Експерти з безпеки рекомендують за допомогою двофакторної автентифікації щоб захистити свої Інтернет-рахунки, де це можливо. Багато служб за замовчуванням перевіряють SMS, надсилаючи коди за допомогою текстового повідомлення на телефон при спробі ввійти. Але SMS-повідомлення мають багато проблем із безпекою і є найменш безпечним варіантом двофакторної автентифікації.
Перш за все: SMS все-таки краще, ніж взагалі ніякої двофакторної автентифікації!
ПОВ'ЯЗАНІ: Що таке двофакторна автентифікація та навіщо вона мені потрібна?
Поки ми збираємося викласти тут справу проти SMS, важливо, перш за все, чітко пояснити одне: використання SMS краще, ніж взагалі не використовувати двофакторну автентифікацію.
Коли ви не використовуєте двофакторну автентифікацію, комусь потрібен лише ваш пароль, щоб увійти у ваш обліковий запис. Коли ви використовуєте двофакторну автентифікацію за допомогою SMS, комусь потрібно буде отримати ваш пароль і отримати доступ до ваших текстових повідомлень, щоб отримати доступ до вашого облікового запису. SMS набагато безпечніший, ніж взагалі нічого.
Якщо SMS - це ваш єдиний варіант, будь ласка, використовуйте SMS. Однак якщо ви хочете дізнатись, чому експерти з безпеки рекомендують уникати SMS і що ми рекомендуємо замість цього, читайте далі.
Обмін SIM-картами дозволяє зловмисникам викрасти ваш номер телефону
Ось як працює перевірка SMS. Коли ви намагаєтесь увійти, служба надсилає текстове повідомлення на номер мобільного телефону, який ви їм раніше надали. Ви отримуєте цей код на своєму телефоні та вводите його для входу. Цей код підходить лише для одноразового використання.
Це звучить досить безпечно. Зрештою, лише у вас є ваш номер телефону, а хтось повинен мати ваш телефон, щоб побачити код - так? На жаль, немає.
Якщо хтось знає ваш номер телефону і може отримати доступ до такої особистої інформації, як останні чотири цифри вашого номера соціального страхування - на жаль, це легко знайти завдяки багатьом корпораціям та урядовим установам, які передали дані клієнтів - вони можуть зв’язатися з вашим телефоном компанії та перенесіть свій номер телефону на новий телефон. Це відоме як “ Обмін SIM-карткою “, І це той самий процес, який ви виконуєте, коли купуєте новий пристрій і переносите на нього свій номер телефону. Людина каже, що це ви, надає особисті дані, а компанія, яка продає мобільні телефони, налаштовує свій телефон із вашим номером телефону. Вони отримають коди SMS-повідомлень, надіслані на ваш номер телефону на їх телефоні.
Ми бачили повідомлення про це у Великобританії , де зловмисники викрали номер телефону жертви та використали його для отримання доступу до банківського рахунку жертви. Штат Нью-Йорк також попередив про цю аферу.
По суті, це атака соціальної інженерії що покладається на обман вашої компанії мобільних телефонів. Але ваша компанія стільникових телефонів не повинна мати можливості надати комусь доступ до ваших кодів безпеки!
SMS-повідомлення можна перехоплювати різними способами
Також можна переглядати SMS-повідомлення. Політичні дисиденти та журналісти в репресивних країнах хочуть бути обережними, оскільки уряд може викрадати SMS-повідомлення, коли вони надсилаються через телефонну мережу. Це вже сталося в Іран , де, як повідомляється, іранські хакери скомпрометували низку облікових записів месенджерів Telegram, перехопивши SMS-повідомлення, що забезпечували доступ до цих облікових записів.
Зловмисники також зловживають проблеми в SS7 , система підключення, що використовується для роумінгу, щоб перехоплювати SMS-повідомлення в мережі та направляти їх в інше місце. Існує багато інших способів перехоплення повідомлень, у тому числі за допомогою підроблених веж стільникових телефонів. SMS-повідомлення не були розроблені для захисту та не повинні використовуватися для них.
Іншими словами, досвідчений зловмисник із невеликою кількістю особистої інформації може викрасти ваш номер телефону, щоб отримати доступ до ваших Інтернет-рахунків, а потім використати ці рахунки, щоб спробувати злити ваші банківські рахунки, наприклад. Ось чому є Національний інститут стандартів і технологій більше не рекомендує використання SMS-повідомлень для двофакторної автентифікації.
Альтернатива: Створіть коди на своєму пристрої
ПОВ'ЯЗАНІ: Як налаштувати Authy для двофакторної автентифікації (та синхронізувати ваші коди між пристроями)
Двофакторна схема автентифікації, яка не покладається на SMS, є вищою, оскільки компанія стільникового телефону не зможе надати комусь іншому доступ до ваших кодів. Найпопулярніший варіант для цього - це додаток Google Authenticator . Однак ми рекомендуємо Authy , оскільки він робить все, що робить Google Authenticator, і багато іншого.
Такі додатки генерують коди на вашому пристрої. Навіть якби зловмисник обдурив вашу компанію мобільного телефону, щоб вона перенесла ваш номер телефону на свій телефон, він не зміг би отримати ваші коди безпеки. Дані, необхідні для створення цих кодів, надійно зберігатимуться на вашому телефоні.
ПОВ'ЯЗАНІ: Як налаштувати нову двофакторну автентифікацію Google без коду
Вам також не потрібно використовувати коди. Такі служби, як Twitter, Google та Microsoft, тестуються двофакторна автентифікація на основі програми що дозволяє входити на інший пристрій, авторизувавши вхід у їхній програмі на телефоні.
Також є фізичні апаратні маркери, якими ви можете скористатися. Такі великі компанії, як Google і Dropbox, вже впровадили новий стандарт для апаратних двофакторних маркерів автентифікації під назвою U2F . Це все безпечніше, ніж покладатися на вашу компанію мобільного зв’язку та застарілу телефонну мережу.
Якщо можливо, уникайте SMS для двофакторної автентифікації. Це краще за все і здається зручним, але зазвичай це найменш безпечна двофакторна схема автентифікації, яку ви можете вибрати.
На жаль, деякі служби змушують користуватися SMS. Якщо вас це турбує, ви можете створити номер телефону Google Voice і надати його службам, які потребують автентифікації за допомогою SMS. Потім ви можете увійти у свій обліковий запис Google, який ви можете захистити більш безпечним двофакторним способом автентифікації, і побачити захищені повідомлення на веб-сайті або в додатку Google Voice. Просто не пересилайте повідомлення з Google Voice на дійсний номер мобільного телефону.
