Homepage » hogyan kell » Miért nem szabad SMS-t használni két tényezőjű hitelesítéshez (és mi a helyette)?

    Miért nem szabad SMS-t használni két tényezőjű hitelesítéshez (és mi a helyette)?

    A biztonsági szakértők azt javasolják, hogy két lehetőségből álló hitelesítést használjanak az online fiókok biztonságának biztosítására. Sok szolgáltatás alapértelmezés szerint SMS-hitelesítést küld, szöveges üzenetben kódot küld a telefonra, amikor megpróbál bejelentkezni. Az SMS-üzeneteknek azonban sok biztonsági problémája van, és a legkevésbé biztonságos lehetőség a kétfaktorú hitelesítéshez.

    Először az első dolog: az SMS még mindig jobb, mint a két tényező nélküli hitelesítés!

    Míg itt az SMS ellen irányítjuk az ügyet, fontos, hogy először egy dolgot tegyünk egyértelművé: az SMS használata jobb, mint egyáltalán nem kétfaktoros hitelesítés használata.

    Ha nem használja a kétfaktoros hitelesítést, valaki csak a jelszavához szükséges, hogy jelentkezzen be a fiókjába. Ha kétfaktoros hitelesítést használ SMS-el, valaki meg fogja szerezni a jelszavát, és hozzáférnie kell a szöveges üzenetekhez ahhoz, hogy hozzáférjen a fiókjához. Az SMS sokkal biztonságosabb, mint egyáltalán.

    Ha az egyetlen lehetőség az SMS, kérjük, használja az SMS-t. Ha azonban szeretné megtudni, hogy a biztonsági szakértők miért nem javasolják az SMS-t, és mi azt javasoljuk, olvassa el.

    A SIM-csereügyletek lehetővé teszik a támadók számára, hogy ellopják a telefonszámát

    Az SMS-hitelesítés működésének módja: Amikor bejelentkezik, a szolgáltatás szöveges üzenetet küld a korábban megadott mobiltelefonszámra. Ezt a kódot a telefonján kapja meg, és írja be. Ez a kód csak egy felhasználásra alkalmas.

    Elég biztonságosnak hangzik. Végül is csak a telefonszáma van, és valakinek meg kell találnia a telefont, hogy megnézze a kódot? Sajnos nincs.

    Ha valaki ismeri a telefonszámát, és hozzáférhet személyes adataihoz, mint például a társadalombiztosítási szám utolsó négy számjegye, sajnos ez könnyen megtalálható a sok vállalati és kormányzati szervnek köszönhetően, amelyek kiszivárogták az ügyfelek adatait - kapcsolatba léphetnek a telefonnal vállalatát, és helyezze át a telefonszámát egy új telefonra. Ezt „SIM-csere” néven ismerték, és ugyanazt a folyamatot hajtja végre, amikor új eszközt vásárol, és áthelyezi a telefonszámát. A személy azt mondja, hogy te vagy, megadja a személyes adatokat, és a mobiltelefon-cége telefonját a telefonszámával hozza létre. A telefonszámukra küldött SMS-kódokat a telefonon kapják meg.

    Láttuk, hogy az Egyesült Királyságban ez történt, ahol a támadók ellopták az áldozat telefonszámát, és arra használják fel, hogy hozzáférjenek az áldozat bankszámlájához. New York-i állam is figyelmeztetett erre az átverésre.

    Alapvető fontosságú, hogy ez egy olyan társadalmi mérnöki támadás, amely a mobiltelefon-vállalat megragadására támaszkodik. De a mobiltelefon-vállalatnak nem szabad képesnek kell lennie arra, hogy valaki hozzáférjen a biztonsági kódjaihoz!

    Az SMS-üzenetek sokféleképpen megszakíthatók

    Lehetőség van SMS-üzenetekre is. Az elnyomó országokban a politikai disszidensek és újságírók óvatosak lesznek, mivel a kormány a telefonhálózaton keresztül küldött SMS-üzeneteket is lekaphatja. Ez már megtörtént Iránban, ahol az iráni hackerek az állítólag számos telegram hírlevél-fiókot sértettek meg azáltal, hogy elfogadták az SMS-eket, amelyek hozzáférést biztosítanak ezekhez a fiókokhoz.

    A támadók szintén visszaéltek az SS7-ben, a barangoláshoz használt csatlakozási rendszerben, hogy SMS-üzeneteket fogadjanak a hálózaton, és máshová irányítsák őket. Sok más mód is van az üzenetek elfogására, beleértve a hamis mobiltelefon tornyok használatát is. Az SMS-eket nem a biztonságra tervezték, és nem szabad használni.

    Más szavakkal: egy kifinomult támadó, aki egy kis személyes adattal rendelkezik, megszakíthatja a telefonszámát, hogy hozzáférjen az online fiókjaihoz, majd ezeket a számlákat használja a bankszámlák lefolyásához. Ezért nem ajánlja a Nemzeti Szabványügyi és Technológiai Intézet SMS-üzenetek használatát kétfaktoros hitelesítéshez.

    Az alternatíva: kódok generálása az eszközön

    A kétfaktorú hitelesítési rendszer, amely nem támaszkodik az SMS-re, jobb, mert a mobiltelefon-vállalat nem tud másnak hozzáférni a kódjaihoz. Ennek a legnépszerűbb opció egy olyan alkalmazás, mint a Google Hitelesítő. Az Authy-t azonban ajánljuk, mivel mindent a Google Authenticator csinál.

    Az ilyen alkalmazások például kódokat generálnak a készüléken. Még akkor is, ha egy támadó becsapta a mobiltelefon-cégét a telefonszámának a telefonjára való áthelyezésére, nem tudnák kapni a biztonsági kódokat. A kódok létrehozásához szükséges adatok biztonságosan maradnának a telefonon.

     

    Nem kell kódokat sem használnia. Az olyan szolgáltatások, mint a Twitter, a Google és a Microsoft, tesztelik az alkalmazás alapú két tényezőjű hitelesítést, amely lehetővé teszi, hogy egy másik eszközön bejelentkezzen a bejelentkezés alkalmazásával a telefonon.

    Vannak fizikai hardverjelzők is. A nagyvállalatok, mint a Google és a Dropbox már bevezetett egy új szabványt az U2F nevű hardveralapú kétfaktorú hitelesítési tokenek számára. Ezek mind biztonságosabbak, mint a mobiltelefon-vállalatra és az elavult telefonhálózatra támaszkodva.

    Ha lehetséges, kerülje el az SMS-t a két faktorú hitelesítéshez. Jobb, mint a semmi, és kényelmesnek tűnik, de ez általában a legkevésbé biztonságos, két faktorú hitelesítési rendszer, amit választhat.

    Sajnos néhány szolgáltatás SMS-t használ. Ha ez aggódik, létrehozhat egy Google Voice telefonszámot, és megadhatja azt az olyan szolgáltatásokat, amelyek SMS-hitelesítést igényelnek. Ezután bejelentkezhet a Google-fiókjába, amely biztonságosabb kétfaktorú hitelesítési módszerrel védhető, és a biztonságos üzeneteket a Google Voice webhelyén vagy alkalmazásában láthatja. Csak ne küldje el a Google Voice üzeneteit a tényleges mobiltelefonszámára.