Οι ειδικοί ασφαλείας συστήνουν τη χρήση δύο παραγόντωνέλεγχο ταυτότητας για να εξασφαλίσετε τους λογαριασμούς σας στο διαδίκτυο όποτε είναι δυνατόν. Πολλές υπηρεσίες προεπιλογών για την επαλήθευση μέσω SMS, αποστέλλοντας κωδικούς μέσω μηνύματος κειμένου στο τηλέφωνό σας όταν προσπαθείτε να συνδεθείτε. Τα μηνύματα SMS έχουν όμως πολλά προβλήματα ασφάλειας και είναι η λιγότερο ασφαλή επιλογή για έλεγχο ταυτότητας δύο παραγόντων.
Πρώτα πρώτα πράγματα: Το SMS είναι ακόμα καλύτερο από ό, τι κανένας έλεγχος ταυτότητας δύο παραγόντων σε όλους!
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί το χρειάζομαι;
Ενώ πρόκειται να διατυπώσουμε την υπόθεση ενάντια σε SMS εδώ, είναι σημαντικό να κάνουμε πρώτα ένα πράγμα σαφές: Χρησιμοποιώντας το SMS είναι καλύτερο από το να μην χρησιμοποιείτε ταυτότητα δύο παραγόντων καθόλου.
Όταν δεν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων,κάποιος χρειάζεται μόνο τον κωδικό πρόσβασής σας για να συνδεθεί στο λογαριασμό σας. Όταν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων με SMS, κάποιος θα πρέπει να αποκτήσει τον κωδικό πρόσβασής σας και να αποκτήσει πρόσβαση στα μηνύματα κειμένου σας για να αποκτήσει πρόσβαση στο λογαριασμό σας. Το SMS είναι πολύ πιο ασφαλές από το τίποτα.
Εάν το SMS είναι η μόνη σας επιλογή, χρησιμοποιήστε SMS. Ωστόσο, αν θέλετε να μάθετε γιατί οι ειδικοί ασφαλείας συστήνουν την αποφυγή SMS και αυτό που προτείνουμε αντ 'αυτού, διαβάστε παρακάτω.
Οι ανταλλαγές SIM επιτρέπουν στους επιτιθέμενους να κλέψουν τον αριθμό τηλεφώνου σας
Δείτε πώς λειτουργεί η επαλήθευση SMS: Όταν προσπαθείτε να συνδεθείτε, η υπηρεσία αποστέλλει ένα μήνυμα κειμένου στον αριθμό κινητού τηλεφώνου που σας παρείχε προηγουμένως. Παίρνετε αυτόν τον κωδικό στο τηλέφωνό σας και πληκτρολογήστε τον για να συνδεθείτε. Ο κώδικας αυτός είναι καλός μόνο για μία μόνο χρήση.
Ακούγεται λογικά ασφαλής. Μετά από όλα, μόνο εσείς έχετε τον αριθμό τηλεφώνου σας και κάποιος πρέπει να έχει το τηλέφωνό σας για να δει τον κώδικα-δεξιά; Δυστυχώς όχι.
Εάν κάποιος γνωρίζει τον αριθμό τηλεφώνου σας και μπορεί να πάρειπρόσβαση σε προσωπικές πληροφορίες όπως τα τελευταία τέσσερα ψηφία του αριθμού κοινωνικής ασφάλισης - δυστυχώς, αυτό είναι εύκολο να βρεθεί χάρη στις πολλές εταιρείες και κρατικές υπηρεσίες που έχουν διαρρεύσει δεδομένα πελατών - μπορούν να επικοινωνήσουν με την τηλεφωνική σας εταιρεία και να μεταφέρουν τον αριθμό τηλεφώνου σας σε ένα νέο τηλέφωνο. Αυτό είναι γνωστό ως "ανταλλαγή SIM" και είναι η ίδια διαδικασία που εκτελείτε όταν αγοράζετε μια νέα συσκευή και μεταφέρετε τον αριθμό του τηλεφώνου σε αυτήν. Το άτομο λέει ότι είστε εσείς, παρέχει τα προσωπικά σας δεδομένα και η εταιρεία κινητής τηλεφωνίας σας δημιουργεί το τηλέφωνό σας με τον αριθμό τηλεφώνου σας. Θα λάβουν τους κωδικούς μηνυμάτων SMS που αποστέλλονται στον αριθμό τηλεφώνου σας στο τηλέφωνό τους.
Έχουμε δει αναφορές αυτού του γεγονότος στο Ηνωμένο Βασίλειο, όπου οι επιτιθέμενοι έκλεψαν τον τηλεφωνικό αριθμό ενός θύματος και το χρησιμοποίησαν για να αποκτήσουν πρόσβαση στον τραπεζικό λογαριασμό του θύματος. Το κράτος της Νέας Υόρκης έχει επίσης προειδοποιήσει για αυτή την απάτη.
Στον πυρήνα της, αυτή είναι μια επίθεση κοινωνικής μηχανικήςπου βασίζεται στην εξαπάτηση της εταιρείας κινητής τηλεφωνίας σας. Αλλά η εταιρεία κινητής τηλεφωνίας σας δεν θα πρέπει να είναι σε θέση να παρέχει σε κάποιον πρόσβαση στους κωδικούς ασφαλείας σας στην πρώτη θέση!
Τα μηνύματα SMS μπορούν να παρεμποδιστούν με πολλούς τρόπους
Είναι επίσης δυνατή η παρακολούθηση μηνυμάτων SMS. Οι πολιτικοί αντιφρονούντες και δημοσιογράφοι στις κατασταλτικές χώρες θα θέλουν να είναι προσεκτικοί, καθώς η κυβέρνηση θα μπορούσε να πειραματιστεί με μηνύματα SMS καθώς αποστέλλονται μέσω του τηλεφωνικού δικτύου. Αυτό έχει ήδη συμβεί στο Ιράν, όπου ιρανοί χάκερ ανέφεραν ότι παραβίασαν ορισμένους λογαριασμούς τηλεγραφικών μηνυμάτων, παρεμποδίζοντας τα μηνύματα SMS που παρείχαν πρόσβαση στους λογαριασμούς αυτούς.
Οι επιτιθέμενοι έχουν επίσης καταχραστεί τα προβλήματα στο SS7, τοτο σύστημα σύνδεσης που χρησιμοποιείται για περιαγωγή, να παρεμποδίζει μηνύματα SMS στο δίκτυο και να τα δρομολογεί αλλού. Υπάρχουν πολλοί άλλοι τρόποι με τους οποίους μπορούν να παρεμποδιστούν τα μηνύματα, συμπεριλαμβανομένης της χρήσης ψευδών πύργων κινητής τηλεφωνίας. Τα μηνύματα SMS δεν σχεδιάστηκαν για ασφάλεια και δεν πρέπει να χρησιμοποιούνται για αυτό.
Με άλλα λόγια, ένας εξελιγμένος επιτιθέμενος με έναbit προσωπικών πληροφοριών θα μπορούσε να καταλάβει τον αριθμό τηλεφώνου σας για να αποκτήσετε πρόσβαση στους λογαριασμούς σας στο διαδίκτυο και, στη συνέχεια, να χρησιμοποιήσετε αυτούς τους λογαριασμούς για να προσπαθήσετε να αποστραγγίσετε τους τραπεζικούς λογαριασμούς σας, για παράδειγμα. Αυτός είναι ο λόγος για τον οποίο το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας δεν συνιστά πλέον τη χρήση μηνυμάτων SMS για έλεγχο ταυτότητας δύο παραγόντων.
Η εναλλακτική λύση: Δημιουργία κωδικών στη συσκευή σας
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Τρόπος ρύθμισης της αυθεντικότητας για έλεγχο ταυτότητας δύο παραγόντων (και συγχρονισμός κωδικών μεταξύ συσκευών)
Ένα σύστημα ελέγχου ταυτότητας δύο παραγόντων που δεν το κάνειβασίζονται σε SMS είναι ανώτερη, επειδή η εταιρεία κινητής τηλεφωνίας δεν θα είναι σε θέση να δώσει σε κάποιον άλλο πρόσβαση στους κωδικούς σας. Η πιο δημοφιλής επιλογή για αυτό είναι μια εφαρμογή όπως ο Επαληθευτής Google. Ωστόσο, συνιστούμε την Authy, καθώς κάνει ό, τι κάνει ο Google Authenticator και πολλά άλλα.
Οι εφαρμογές όπως αυτή δημιουργούν κώδικες στη συσκευή σας. Ακόμα κι αν ένας εισβολέας εξαπάτησε την εταιρεία κινητής τηλεφωνίας να μετακινήσει τον αριθμό τηλεφώνου στο τηλέφωνό του, δεν θα ήταν σε θέση να πάρει τους κωδικούς ασφαλείας. Τα δεδομένα που απαιτούνται για τη δημιουργία αυτών των κωδικών θα παραμείνουν με ασφάλεια στο τηλέφωνό σας.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς να ρυθμίσετε τον νέο κώδικα της Google με λιγότερο από δύο παράγοντες
Επίσης, δεν χρειάζεται να χρησιμοποιείτε κωδικούς. Υπηρεσίες όπως το Twitter, το Google και η Microsoft δοκιμάζουν έλεγχο ταυτότητας δύο παραμέτρων βασισμένη σε εφαρμογές, η οποία σας επιτρέπει να συνδεθείτε σε άλλη συσκευή, επιτρέποντας τη σύνδεση στην εφαρμογή τους στο τηλέφωνό σας.
Υπάρχουν επίσης φυσικές μάρκες υλικού που μπορείτεχρήση. Μεγάλες εταιρείες, όπως το Google και το Dropbox, έχουν ήδη εφαρμόσει ένα νέο πρότυπο για μάρκες υλικού που βασίζονται σε υλικό δύο φάσεων με όνομα U2F. Όλα αυτά είναι ασφαλέστερα από το να βασίζεστε στην εταιρεία κινητής τηλεφωνίας σας και στο παλιό τηλεφωνικό δίκτυο.
Εάν είναι δυνατόν, αποφύγετε τα SMS για έλεγχο ταυτότητας δύο παραγόντων. Είναι καλύτερα από τίποτα και φαίνεται βολικό, αλλά είναι συνήθως το λιγότερο ασφαλές σύστημα ελέγχου ταυτότητας δύο παραγόντων που μπορείτε να επιλέξετε.
Δυστυχώς, ορισμένες υπηρεσίες σας αναγκάζουν να χρησιμοποιείτε SMS. Αν ανησυχείτε για αυτό, μπορείτε να δημιουργήσετε έναν αριθμό τηλεφώνου Google Voice και να τον δώσετε σε υπηρεσίες που απαιτούν έλεγχο ταυτότητας μέσω SMS. Θα μπορούσατε στη συνέχεια να συνδεθείτε στο λογαριασμό σας στο Google - τον οποίο μπορείτε να προστατεύσετε με ασφαλέστερη μέθοδο ελέγχου ταυτότητας δύο παραγόντων - και να δείτε τα ασφαλή μηνύματα στον ιστότοπο ή την εφαρμογή Google Voice. Απλά μην προωθείτε μηνύματα από το Google Voice στον πραγματικό αριθμό κινητού τηλεφώνου σας.
