Γιατί δεν πρέπει να χρησιμοποιείτε SMS για έλεγχο ταυτότητας δύο παραγόντων (και τι πρέπει να χρησιμοποιήσετε αντίθετα)
Οι ειδικοί ασφαλείας συστήνουν τη χρήση ταυτότητας δύο παραγόντων για να εξασφαλίσουν τους λογαριασμούς σας στο διαδίκτυο, όπου είναι δυνατόν. Πολλές υπηρεσίες προεπιλογής για την επαλήθευση μέσω SMS, αποστέλλοντας κωδικούς μέσω μηνύματος κειμένου στο τηλέφωνό σας όταν προσπαθείτε να συνδεθείτε. Τα μηνύματα SMS έχουν όμως πολλά προβλήματα ασφάλειας και είναι η λιγότερο ασφαλή επιλογή για έλεγχο ταυτότητας δύο παραγόντων.
Πρώτα πρώτα πράγματα: Το SMS είναι ακόμα καλύτερο από ό, τι κανένας έλεγχος ταυτότητας δύο παραγόντων σε όλους!
Ενώ πρόκειται να διατυπώσουμε την υπόθεση εναντίον SMS εδώ, είναι σημαντικό να κάνουμε πρώτα ένα πράγμα σαφές: Χρησιμοποιώντας το SMS είναι καλύτερο από το να μην χρησιμοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων καθόλου.
Όταν δεν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων, κάποιος χρειάζεται μόνο τον κωδικό πρόσβασής σας για να συνδεθεί στο λογαριασμό σας. Όταν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων με SMS, κάποιος θα πρέπει να αποκτήσει τον κωδικό πρόσβασής σας και να αποκτήσει πρόσβαση στα μηνύματα κειμένου σας για να αποκτήσει πρόσβαση στο λογαριασμό σας. Το SMS είναι πολύ πιο ασφαλές από το τίποτα.
Εάν το SMS είναι η μόνη σας επιλογή, χρησιμοποιήστε SMS. Ωστόσο, αν θέλετε να μάθετε γιατί οι ειδικοί ασφαλείας συστήνουν την αποφυγή SMS και αυτό που προτείνουμε αντ 'αυτού, διαβάστε παρακάτω.
Οι ανταλλαγές SIM επιτρέπουν στους επιτιθέμενους να κλέψουν τον αριθμό τηλεφώνου σας
Δείτε πώς λειτουργεί η επαλήθευση SMS: Όταν προσπαθείτε να συνδεθείτε, η υπηρεσία στέλνει ένα μήνυμα κειμένου στον αριθμό κινητού τηλεφώνου που σας παρείχε προηγουμένως. Παίρνετε αυτόν τον κωδικό στο τηλέφωνό σας και πληκτρολογήστε τον για να συνδεθείτε. Ο κώδικας αυτός είναι καλός μόνο για μία μόνο χρήση.
Ακούγεται λογικά ασφαλής. Μετά από όλα, μόνο εσείς έχετε τον αριθμό τηλεφώνου σας και κάποιος πρέπει να έχει το τηλέφωνό σας για να δει τον κώδικα-δεξιά; Δυστυχώς όχι.
Εάν κάποιος γνωρίζει τον αριθμό τηλεφώνου σας και μπορεί να έχει πρόσβαση σε προσωπικά στοιχεία όπως τα τελευταία τέσσερα ψηφία του αριθμού κοινωνικής ασφάλισης σας, δυστυχώς, αυτό είναι εύκολο να βρεθεί χάρη στις πολλές εταιρείες και κυβερνητικές υπηρεσίες που έχουν διαρρεύσει δεδομένα πελατών - μπορούν να επικοινωνήσουν με το τηλέφωνό σας και μετακινήστε τον αριθμό τηλεφώνου σας σε ένα νέο τηλέφωνο. Αυτό είναι γνωστό ως "ανταλλαγή SIM" και είναι η ίδια διαδικασία που εκτελείτε όταν αγοράζετε μια νέα συσκευή και μετακινείτε τον αριθμό του τηλεφώνου σε αυτήν. Το άτομο λέει ότι είστε εσείς, παρέχει τα προσωπικά σας δεδομένα και η εταιρεία κινητής τηλεφωνίας σας δημιουργεί το τηλέφωνό σας με τον αριθμό τηλεφώνου σας. Θα λάβουν τους κωδικούς μηνυμάτων SMS που αποστέλλονται στον αριθμό τηλεφώνου σας στο τηλέφωνό τους.
Έχουμε δει αναφορές αυτού του γεγονότος στο Ηνωμένο Βασίλειο, όπου οι επιτιθέμενοι έκλεψαν τον τηλεφωνικό αριθμό ενός θύματος και το χρησιμοποίησαν για να αποκτήσουν πρόσβαση στον τραπεζικό λογαριασμό του θύματος. Το κράτος της Νέας Υόρκης έχει επίσης προειδοποιήσει για αυτή την απάτη.
Στον πυρήνα της, αυτή είναι μια επίθεση κοινωνικής μηχανικής που βασίζεται στην εξαπάτηση της εταιρείας κινητής τηλεφωνίας σας. Αλλά η εταιρεία κινητής τηλεφωνίας σας δεν θα πρέπει να είναι σε θέση να παρέχει σε κάποιον πρόσβαση στους κωδικούς ασφαλείας σας!
Τα μηνύματα SMS μπορούν να παρεμποδιστούν με πολλούς τρόπους
Είναι επίσης δυνατή η παρακολούθηση μηνυμάτων SMS. Οι πολιτικοί αντιφρονούντες και δημοσιογράφοι στις κατασταλτικές χώρες θα θέλουν να είναι προσεκτικοί, καθώς η κυβέρνηση θα μπορούσε να πειραματιστεί με μηνύματα SMS καθώς αποστέλλονται μέσω του τηλεφωνικού δικτύου. Αυτό έχει ήδη συμβεί στο Ιράν, όπου οι ιρανοί χάκερ έφεραν σε κίνδυνο ορισμένους λογαριασμούς τηλεγραφικών μηνυμάτων, παρεμποδίζοντας τα μηνύματα SMS που παρείχαν πρόσβαση στους λογαριασμούς αυτούς.
Οι επιτιθέμενοι έχουν επίσης καταχραστεί τα προβλήματα στο SS7, το σύστημα σύνδεσης που χρησιμοποιείται για περιαγωγή, για να παρεμποδίζουν μηνύματα SMS στο δίκτυο και να τα δρομολογούν αλλού. Υπάρχουν πολλοί άλλοι τρόποι με τους οποίους μπορούν να παρεμποδιστούν τα μηνύματα, συμπεριλαμβανομένης της χρήσης ψευδών πύργων κινητής τηλεφωνίας. Τα μηνύματα SMS δεν σχεδιάστηκαν για ασφάλεια και δεν πρέπει να χρησιμοποιούνται για αυτό.
Με άλλα λόγια, ένας εξελιγμένος εισβολέας με λίγες προσωπικές πληροφορίες θα μπορούσε να καταλάβει τον αριθμό του τηλεφώνου σας για να αποκτήσει πρόσβαση στους λογαριασμούς σας στο διαδίκτυο και, στη συνέχεια, να χρησιμοποιήσει αυτούς τους λογαριασμούς για να προσπαθήσει να αποστραγγίσει τους τραπεζικούς λογαριασμούς σας, για παράδειγμα. Αυτός είναι ο λόγος για τον οποίο το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας δεν συνιστά πλέον τη χρήση μηνυμάτων SMS για έλεγχο ταυτότητας δύο παραγόντων.
Η εναλλακτική λύση: Δημιουργία κωδικών στη συσκευή σας
Ένα σύστημα ελέγχου ταυτότητας δύο παραγόντων που δεν βασίζεται σε SMS είναι ανώτερο, επειδή η εταιρεία κινητής τηλεφωνίας δεν θα μπορεί να δώσει σε κάποιον άλλο πρόσβαση στους κωδικούς σας. Η πιο δημοφιλής επιλογή για αυτό είναι μια εφαρμογή όπως ο Επαληθευτής Google. Ωστόσο, συνιστούμε την Authy, καθώς κάνει ό, τι κάνει ο Google Authenticator και πολλά άλλα.
Οι εφαρμογές όπως αυτή δημιουργούν κώδικες στη συσκευή σας. Ακόμα κι αν ένας εισβολέας εξαπάτησε την εταιρεία κινητής τηλεφωνίας να μετακινήσει τον αριθμό τηλεφώνου στο τηλέφωνό του, δεν θα ήταν σε θέση να πάρει τους κωδικούς ασφαλείας. Τα δεδομένα που απαιτούνται για τη δημιουργία αυτών των κωδικών θα παραμείνουν με ασφάλεια στο τηλέφωνό σας.
Επίσης, δεν χρειάζεται να χρησιμοποιείτε κωδικούς. Υπηρεσίες όπως το Twitter, το Google και η Microsoft δοκιμάζουν έλεγχο ταυτότητας δύο παραμέτρων βασισμένη σε εφαρμογές, η οποία σας επιτρέπει να συνδεθείτε σε άλλη συσκευή, επιτρέποντας τη σύνδεση στην εφαρμογή τους στο τηλέφωνό σας.
Υπάρχουν επίσης μάρκες φυσικού υλικού που μπορείτε να χρησιμοποιήσετε. Μεγάλες εταιρείες, όπως το Google και το Dropbox, έχουν ήδη εφαρμόσει ένα νέο πρότυπο για μάρκες υλικού που βασίζονται σε υλικό δύο φάσεων με όνομα U2F. Αυτά είναι όλα ασφαλέστερα από το να βασίζεστε στην εταιρεία κινητής τηλεφωνίας σας και στο ξεπερασμένο τηλεφωνικό δίκτυο.
Εάν είναι δυνατόν, αποφύγετε τα SMS για έλεγχο ταυτότητας δύο παραγόντων. Είναι καλύτερα από τίποτα και φαίνεται βολικό, αλλά είναι συνήθως το λιγότερο ασφαλές σύστημα ελέγχου ταυτότητας δύο παραγόντων που μπορείτε να επιλέξετε.
Δυστυχώς, ορισμένες υπηρεσίες σας αναγκάζουν να χρησιμοποιείτε SMS. Αν ανησυχείτε για αυτό, μπορείτε να δημιουργήσετε έναν αριθμό τηλεφώνου Google Voice και να τον δώσετε σε υπηρεσίες που απαιτούν έλεγχο ταυτότητας μέσω SMS. Θα μπορούσατε στη συνέχεια να συνδεθείτε στο λογαριασμό σας στο Google - τον οποίο μπορείτε να προστατεύσετε με ασφαλέστερη μέθοδο ελέγχου ταυτότητας δύο παραγόντων - και να δείτε τα ασφαλή μηνύματα στον ιστότοπο ή την εφαρμογή Google Voice. Απλά μην προωθείτε μηνύματα από το Google Voice στον πραγματικό αριθμό κινητού τηλεφώνου σας.