Kotisivu » miten » Miksi sinun ei pitäisi käyttää tekstiviestejä kahden tekijän todentamiseen (ja sen sijaan, mitä käyttää)

    Miksi sinun ei pitäisi käyttää tekstiviestejä kahden tekijän todentamiseen (ja sen sijaan, mitä käyttää)

    Turvallisuusasiantuntijat suosittelevat kaksitekijän todentamista suojataaksesi verkkotilejäsi aina kun mahdollista. Monissa palveluissa oletuksena tekstiviestivahvistaminen, koodien lähettäminen tekstiviestillä puhelimeen, kun yrität kirjautua sisään..

    Ensinnäkin ensimmäiset asiat: SMS on edelleen parempi kuin kaksitekijän todennus!

    Vaikka aiomme sijoittaa asiaa vastaan ​​täällä, on tärkeää, että teemme ensin yhden asian: tekstiviestin käyttö on parempi kuin kaksivaiheisen todennuksen käyttäminen lainkaan.

    Kun et käytä kahden tekijän tunnistusta, joku tarvitsee salasanasi kirjautumalla tiliisi. Kun käytät kaksivaiheista todennusta tekstiviestillä, joku tarvitsee sekä hankkia salasanasi että käyttää tekstiviestejäsi pääsyäksesi tiliisi. Tekstiviesti on paljon turvallisempi kuin mikään.

    Jos SMS on ainoa vaihtoehto, käytä tekstiviestejä. Jos kuitenkin haluat tietää, miksi turvallisuusasiantuntijat suosittelevat tekstiviestien välttämistä ja mitä suosittelemme, lue lisää.

    SIM-vaihtosopimukset sallivat hyökkääjien varastaa puhelinnumerosi

    Tekstiviestivahvistustyö toimii seuraavasti: Kun yrität kirjautua sisään, palvelu lähettää tekstiviestin siihen matkapuhelinnumeroon, johon olet aiemmin antanut ne. Saat koodin puhelimeesi ja kirjoita se kirjautumaan sisään. Tämä koodi on hyvä vain yhdelle käytölle.

    Se kuulostaa kohtuullisen turvalliselta. Loppujen lopuksi vain sinulla on puhelinnumerosi, ja jonkun on saatava puhelimesi nähdä koodin oikein? Valitettavasti ei.

    Jos joku tuntee puhelinnumerosi ja pääset käsiksi henkilökohtaisiin tietoihin, kuten sosiaaliturvatunnuksesi neljän viimeiseen numeroon, tämä on valitettavasti helppo löytää monien yritysten ja julkisyhteisöjen ansiosta, jotka ovat vuotaneet asiakastietoja - he voivat ottaa yhteyttä puhelimeen ja siirtää puhelinnumerosi uuteen puhelimeen. Tätä kutsutaan nimellä "SIM-swap", ja se on sama prosessi, jota suoritat, kun ostat uuden laitteen ja siirrät puhelinnumerosi siihen. Henkilö sanoo, että olet sinä, antaa henkilötietoja, ja matkapuhelinyhtiösi asettaa puhelimesi puhelinnumerosi avulla. He saavat tekstiviestikoodit, jotka lähetetään puhelinnumeroon puhelimitse.

    Olemme nähneet raportteja tästä Yhdistyneessä kuningaskunnassa, jossa hyökkääjät varastivat uhrin puhelinnumeron ja käyttivät sitä pääsemään uhrin pankkitilille. New Yorkin osavaltio on myös varoittanut tästä huijauksesta.

    Sen ytimessä tämä on sosiaalinen insinööri-hyökkäys, joka perustuu matkapuhelinyhtiösi huijaamiseen. Mutta matkapuhelinyhtiö ei saisi tarjota kenellekään pääsyä turvakoodeillesi!

    Tekstiviestit voidaan hyväksyä monin tavoin

    SMS-viestejä voi myös hakata. Poliittiset toisinajattelijat ja repressiivisten maiden toimittajat haluavat olla varovaisia, sillä hallitus voi kaapata tekstiviestejä, kun ne lähetetään puhelinverkon kautta. Tämä on jo tapahtunut Iranissa, jossa Iranin hakkerit vaarantavat tietyn telegramman lähettäjän tilit siepaten SMS-viestit, jotka antoivat pääsyn näille tileille.

    Hyökkääjät ovat myös käyttäneet väärin SS7-järjestelmässä, verkkovierailussa käytettävässä yhteysjärjestelmässä, ongelmia tekstiviestien sieppaamiseksi verkossa ja reitittämällä ne muualle. On monia muita tapoja, joilla viestit voidaan siepata, myös väärennettyjen matkapuhelinpylväiden avulla. Tekstiviestejä ei ole suunniteltu turvallisuuteen, eikä niitä pitäisi käyttää siihen.

    Toisin sanoen hienostunut hyökkääjä, jolla on vähän henkilökohtaisia ​​tietoja, voi kaapata puhelinnumerosi, jotta pääset käyttämään verkkotilejäsi ja sitten käytät näitä tilejä esimerkiksi pankkitiliesi tyhjentämiseksi. Siksi kansallisen standardointi- ja teknologiainstituutin ei suositella enää tekstiviestien käyttöä kaksitekijän todentamiseen.

    Vaihtoehto: Luo laitteeseen koodit

    Kaksivaiheinen autentikointijärjestelmä, joka ei luota tekstiviestiin, on ylivoimainen, koska matkapuhelinyhtiö ei voi antaa kenellekään muille pääsyä koodeihin. Tämän suosituin vaihtoehto on Google Authenticatorin kaltainen sovellus. Suosittelemme kuitenkin Authy-ohjelmaa, koska se tekee kaiken, mitä Google Authenticator tekee.

    Tällaiset sovellukset luovat koodit laitteellesi. Vaikka hyökkääjä huijasi matkapuhelinyhtiösi siirtämään puhelinnumerosi puhelimeen, he eivät pystyisi saamaan turvakoodiasi. Näiden koodien luomiseen tarvittavat tiedot pysyvät turvallisesti puhelimessasi.

     

    Sinun ei tarvitse käyttää koodeja. Palvelut, kuten Twitter, Google ja Microsoft, testaavat sovelluspohjaista kahden tekijän tunnistusta, jonka avulla voit kirjautua toiseen laitteeseen valtuuttamalla sisäänkirjautumisen sovelluksessaan puhelimeen.

    Käytettävissä on myös fyysisiä laitteistomerkkejä. Suuret yritykset, kuten Google ja Dropbox, ovat jo toteuttaneet uuden standardin laitteistopohjaisille kaksitekijäisille autentikointitunnisteille nimeltä U2F. Nämä kaikki ovat turvallisempia kuin luottaa matkapuhelinyhtiöön ja vanhentuneeseen puhelinverkkoon.

    Jos mahdollista, vältä tekstiviestejä kaksitekijän todentamiseen. Se on parempi kuin mikään ja näyttää kätevältä, mutta se on yleensä vähiten turvallinen kaksitekijä-autentikointijärjestelmä, jonka voit valita.

    Valitettavasti jotkut palvelut pakottavat käyttämään tekstiviestejä. Jos olet huolissasi tästä, voit luoda Google Voicen puhelinnumeron ja antaa sen palveluille, jotka edellyttävät SMS-todennusta. Voit sitten kirjautua Google-tiliisi, jonka voit suojata turvallisemmalla kaksitekijä-autentikointimenetelmällä, ja katso suojatut viestit Google Voicen verkkosivustosta tai sovelluksesta. Älä välitä Google Voicen viestejä todelliseen matkapuhelinnumeroon.