль, так и получить доступ к вашим текстовым сообщениям, чтобы получить доступ к вашей учетной записи. SMS намного безопаснее, чем ничего.
Если SMS - ваш единственный вариант, пожалуйста, используйте SMS. Однако, если вы хотите узнать, почему эксперты по безопасности рекомендуют избегать SMS и что мы рекомендуем вместо этого, читайте дальше.
Обмен SIM-карт позволяет злоумышленникам украсть ваш номер телефона
Вот как работает проверка с помощью SMS. Когда вы пытаетесь войти в систему, служба отправляет текстовое сообщение на номер мобильного телефона, который вы им ранее предоставили. Вы получаете этот код на свой телефон и вводите его для входа в систему. Этот код годен только для одноразового использования.
Звучит достаточно безопасно. В конце концов, ваш номер телефона есть только у вас, и кто-то должен иметь ваш телефон, чтобы увидеть код, верно? К сожалению нет.
Если кто-то знает ваш номер телефона и может получить доступ к личной информации, такой как последние четыре цифры вашего номера социального страхования - к сожалению, это легко найти благодаря многочисленным корпорациям и правительственным учреждениям, которые утекли данные клиентов, - они могут связаться с вашим телефоном. компании и переместите свой номер телефона на новый. Это известно как « Замена SIM-карты “, И это тот же процесс, который вы выполняете, когда покупаете новое устройство и переносите на него свой номер телефона. Человек говорит, что это вы, предоставляет личные данные, и ваша сотовая компания настраивает свой телефон на ваш номер телефона. Они получат коды SMS-сообщений, отправленные на ваш номер телефона.
Мы видели сообщения об этом в Соединенном Королевстве , где злоумышленники украли номер телефона жертвы и использовали его для доступа к банковскому счету жертвы. Штат Нью-Йорк также предупрежден об этой афере.
По сути, это атака социальной инженерии это полагается на обман вашей компании сотовой связи. Но ваша сотовая компания не должна иметь возможности предоставить кому-либо доступ к вашим кодам безопасности!
SMS-сообщения могут быть перехвачены разными способами
Также можно отслеживать SMS-сообщения. Политические диссиденты и журналисты в репрессивных странах захотят быть осторожными, поскольку правительство может перехватить SMS-сообщения, отправляемые по телефонной сети. Это уже произошло в Иран , где иранские хакеры, как сообщается, взломали несколько учетных записей мессенджера Telegram, перехватив SMS-сообщения, предоставляющие доступ к этим учетным записям.
Злоумышленники также злоупотребили проблемы в SS7 , система подключения, используемая для роуминга, для перехвата SMS-сообщений в сети и их маршрутизации в другое место. Есть много других способов перехвата сообщений, в том числе с помощью фальшивых вышек сотовой связи. SMS-сообщения не были предназначены для обеспечения безопасности и не должны использоваться для этого.
Другими словами, изощренный злоумышленник с небольшой частью личной информации может захватить ваш номер телефона, чтобы получить доступ к вашим онлайн-счетам, а затем использовать эти учетные записи, например, для попытки осушить ваши банковские счета. Вот почему Национальный институт стандартов и технологий больше не рекомендую использование SMS-сообщений для двухфакторной аутентификации.
Альтернатива: генерировать коды на вашем устройстве
СВЯЗАННЫЕ С: Как настроить аутентификацию для двухфакторной аутентификации (и синхронизировать коды между устройствами)
Схема двухфакторной аутентификации, не использующая SMS, лучше, потому что компания сотовой связи не сможет предоставить кому-либо доступ к вашим кодам. Самым популярным вариантом для этого является приложение вроде Google Authenticator . Однако, мы рекомендуем Authy , поскольку он делает все, что делает Google Authenticator, и многое другое.
Подобные приложения генерируют коды на вашем устройстве. Даже если злоумышленник обманом заставит вашу сотовую компанию перенести ваш номер телефона на свой телефон, он не сможет получить ваши коды безопасности. Данные, необходимые для создания этих кодов, надежно останутся на вашем телефоне.
СВЯЗАННЫЕ С: Как настроить новую двухфакторную аутентификацию Google без кода
Вам также не нужно использовать коды. Такие сервисы, как Twitter, Google и Microsoft, тестируют двухфакторная аутентификация на основе приложений который позволяет вам войти в систему на другом устройстве, авторизовав вход в их приложении на вашем телефоне.
Вы также можете использовать физические аппаратные токены. Крупные компании, такие как Google и Dropbox, уже внедрили новый стандарт аппаратных токенов двухфакторной аутентификации под названием U2F . Все это более безопасно, чем полагаться на вашу сотовую компанию и устаревшую телефонную сеть.
По возможности избегайте SMS для двухфакторной аутентификации. Это лучше, чем ничего, и кажется удобным, но обычно это наименее безопасная схема двухфакторной аутентификации, которую вы можете выбрать.
К сожалению, некоторые сервисы заставляют пользоваться SMS. Если вас это беспокоит, вы можете создать номер телефона в Google Voice и передать его службам, требующим аутентификации по SMS. Затем вы можете войти в свою учетную запись Google, которую можно защитить с помощью более безопасного метода двухфакторной аутентификации, и просмотреть защищенные сообщения на веб-сайте или в приложении Google Voice. Просто не пересылайте сообщения из Google Voice на свой фактический номер мобильного телефона.
