Säkerhetsexperter rekommenderar med tvåfaktorautentisering för att säkra dina onlinekonton där det är möjligt. Många tjänster är standard för SMS-verifiering, skicka koder via SMS till din telefon när du försöker logga in. Men SMS-meddelanden har många säkerhetsproblem och är det minst säkra alternativet för tvåfaktorautentisering.
Första saker först: SMS är fortfarande bättre än ingen tvåfaktorsautentisering alls!
RELATERAD: Vad är tvåfaktorautentisering och varför behöver jag det?
Medan vi kommer att lägga fram ärendet mot SMS här är det viktigt att vi först gör en sak tydlig: Att använda SMS är bättre än att inte använda tvåfaktorautentisering alls.
När du inte använder tvåfaktorautentisering behöver någon bara ditt lösenord för att logga in på ditt konto. När du använder tvåfaktorautentisering med SMS måste någon både skaffa ditt lösenord och få tillgång till dina textmeddelanden för att få åtkomst till ditt konto. SMS är mycket säkrare än ingenting alls.
Om SMS är ditt enda alternativ, använd SMS. Om du vill veta varför säkerhetsexperter rekommenderar att du undviker SMS och vad vi rekommenderar istället, läs vidare.
SIM-swappar gör det möjligt för angripare att stjäla ditt telefonnummer
Så här fungerar SMS-verifiering: När du försöker logga in skickar tjänsten ett textmeddelande till det mobilnummer som du tidigare gav dem. Du får den koden på din telefon och anger den för att logga in. Den koden är bara bra för engångsbruk.
Det låter ganska säkert. När allt kommer omkring har bara du ditt telefonnummer och någon måste ha din telefon för att se koden - eller hur? Tyvärr inte.
Om någon känner till ditt telefonnummer och kan få tillgång till personlig information som de sista fyra siffrorna i ditt personnummer - tyvärr är det lätt att hitta det tack vare de många företag och myndigheter som har läckt ut kunddata - de kan kontakta din telefon företaget och flytta ditt telefonnummer till en ny telefon. Detta kallas en ” SIM-byte “, Och är samma process som du utför när du köper en ny enhet och flyttar ditt telefonnummer till den. Personen säger att de är du, tillhandahåller personuppgifterna och ditt mobiltelefonföretag ställer in sin telefon med ditt telefonnummer. De får SMS-koderna skickade till ditt telefonnummer på sin telefon.
Vi har sett rapporter om detta hända i UK , där angripare stal offerets telefonnummer och använde det för att få tillgång till offrets bankkonto. New York State har också varnade om denna bluff.
Kärnan är detta en socialteknisk attack som förlitar sig på att lura ditt mobilföretag. Men ditt mobiltelefonföretag borde inte kunna ge någon tillgång till dina säkerhetskoder i första hand!
SMS kan avlyssnas på många sätt
Det är också möjligt att snoka på SMS-meddelanden. Politiska dissidenter och journalister i repressiva länder vill vara försiktiga, eftersom regeringen kan kapa SMS-meddelanden när de skickas via telefonnätet. Detta har redan hänt i Iran , där iranska hackare enligt uppgift komprometterade ett antal Telegram messenger-konton genom att fånga upp SMS-meddelanden som gav åtkomst till dessa konton.
Angripare har också missbrukat problem i SS7 , anslutningssystemet som används för roaming, för att fånga SMS-meddelanden i nätverket och dirigera dem någon annanstans. Det finns många andra sätt att meddelanden kan fångas upp, bland annat genom att använda falska mobiltelefontorn. SMS-meddelanden utformades inte för säkerhet och bör inte användas för det.
Med andra ord kan en sofistikerad angripare med lite personlig information kapa ditt telefonnummer för att få tillgång till dina onlinekonton och sedan använda dessa konton för att försöka tömma dina bankkonton, till exempel. Det är därför National Institute of Standards and Technology är rekommenderar inte längre användning av SMS för tvåfaktorautentisering.
Alternativet: Skapa koder på din enhet
RELATERAD: Så här ställer du in Authy för tvåfaktorautentisering (och synkroniserar dina koder mellan enheter)
Ett tvåfaktorsautentiseringsschema som inte är beroende av SMS är överlägset, eftersom mobiltelefonföretaget inte kommer att kunna ge någon annan tillgång till dina koder. Det mest populära alternativet för detta är en app som Google Authenticator . Dock, Vi rekommenderar Authy , eftersom det gör allt som Google Authenticator gör och mer.
Appar som detta genererar koder på din enhet. Även om en angripare lurade ditt mobilföretag att flytta ditt telefonnummer till sin telefon, skulle de inte kunna få dina säkerhetskoder. Den information som behövs för att generera dessa koder skulle förbli säkert på din telefon.
RELATERAD: Så här ställer du in Googles nya kodlösa tvåfaktorautentisering
Du behöver inte heller använda koder. Tjänster som Twitter, Google och Microsoft testar appbaserad tvåfaktorautentisering som låter dig logga in på en annan enhet genom att godkänna inloggningen i deras app på din telefon.
Det finns också fysiska hårdvarutoken som du kan använda. Stora företag som Google och Dropbox har redan implementerat en ny standard för maskinvarubaserade tvåfaktorautentiseringstoken med namnet U2F . Dessa är alla säkrare än att förlita sig på ditt mobiltelefonföretag och det föråldrade telefonnätet.
Undvik om möjligt SMS för tvåfaktorautentisering. Det är bättre än ingenting och verkar bekvämt, men det är vanligtvis det minst säkra tvåfaktorautentiseringsschemat du kan välja.
Tyvärr tvingar vissa tjänster dig att använda SMS. Om du är orolig för detta kan du skapa ett Google Voice-telefonnummer och ge det till tjänster som kräver SMS-autentisering. Du kan sedan logga in på ditt Google-konto - vilket du kan skydda med en säkrare tvåfaktorsautentiseringsmetod - och se de säkra meddelandena på Google Voice-webbplatsen eller appen. Vidarebefordra inte meddelanden från Google Voice till ditt faktiska mobilnummer.
