Güvenlik uzmanları tavsiye ediyor iki faktörlü kimlik doğrulama kullanarak çevrimiçi hesaplarınızı mümkün olan her yerde güvence altına almak için. Birçok hizmet, oturum açmaya çalıştığınızda telefonunuza kısa mesaj yoluyla kodlar göndererek varsayılan olarak SMS doğrulamasını kullanır. Ancak SMS mesajlarında birçok güvenlik sorunu vardır ve iki faktörlü kimlik doğrulama için en az güvenli seçenektir.
İlk Önce: SMS Hala İki Faktörlü Kimlik Doğrulamadan Daha İyidir!
İLİŞKİLİ: İki Faktörlü Kimlik Doğrulama Nedir ve Neden İhtiyacım Var?
Burada SMS aleyhindeki durumu açıklayacak olsak da, öncelikle bir şeyi netleştirmemiz önemlidir: SMS kullanmak, iki faktörlü kimlik doğrulamayı hiç kullanmamaktan daha iyidir.
İki faktörlü kimlik doğrulamayı kullanmadığınızda, birisinin hesabınızda oturum açmak için yalnızca şifrenize ihtiyacı vardır. SMS ile iki faktörlü kimlik doğrulamayı kullandığınızda, hesabınıza erişmek için birinin hem şifrenizi alması hem de metin mesajlarınıza erişmesi gerekecektir. SMS hiç yoktan çok daha güvenlidir.
Tek seçeneğiniz SMS ise, lütfen SMS kullanın. Bununla birlikte, güvenlik uzmanlarının neden SMS'den kaçınmayı önerdiğini ve bunun yerine ne önerdiğimizi öğrenmek isterseniz okumaya devam edin.
SIM Takasları Saldırganların Telefon Numaranızı Çalmasına İzin Verir
SMS doğrulamanın çalışma şekli şöyledir: Oturum açmaya çalıştığınızda, hizmet, onlara önceden sağladığınız cep telefonu numarasına bir kısa mesaj gönderir. Bu kodu telefonunuza alırsınız ve oturum açmak için girersiniz. Bu kod yalnızca tek kullanım için uygundur.
Oldukça güvenli görünüyor. Sonuçta, yalnızca sizde telefon numaranız var ve birisinin kodu görebilmesi için telefonunuza sahip olması gerekiyor, değil mi? Ne yazık ki hayır.
Birisi telefon numaranızı biliyorsa ve sosyal güvenlik numaranızın son dört hanesi gibi kişisel bilgilere erişebiliyorsa - maalesef, müşteri verilerini sızdıran birçok şirket ve devlet kurumu sayesinde bunu bulmak çok kolay - telefonunuzla iletişime geçebilirler telefon numaranızı yeni bir telefona taşıyın. Bu, " SIM değişimi "Ve yeni bir cihaz satın alıp telefon numaranızı ona taşıdığınızda gerçekleştirdiğiniz işlemle aynıdır. Kişi siz olduğunuzu söyler, kişisel verileri sağlar ve cep telefonu şirketiniz sizin telefon numaranızı telefonuna ayarlar. Telefon numaranıza gönderilen SMS mesajı kodlarını telefonlarından alacaklar.
Bunun olduğuna dair raporlar gördük İngiltere'de , saldırganların kurbanın telefon numarasını çalıp kurbanın banka hesabına erişmek için kullandığı yer. New York Eyaleti ayrıca uyardı bu aldatmaca hakkında.
Özünde, bu bir sosyal mühendislik saldırısı bu, cep telefonu şirketinizi kandırmaya dayanır. Ancak cep telefonu şirketiniz, ilk etapta başkalarına güvenlik kodlarınıza erişim sağlamamalıdır!
SMS Mesajları Pek Çok Şekilde Yakalanabilir
SMS mesajlarına göz atmak da mümkündür. Baskıcı ülkelerdeki siyasi muhalifler ve gazeteciler, hükümet telefon şebekesi üzerinden gönderilen SMS mesajlarını ele geçirebileceği için dikkatli olmak isteyeceklerdir. Bu zaten oldu İran İranlı bilgisayar korsanlarının, bu hesaplara erişim sağlayan SMS mesajlarını yakalayarak bir dizi Telegram mesajlaşma hesabını ele geçirdiği bildirildi.
Saldırganlar da istismar etti SS7'deki sorunlar , şebekede SMS mesajlarını kesmek ve bunları başka bir yere yönlendirmek için dolaşım için kullanılan bağlantı sistemi. Sahte cep telefonu kuleleri de dahil olmak üzere, mesajların ele geçirilmesinin birçok yolu vardır. SMS mesajları güvenlik için tasarlanmamıştı ve bunun için kullanılmamalıdır.
Başka bir deyişle, biraz kişisel bilgiye sahip gelişmiş bir saldırgan, çevrimiçi hesaplarınıza erişmek için telefon numaranızı ele geçirebilir ve ardından bu hesapları örneğin banka hesaplarınızı boşaltmak için kullanabilir. Ulusal Standartlar ve Teknoloji Enstitüsü'nün artık tavsiye etmiyor iki faktörlü kimlik doğrulama için SMS mesajlarının kullanılması.
Alternatif: Cihazınızda Kod Oluşturun
SMS'e dayanmayan iki faktörlü bir kimlik doğrulama şeması daha üstündür, çünkü cep telefonu şirketi başka birine kodlarınıza erişim izni veremez. Bunun için en popüler seçenek, Google Authenticator . Ancak, Authy'yi öneriyoruz , çünkü Google Authenticator'ın yaptığı her şeyi ve daha fazlasını yapıyor.
Bunun gibi uygulamalar, cihazınızda kodlar oluşturur. Bir saldırgan, cep telefonu şirketinizi telefon numaranızı kendi telefonuna taşıması için kandırsa bile, güvenlik kodlarınızı alamaz. Bu kodları oluşturmak için gereken veriler telefonunuzda güvenli bir şekilde kalır.
İLİŞKİLİ: Google'ın Yeni Kodsuz İki Faktörlü Kimlik Doğrulaması Nasıl Kurulur?
Kod kullanmanız da gerekmez. Twitter, Google ve Microsoft gibi hizmetler test ediyor uygulama tabanlı iki faktörlü kimlik doğrulama bu, telefonunuzdaki uygulamalarında oturum açma yetkisi vererek başka bir cihazda oturum açmanıza olanak tanır.
Kullanabileceğiniz fiziksel donanım belirteçleri de vardır. Google ve Dropbox gibi büyük şirketler zaten U2F adlı donanım tabanlı iki faktörlü kimlik doğrulama belirteçleri için yeni bir standart . Bunların hepsi cep telefonu şirketinize ve eski telefon ağına güvenmekten daha güvenlidir.
Mümkünse, iki faktörlü kimlik doğrulama için SMS'den kaçının. Hiç yoktan iyidir ve kullanışlı görünmektedir, ancak genellikle seçebileceğiniz en az güvenli iki faktörlü kimlik doğrulama şemasıdır.
Maalesef bazı hizmetler sizi SMS kullanmaya zorluyor. Bundan endişeleniyorsanız, bir Google Voice telefon numarası oluşturabilir ve bunu SMS kimlik doğrulaması gerektiren hizmetlere verebilirsiniz. Daha sonra, daha güvenli bir iki faktörlü kimlik doğrulama yöntemiyle koruyabileceğiniz Google hesabınızda oturum açabilir ve Google Voice web sitesinde veya uygulamasında güvenli mesajları görebilirsiniz. Google Voice'tan gerçek cep telefonu numaranıza mesaj iletmeyin.
