למה אתה לא צריך להשתמש ב- SMS עבור אימות שני גורמים (ומה להשתמש במקום)
מומחי אבטחה ממליצים להשתמש באימות של שני גורמים כדי לאבטח את החשבונות המקוונים שלך בכל מקום אפשרי. שירותי ברירת מחדל רבים לאימות ה- SMS, שליחת קודים באמצעות הודעת טקסט לטלפון שלך כאשר אתה מנסה להיכנס. אבל הודעות SMS יש הרבה בעיות אבטחה, והם האפשרות הבטוחה ביותר עבור אימות שני גורמים.
ראשית דברים ראשון: SMS עדיין עדיף מאשר לא אימות שני גורמים בכל!
בעוד אנחנו הולכים לפרוש את המקרה נגד ה- SMS כאן, חשוב לנו קודם לעשות דבר אחד ברור: שימוש ב- SMS הוא טוב יותר מאשר לא באמצעות אימות שני גורמים בכלל.
כאשר אינך משתמש באימות משני גורמים, מישהו זקוק רק לסיסמה שלך כדי להיכנס לחשבון שלך. כאשר אתה משתמש באימות של שני גורמים עם SMS, מישהו יצטרך לרכוש את הסיסמה שלך ולקבל גישה להודעות הטקסט שלך כדי לקבל גישה לחשבון שלך. SMS הוא הרבה יותר בטוח מאשר שום דבר בכלל.
אם ה- SMS הוא האפשרות היחידה שלך, אנא השתמש ב- SMS. עם זאת, אם ברצונך ללמוד מדוע מומחי אבטחה ממליצים להימנע מהודעות SMS ומה אנו ממליצים, המשך לקרוא.
חילופי ה- SIM לאפשר לתוקפים לגנוב את מספר הטלפון שלך
כך פועל אימות ה- SMS: כאשר אתה מנסה להיכנס, השירות שולח הודעת טקסט למספר הטלפון הנייד שסיפקת בעבר. אתה מקבל את הקוד בטלפון שלך והזן אותו כדי להיכנס. קוד זה טוב רק לשימוש אחד.
זה נשמע בטוח למדי. אחרי הכל, רק יש לך את מספר הטלפון שלך מישהו צריך את הטלפון שלך כדי לראות את הקוד הנכון? למרבה הצער לא.
אם מישהו יודע את מספר הטלפון שלך ויכול לקבל גישה למידע אישי כמו ארבע הספרות האחרונות של מספר הביטוח הלאומי שלך - למרבה הצער, זה יהיה קל למצוא תודה על תאגידים רבים וגופים ממשלתיים שדלפו נתוני לקוחות, הם יכולים ליצור קשר עם הטלפון שלך ולהעביר את מספר הטלפון שלך לטלפון חדש. זה ידוע בשם "החלפת ה- SIM", והוא אותו תהליך שאתה מבצע בעת רכישת מכשיר חדש ולהעביר את מספר הטלפון שלך אליו. האדם אומר שאתה, מספק את הנתונים האישיים, ואת הטלפון הסלולרי שלך החברה מגדיר את הטלפון עם מספר הטלפון שלך. הם יקבלו את קודי ה- SMS שנשלחו למספר הטלפון שלך בטלפון.
ראינו דיווחים על התרחשות זו בבריטניה, שם התוקפים גנבו את מספר הטלפון של הקורבן והשתמשו בו כדי לקבל גישה לחשבון הבנק של הקורבן. מדינת ניו יורק יש גם הזהיר מפני הונאה זו.
הליבה שלה, זה התקפה חברתית הנדסה כי מסתמך על tricking הטלפון הסלולרי שלך החברה. אבל חברת הטלפון הסלולרי שלך לא אמור להיות מסוגל לספק למישהו גישה קודי האבטחה שלך מלכתחילה!
הודעות SMS ניתן ליירט בדרכים רבות
אפשר גם לחטט בהודעות SMS. מתנגדים פוליטיים ועיתונאים במדינות מדכאות ירצו להיזהר, שכן הממשלה יכולה לחטוף הודעות SMS כפי שהם נשלחים דרך רשת הטלפון. זה כבר אירע באיראן, שם האקרים האיראניים על פי הדיווחים בסכנה מספר חשבונות שליח מברק על ידי יירוט הודעות SMS שסיפק גישה לחשבונות אלה.
תוקפים התעללו גם בבעיות ב- SS7, מערכת החיבור המשמשת לנדידה, ליירט הודעות SMS ברשת ולנתב אותן במקומות אחרים. ישנן דרכים רבות אחרות הודעות ניתן ליירט, כולל באמצעות שימוש מזויף תא מגדלי הטלפון. הודעות SMS לא תוכננו עבור אבטחה, ואין להשתמש בהן.
במילים אחרות, תוקף מתוחכם עם קצת מידע אישי יכול לחטוף את מספר הטלפון שלך כדי לקבל גישה לחשבונות המקוונים שלך ולאחר מכן להשתמש בחשבונות אלה כדי לנסות לנקז חשבונות הבנק שלך, למשל. זו הסיבה המכון הלאומי לתקנים וטכנולוגיה הוא כבר לא ממליץ על שימוש הודעות SMS לאימות שני גורמים.
אלטרנטיבי: יצירת קודים על המכשיר שלך
ערכת אימות של שני גורמים שאינה מסתמכת על SMS היא מעולה, משום שחברת הטלפון הסלולרי לא תוכל לתת למישהו אחר גישה לקודים שלך. האפשרות הפופולרית ביותר היא אפליקציה כמו Google Authenticator. עם זאת, אנו ממליצים על Authy, שכן הוא עושה כל מה שעושה Google Authenticator ועוד.
אפליקציות כאלה יוצרות קודים במכשיר שלך. גם אם תוקף מרומה את הטלפון הסלולרי שלך החברה להעביר את מספר הטלפון שלך לטלפון שלהם, הם לא יוכלו לקבל את קודי האבטחה שלך. הנתונים הדרושים ליצירת קודים אלה יישארו בטוחים בטלפון שלך.
אתה גם לא צריך להשתמש בקודים. שירותים כמו Twitter, Google ו- Microsoft בודקים אימות מבוסס שני גורמים, המאפשר לך להיכנס במכשיר אחר על ידי מתן הרשאת הכניסה באפליקציה שלהם בטלפון.
יש גם אסימונים חומרה פיזית אתה יכול להשתמש. חברות גדולות כמו Google ו- Dropbox יישמו כבר סטנדרט חדש עבור אסימוני אימות דו-רכיביים מבוססי חומרה בשם U2F. כל אלה הם יותר מאובטח מאשר להסתמך על הטלפון הסלולרי שלך ואת רשת הטלפון המיושן.
במידת האפשר, הימנע מ- SMS לאימות של שני גורמים. זה יותר טוב מכל דבר ונראה נוח, אבל זה בדרך כלל פחות מאובטח שני גורמים גורם אימות אתה יכול לבחור.
למרבה הצער, כמה שירותים לכפות עליך להשתמש ב- SMS. אם אתה מודאג לגבי זה, תוכל ליצור מספר טלפון של Google Voice ולהעניק אותו לשירותים הדורשים אימות SMS. לאחר מכן תוכל להיכנס לחשבון Google שלך - שבו תוכל להגן באמצעות שיטת אימות מאובטחת בעלת שני גורמים - ולראות את ההודעות המאובחות באתר או באפליקציה של Google Voice. פשוט אל תעביר הודעות מ- Google Voice למספר הטלפון הנייד שלך בפועל.