ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำ โดยใช้การรับรองความถูกต้องด้วยสองปัจจัย เพื่อรักษาความปลอดภัยบัญชีออนไลน์ของคุณทุกที่ที่ทำได้ บริการจำนวนมากเริ่มต้นการยืนยันทาง SMS โดยจะส่งรหัสผ่านข้อความไปยังโทรศัพท์ของคุณเมื่อคุณพยายามลงชื่อเข้าใช้ แต่ข้อความ SMS มีปัญหาด้านความปลอดภัยมากมายและเป็นตัวเลือกที่ปลอดภัยน้อยที่สุดสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย
สิ่งแรกสิ่งแรก: SMS ยังดีกว่าไม่มีการรับรองความถูกต้องด้วยสองปัจจัยเลย!
ที่เกี่ยวข้อง: การรับรองความถูกต้องด้วยสองปัจจัยคืออะไรและเหตุใดฉันจึงต้องการ
ในขณะที่เรากำลังจะพิจารณาคดีเกี่ยวกับ SMS ที่นี่สิ่งสำคัญอันดับแรกที่เราต้องทำให้ชัดเจนคือการใช้ SMS นั้นดีกว่าการไม่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเลย
เมื่อคุณไม่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยบางคนต้องใช้รหัสผ่านของคุณในการลงชื่อเข้าใช้บัญชีของคุณเท่านั้น เมื่อคุณใช้การรับรองความถูกต้องแบบสองปัจจัยกับ SMS ใครบางคนจะต้องได้รับรหัสผ่านของคุณและสามารถเข้าถึงข้อความของคุณเพื่อเข้าถึงบัญชีของคุณ SMS มีความปลอดภัยมากกว่าไม่มีอะไรเลย
หาก SMS เป็นทางเลือกเดียวของคุณโปรดใช้ SMS อย่างไรก็ตามหากคุณต้องการเรียนรู้ว่าเหตุใดผู้เชี่ยวชาญด้านความปลอดภัยจึงแนะนำให้หลีกเลี่ยง SMS และสิ่งที่เราแนะนำให้อ่านต่อ
SIM Swaps อนุญาตให้ผู้โจมตีขโมยหมายเลขโทรศัพท์ของคุณ
นี่คือวิธีการทำงานของการยืนยันทาง SMS: เมื่อคุณพยายามลงชื่อเข้าใช้บริการจะส่งข้อความไปยังหมายเลขโทรศัพท์มือถือที่คุณให้ไว้ก่อนหน้านี้ คุณได้รับรหัสนั้นในโทรศัพท์ของคุณและป้อนเพื่อลงชื่อเข้าใช้รหัสนั้นเหมาะสำหรับการใช้งานครั้งเดียวเท่านั้น
ฟังดูปลอดภัยพอสมควร ท้ายที่สุดมีเพียงคุณเท่านั้นที่มีหมายเลขโทรศัพท์ของคุณและใครบางคนต้องมีโทรศัพท์ของคุณเพื่อดูรหัสใช่ไหม? น่าเสียดายที่ไม่มี
หากมีคนรู้หมายเลขโทรศัพท์ของคุณและสามารถเข้าถึงข้อมูลส่วนบุคคลเช่นหมายเลขประกันสังคมสี่หลักสุดท้ายของคุณได้ แต่น่าเสียดายที่สิ่งนี้หาได้ง่ายเนื่องจาก บริษัท และหน่วยงานของรัฐหลายแห่งที่รั่วไหลข้อมูลลูกค้าพวกเขาสามารถติดต่อโทรศัพท์ของคุณได้ บริษัท และย้ายหมายเลขโทรศัพท์ของคุณไปยังโทรศัพท์เครื่องใหม่ สิ่งนี้เรียกว่า“ การแลกเปลี่ยนซิม “ และเป็นกระบวนการเดียวกับที่คุณดำเนินการเมื่อซื้ออุปกรณ์ใหม่และย้ายหมายเลขโทรศัพท์ไปที่เครื่อง บุคคลนั้นบอกว่าเป็นคุณให้ข้อมูลส่วนบุคคลและ บริษัท โทรศัพท์มือถือของคุณตั้งค่าโทรศัพท์ด้วยหมายเลขโทรศัพท์ของคุณ พวกเขาจะได้รับรหัสข้อความ SMS ที่ส่งไปยังหมายเลขโทรศัพท์ของคุณทางโทรศัพท์
เราได้เห็นรายงานเหตุการณ์นี้ ในสหราชอาณาจักร ซึ่งผู้โจมตีขโมยหมายเลขโทรศัพท์ของเหยื่อและใช้เพื่อเข้าถึงบัญชีธนาคารของเหยื่อ รัฐนิวยอร์กก็มีเช่นกัน เตือน เกี่ยวกับการหลอกลวงนี้
หลักของมันนี่คือไฟล์ การโจมตีทางวิศวกรรมสังคม ที่อาศัยการหลอกลวง บริษัท โทรศัพท์มือถือของคุณ แต่ บริษัท โทรศัพท์มือถือของคุณไม่ควรให้ใครบางคนเข้าถึงรหัสความปลอดภัยของคุณได้ตั้งแต่แรก!
ข้อความ SMS สามารถถูกดักฟังได้หลายวิธี
นอกจากนี้ยังสามารถสอดแนมข้อความ SMS ผู้ที่ไม่เห็นด้วยทางการเมืองและนักข่าวในประเทศที่กดขี่ข่มเหงจะต้องระมัดระวังเนื่องจากรัฐบาลอาจลักลอบใช้ข้อความ SMS เมื่อส่งผ่านเครือข่ายโทรศัพท์ สิ่งนี้เกิดขึ้นแล้วใน อิหร่าน ซึ่งมีรายงานว่าแฮ็กเกอร์ชาวอิหร่านได้บุกรุกบัญชีผู้ส่งสาร Telegram จำนวนมากโดยการดักฟังข้อความ SMS ที่ให้การเข้าถึงบัญชีเหล่านั้น
ผู้โจมตีได้ทารุณกรรมเช่นกัน ปัญหาใน SS7 ระบบเชื่อมต่อที่ใช้สำหรับการโรมมิ่งเพื่อดักฟังข้อความ SMS บนเครือข่ายและกำหนดเส้นทางไปที่อื่น มีวิธีอื่น ๆ อีกมากมายที่สามารถดักจับข้อความได้รวมถึงการใช้เสาสัญญาณโทรศัพท์มือถือปลอม ข้อความ SMS ไม่ได้ออกแบบมาเพื่อความปลอดภัยและไม่ควรนำไปใช้
กล่าวอีกนัยหนึ่งก็คือผู้โจมตีที่มีความซับซ้อนซึ่งมีข้อมูลส่วนบุคคลเล็กน้อยอาจขโมยหมายเลขโทรศัพท์ของคุณเพื่อเข้าถึงบัญชีออนไลน์ของคุณจากนั้นใช้บัญชีเหล่านั้นเพื่อพยายามระบายบัญชีธนาคารของคุณเป็นต้น นั่นคือเหตุผลที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติคือ ไม่แนะนำอีกต่อไป การใช้ข้อความ SMS สำหรับการตรวจสอบสิทธิ์สองปัจจัย
ทางเลือก: สร้างรหัสบนอุปกรณ์ของคุณ
ที่เกี่ยวข้อง: วิธีตั้งค่า Authy สำหรับการรับรองความถูกต้องสองปัจจัย (และซิงค์รหัสของคุณระหว่างอุปกรณ์)
รูปแบบการตรวจสอบสิทธิ์สองปัจจัยที่ไม่ต้องพึ่งพา SMS นั้นเหนือกว่าเนื่องจาก บริษัท โทรศัพท์เคลื่อนที่จะไม่สามารถให้คนอื่นเข้าถึงรหัสของคุณได้ ตัวเลือกยอดนิยมสำหรับแอปนี้คือ Google Authenticator . อย่างไรก็ตาม เราขอแนะนำ Authy เนื่องจากทำทุกอย่างที่ Google Authenticator ทำและอื่น ๆ
แอปเช่นนี้สร้างรหัสบนอุปกรณ์ของคุณ แม้ว่าผู้โจมตีจะหลอกให้ บริษัท โทรศัพท์เคลื่อนที่ของคุณย้ายหมายเลขโทรศัพท์ของคุณไปยังโทรศัพท์ของพวกเขา แต่พวกเขาก็ไม่สามารถรับรหัสความปลอดภัยของคุณได้ ข้อมูลที่จำเป็นในการสร้างรหัสเหล่านั้นจะยังคงอยู่ในโทรศัพท์ของคุณอย่างปลอดภัย
ที่เกี่ยวข้อง: วิธีตั้งค่าการตรวจสอบสิทธิ์สองปัจจัยแบบไม่ใช้โค้ดใหม่ของ Google
คุณไม่จำเป็นต้องใช้รหัสด้วย บริการเช่น Twitter, Google และ Microsoft กำลังทดสอบ การตรวจสอบสิทธิ์สองปัจจัยที่ใช้แอป ที่ช่วยให้คุณสามารถลงชื่อเข้าใช้บนอุปกรณ์อื่นโดยอนุญาตการลงชื่อเข้าใช้ในแอพของพวกเขาบนโทรศัพท์ของคุณ
นอกจากนี้ยังมีโทเค็นฮาร์ดแวร์ทางกายภาพที่คุณสามารถใช้ได้ บริษัท ใหญ่ ๆ เช่น Google และ Dropbox ได้ดำเนินการแล้ว มาตรฐานใหม่สำหรับโทเค็นการพิสูจน์ตัวตนแบบสองปัจจัยที่ใช้ฮาร์ดแวร์ชื่อ U2F . ทั้งหมดนี้ปลอดภัยกว่าการพึ่งพา บริษัท โทรศัพท์มือถือของคุณและเครือข่ายโทรศัพท์ที่ล้าสมัย
หากเป็นไปได้หลีกเลี่ยง SMS สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย มันดีกว่าไม่มีอะไรเลยและดูเหมือนสะดวก แต่โดยปกติแล้วจะเป็นรูปแบบการตรวจสอบสิทธิ์สองปัจจัยที่ปลอดภัยน้อยที่สุดที่คุณสามารถเลือกได้
ขออภัยบริการบางอย่างบังคับให้คุณใช้ SMS หากคุณกังวลเกี่ยวกับเรื่องนี้คุณสามารถสร้างหมายเลขโทรศัพท์ Google Voice และมอบให้กับบริการที่ต้องมีการตรวจสอบสิทธิ์ SMS จากนั้นคุณสามารถลงชื่อเข้าใช้บัญชี Google ของคุณซึ่งคุณสามารถป้องกันได้ด้วยวิธีการตรวจสอบสิทธิ์แบบสองปัจจัยที่ปลอดภัยยิ่งขึ้นและดูข้อความที่ปลอดภัยในเว็บไซต์หรือแอป Google Voice อย่าส่งต่อข้อความจาก Google Voice ไปยังหมายเลขโทรศัพท์มือถือจริงของคุณ
