Miért nem szabad SMS-t használni két tényezőjű hitelesítéshez (és mi a helyette)?
A biztonsági szakértők azt javasolják, hogy két lehetőségből álló hitelesítést használjanak az online fiókok biztonságának biztosítására. Sok szolgáltatás alapértelmezés szerint SMS-hitelesítést küld, szöveges üzenetben kódot küld a telefonra, amikor megpróbál bejelentkezni. Az SMS-üzeneteknek azonban sok biztonsági problémája van, és a legkevésbé biztonságos lehetőség a kétfaktorú hitelesítéshez.
Először az első dolog: az SMS még mindig jobb, mint a két tényező nélküli hitelesítés!
Míg itt az SMS ellen irányítjuk az ügyet, fontos, hogy először egy dolgot tegyünk egyértelművé: az SMS használata jobb, mint egyáltalán nem kétfaktoros hitelesítés használata.
Ha nem használja a kétfaktoros hitelesítést, valaki csak a jelszavához szükséges, hogy jelentkezzen be a fiókjába. Ha kétfaktoros hitelesítést használ SMS-el, valaki meg fogja szerezni a jelszavát, és hozzáférnie kell a szöveges üzenetekhez ahhoz, hogy hozzáférjen a fiókjához. Az SMS sokkal biztonságosabb, mint egyáltalán.
Ha az egyetlen lehetőség az SMS, kérjük, használja az SMS-t. Ha azonban szeretné megtudni, hogy a biztonsági szakértők miért nem javasolják az SMS-t, és mi azt javasoljuk, olvassa el.
A SIM-csereügyletek lehetővé teszik a támadók számára, hogy ellopják a telefonszámát
Az SMS-hitelesítés működésének módja: Amikor bejelentkezik, a szolgáltatás szöveges üzenetet küld a korábban megadott mobiltelefonszámra. Ezt a kódot a telefonján kapja meg, és írja be. Ez a kód csak egy felhasználásra alkalmas.
Elég biztonságosnak hangzik. Végül is csak a telefonszáma van, és valakinek meg kell találnia a telefont, hogy megnézze a kódot? Sajnos nincs.
Ha valaki ismeri a telefonszámát, és hozzáférhet személyes adataihoz, mint például a társadalombiztosítási szám utolsó négy számjegye, sajnos ez könnyen megtalálható a sok vállalati és kormányzati szervnek köszönhetően, amelyek kiszivárogták az ügyfelek adatait - kapcsolatba léphetnek a telefonnal vállalatát, és helyezze át a telefonszámát egy új telefonra. Ezt „SIM-csere” néven ismerték, és ugyanazt a folyamatot hajtja végre, amikor új eszközt vásárol, és áthelyezi a telefonszámát. A személy azt mondja, hogy te vagy, megadja a személyes adatokat, és a mobiltelefon-cége telefonját a telefonszámával hozza létre. A telefonszámukra küldött SMS-kódokat a telefonon kapják meg.
Láttuk, hogy az Egyesült Királyságban ez történt, ahol a támadók ellopták az áldozat telefonszámát, és arra használják fel, hogy hozzáférjenek az áldozat bankszámlájához. New York-i állam is figyelmeztetett erre az átverésre.
Alapvető fontosságú, hogy ez egy olyan társadalmi mérnöki támadás, amely a mobiltelefon-vállalat megragadására támaszkodik. De a mobiltelefon-vállalatnak nem szabad képesnek kell lennie arra, hogy valaki hozzáférjen a biztonsági kódjaihoz!
Az SMS-üzenetek sokféleképpen megszakíthatók
Lehetőség van SMS-üzenetekre is. Az elnyomó országokban a politikai disszidensek és újságírók óvatosak lesznek, mivel a kormány a telefonhálózaton keresztül küldött SMS-üzeneteket is lekaphatja. Ez már megtörtént Iránban, ahol az iráni hackerek az állítólag számos telegram hírlevél-fiókot sértettek meg azáltal, hogy elfogadták az SMS-eket, amelyek hozzáférést biztosítanak ezekhez a fiókokhoz.
A támadók szintén visszaéltek az SS7-ben, a barangoláshoz használt csatlakozási rendszerben, hogy SMS-üzeneteket fogadjanak a hálózaton, és máshová irányítsák őket. Sok más mód is van az üzenetek elfogására, beleértve a hamis mobiltelefon tornyok használatát is. Az SMS-eket nem a biztonságra tervezték, és nem szabad használni.
Más szavakkal: egy kifinomult támadó, aki egy kis személyes adattal rendelkezik, megszakíthatja a telefonszámát, hogy hozzáférjen az online fiókjaihoz, majd ezeket a számlákat használja a bankszámlák lefolyásához. Ezért nem ajánlja a Nemzeti Szabványügyi és Technológiai Intézet SMS-üzenetek használatát kétfaktoros hitelesítéshez.
Az alternatíva: kódok generálása az eszközön
A kétfaktorú hitelesítési rendszer, amely nem támaszkodik az SMS-re, jobb, mert a mobiltelefon-vállalat nem tud másnak hozzáférni a kódjaihoz. Ennek a legnépszerűbb opció egy olyan alkalmazás, mint a Google Hitelesítő. Az Authy-t azonban ajánljuk, mivel mindent a Google Authenticator csinál.
Az ilyen alkalmazások például kódokat generálnak a készüléken. Még akkor is, ha egy támadó becsapta a mobiltelefon-cégét a telefonszámának a telefonjára való áthelyezésére, nem tudnák kapni a biztonsági kódokat. A kódok létrehozásához szükséges adatok biztonságosan maradnának a telefonon.
Nem kell kódokat sem használnia. Az olyan szolgáltatások, mint a Twitter, a Google és a Microsoft, tesztelik az alkalmazás alapú két tényezőjű hitelesítést, amely lehetővé teszi, hogy egy másik eszközön bejelentkezzen a bejelentkezés alkalmazásával a telefonon.
Vannak fizikai hardverjelzők is. A nagyvállalatok, mint a Google és a Dropbox már bevezetett egy új szabványt az U2F nevű hardveralapú kétfaktorú hitelesítési tokenek számára. Ezek mind biztonságosabbak, mint a mobiltelefon-vállalatra és az elavult telefonhálózatra támaszkodva.
Ha lehetséges, kerülje el az SMS-t a két faktorú hitelesítéshez. Jobb, mint a semmi, és kényelmesnek tűnik, de ez általában a legkevésbé biztonságos, két faktorú hitelesítési rendszer, amit választhat.
Sajnos néhány szolgáltatás SMS-t használ. Ha ez aggódik, létrehozhat egy Google Voice telefonszámot, és megadhatja azt az olyan szolgáltatásokat, amelyek SMS-hitelesítést igényelnek. Ezután bejelentkezhet a Google-fiókjába, amely biztonságosabb kétfaktorú hitelesítési módszerrel védhető, és a biztonságos üzeneteket a Google Voice webhelyén vagy alkalmazásában láthatja. Csak ne küldje el a Google Voice üzeneteit a tényleges mobiltelefonszámára.
