보안 전문가는 2 단계 사용을 권장합니다가능한 경우 온라인 계정을 보호하기위한 인증. 많은 서비스는 기본적으로 SMS 확인으로 설정하고 로그인하려고 할 때 문자 메시지를 통해 코드를 휴대 전화로 보냅니다. 그러나 SMS 메시지에는 많은 보안 문제가 있으며 2 단계 인증을위한 가장 안전한 옵션입니다.
가장 먼저해야 할 일 : SMS는 여전히 2 단계 인증이 아닌 것보다 낫습니다!
관련 : 2 단계 인증이란 무엇이며 왜 필요한가요?
여기서 SMS에 대한 사례를 제시 할 것이지만, 우선 한 가지 분명한 점이 중요합니다. SMS를 사용하는 것이 이중 인증을 전혀 사용하지 않는 것보다 낫습니다.
이중 인증을 사용하지 않으면누군가 계정에 로그인하기 위해 비밀번호 만 있으면됩니다. SMS로 2 단계 인증을 사용하는 경우, 누군가 계정에 액세스하려면 비밀번호를 얻고 문자 메시지에 액세스해야합니다. SMS는 아무것도 아닌 것보다 훨씬 안전합니다.
SMS가 유일한 옵션 인 경우 SMS를 사용하십시오. 그러나 보안 전문가가 SMS 사용을 권장하지 않는 이유와 대신 Google이 권장하는 사항을 알아 보려면 계속 읽으십시오.
공격자가 전화 번호를 도용 할 수있는 SIM 스왑
SMS 인증 작동 방식은 다음과 같습니다. 로그인하려고하면 서비스에서 이전에 제공 한 휴대 전화 번호로 문자 메시지를 보냅니다. 휴대 전화에서 해당 코드를 가져 와서 입력 할 수 있습니다. 해당 코드는 한 번만 사용할 수 있습니다.
합리적으로 안전합니다. 결국 전화 번호 만 있고 누군가 코드를 보려면 전화 번호가 있어야합니다. 불행하게도.
누군가 귀하의 전화 번호를 알고 얻을 수있는 경우고객 데이터가 유출 된 많은 기업 및 정부 기관 덕분에 소셜 시큐리티 번호의 마지막 4 자리와 같은 개인 정보에 액세스 할 수 있습니다. 전화 회사에 연락하여 전화 번호를 새로운 번호로 옮길 수 있습니다. 전화. 이것을 "SIM 스왑"이라고하며 새 장치를 구입하고 전화 번호를 장치로 옮길 때와 동일한 프로세스입니다. 상대방이 본인이라고 말하고 개인 데이터를 제공하며 휴대 전화 회사에서 전화 번호로 휴대 전화를 설정합니다. 휴대 전화에서 전화 번호로 SMS 메시지 코드가 전송됩니다.
우리는 영국에서 공격자가 피해자의 전화 번호를 훔쳐 피해자의 은행 계좌에 액세스하는 데 사용 된 보고서를 보았습니다. 뉴욕주는 또한이 사기에 대해 경고했습니다.
핵심은 사회 공학 공격입니다그것은 당신의 휴대 전화 회사를 속이는 것에 의존합니다. 그러나 휴대 전화 회사는 우선 누군가에게 보안 코드에 대한 액세스 권한을 제공 할 수 없어야합니다!
여러 가지 방법으로 SMS 메시지를 가로 챌 수 있음
SMS 메시지를 스누핑 할 수도 있습니다. 정부가 전화 네트워크를 통해 전송되는 SMS 메시지를 가로 챌 수 있기 때문에 탄압 국가의 정치 반체제와 언론인들은 조심해야 할 것입니다. 이란 해커가이란에서 이미 발생한 것으로 보이며이란 해커가 해당 계정에 대한 액세스를 제공 한 SMS 메시지를 가로 채어 다수의 텔레 그램 메신저 계정을 손상시킨 것으로 알려졌습니다.
공격자들은 SS7에서도 문제를 악용했습니다.로밍에 사용되는 연결 시스템, 네트워크에서 SMS 메시지를 가로 채서 다른 곳으로 라우팅합니다. 가짜 휴대 전화 타워 사용을 포함하여 메시지를 가로 챌 수있는 다른 많은 방법이 있습니다. SMS 메시지는 보안을 위해 설계된 것이 아니므로 사용해서는 안됩니다.
다시 말해,예를 들어 약간의 개인 정보는 전화 번호를 가로 채서 온라인 계정에 액세스 한 다음 해당 계정을 사용하여 은행 계좌를 비울 수 있습니다. 그렇기 때문에 National Institute of Standards and Technology는 더 이상 2 단계 인증에 SMS 메시지 사용을 권장하지 않습니다.
대안 : 장치에서 코드 생성
관련 : 2 단계 인증을 위해 Authy를 설정하는 방법 (및 장치 간 코드 동기화)
그렇지 않은 이중 인증 체계휴대 전화 회사에서는 다른 사람이 귀하의 코드에 액세스 할 수 없기 때문에 SMS를 사용하는 것이 좋습니다. 가장 널리 사용되는 옵션은 Google OTP와 같은 앱입니다. 그러나 Google OTP는 Google OTP와 같은 모든 기능을 수행하므로 Authy를 권장합니다.
이와 같은 앱은 기기에서 코드를 생성합니다. 공격자가 휴대 전화 회사를 속여 전화 번호를 휴대 전화로 옮기도록 속이더라도 보안 코드를 얻을 수 없습니다. 해당 코드를 생성하는 데 필요한 데이터는 전화기에 안전하게 유지됩니다.
관련 : Google의 새로운 코드리스 2 단계 인증을 설정하는 방법
코드를 사용할 필요도 없습니다. Twitter, Google 및 Microsoft와 같은 서비스는 휴대 전화의 앱에서 로그인을 승인하여 다른 기기에서 로그인 할 수있는 앱 기반 2 단계 인증을 테스트하고 있습니다.
물리적 하드웨어 토큰도 있습니다사용하다. Google 및 Dropbox와 같은 대기업은 이미 U2F라는 하드웨어 기반 2 단계 인증 토큰에 대한 새로운 표준을 구현했습니다. 이들은 휴대 전화 회사와 오래된 전화 네트워크에 의존하는 것보다 더 안전합니다.
가능하면 2 단계 인증을 위해 SMS를 사용하지 마십시오. 아무것도 아닌 것보다 낫고 편리해 보이지만 일반적으로 선택할 수있는 가장 안전한 2 단계 인증 체계입니다.
불행하게도 일부 서비스는 SMS를 사용하도록 강요합니다. 걱정되는 경우 Google 보이스 전화 번호를 만들어 SMS 인증이 필요한 서비스에 제공 할 수 있습니다. 그런 다음 더 안전한 2 단계 인증 방법으로 보호 할 수있는 Google 계정에 로그인하여 Google 보이스 웹 사이트 또는 앱에서 보안 메시지를 확인할 수 있습니다. Google 보이스에서 실제 휴대 전화 번호로 메시지를 전달하지 마십시오.
