Drošības eksperti iesaka izmantot divus faktorusautentifikācija, lai pēc iespējas aizsargātu savus tiešsaistes kontus. Daudzi pakalpojumi pēc noklusējuma ir SMS verificēšana, kodu sūtīšana, izmantojot īsziņu, uz tālruni, kad mēģināt pierakstīties. Bet SMS īsziņām ir daudz drošības problēmu, un tās ir vismazāk drošās iespējas divu faktoru autentifikācijai.
Pirmās lietas: SMS joprojām ir labāka nekā divu faktoru autentifikācija.
SAISTĪTI: Kas ir divu faktoru autentifikācija un kāpēc man tā nepieciešama?
Kamēr mēs šeit izskatīsim lietu pret SMS, ir svarīgi vispirms skaidri pateikt: īsziņu lietošana ir labāka nekā divu faktoru autentifikācijas nelietošana.
Ja neizmantojat divu faktoru autentifikāciju,kādam nepieciešama tikai jūsu parole, lai pierakstītos jūsu kontā. Ja jūs izmantojat divu faktoru autentifikāciju ar SMS, kādam būs jāiegūst gan jūsu parole, gan jāpiekļūst jūsu īsziņām, lai piekļūtu jūsu kontam. SMS ir daudz drošāka nekā vispār.
Ja īsziņa ir vienīgā iespēja, lūdzu, izmantojiet īsziņu. Tomēr, ja vēlaties uzzināt, kāpēc drošības eksperti iesaka izvairīties no īsziņām, un to, ko mēs iesakām, izlasiet tālāk.
SIM mijmaiņas darījumi ļauj uzbrucējiem nozagt jūsu tālruņa numuru
SMS darbība darbojas šādi: Mēģinot pierakstīties, pakalpojums nosūta īsziņu uz mobilā tālruņa numuru, kuru iepriekš esat viņiem norādījis. Jūs saņemat šo kodu tālrunī un ievadāt to, lai pierakstītos. Šis kods ir labs tikai vienreizējai lietošanai.
Tas izklausās samērā droši. Galu galā tikai jums ir savs tālruņa numurs, un kādam ir jābūt jūsu tālrunim, lai redzētu kodu - vai ne? Diemžēl nē.
Ja kāds zina jūsu tālruņa numuru un var saņemtpiekļuvi personiskai informācijai, piemēram, jūsu sociālā nodrošinājuma numura pēdējiem četriem cipariem - diemžēl to ir viegli atrast, pateicoties daudzajām korporācijām un valdības aģentūrām, kas ir noplūdušas klientu datus, - tās var sazināties ar jūsu telefona uzņēmumu un pārvietot jūsu tālruņa numuru uz jaunu tālrunis. To sauc par “SIM apmaiņu”, un tas ir tas pats process, kuru veicat, iegādājoties jaunu ierīci un pārvietojot uz to savu tālruņa numuru. Persona saka, ka viņi esat jūs, sniedz personiskos datus, un jūsu mobilo tālruņu uzņēmums izveido viņu tālruni ar jūsu tālruņa numuru. Viņi saņems īsziņu kodus, kas nosūtīti uz jūsu tālruņa numuru savā tālrunī.
Mēs esam redzējuši ziņojumus par šo notikumu Lielbritānijā, kur uzbrucēji nozaga upura tālruņa numuru un izmantoja to, lai piekļūtu upura bankas kontam. Arī Ņujorkas štats ir brīdinājis par šo izkrāpšanu.
Tās pamatā ir sociālās inženierijas uzbrukumskas paļaujas uz jūsu mobilo tālruņu uzņēmuma maldināšanu. Bet jūsu mobilo tālruņu uzņēmums, pirmkārt, nedrīkstētu kādam nodrošināt piekļuvi jūsu drošības kodiem!
Īsziņas var pārtvert daudzos veidos
Ir iespējams arī snaust īsziņas. Politiskie disidenti un žurnālisti represīvās valstīs vēlēsies būt uzmanīgi, jo valdība varētu nolaupīt īsziņas, kad tās tiek sūtītas pa tālruņu tīklu. Tas jau ir noticis Irānā, kur Irānas hakeri, kā ziņots, ir apdraudējuši vairākus Telegram sūtītāju kontus, pārtverot īsziņas, kas nodrošināja piekļuvi šiem kontiem.
Uzbrucēji ir arī ļaunprātīgi izmantojuši problēmas SS7,savienojuma sistēma, ko izmanto viesabonēšanai, lai pārtvertu SMS īsziņas tīklā un novirzītu tos citur. Ir daudz citu iespēju, kā ziņojumus pārtvert, tostarp izmantojot viltotus mobilo tālruņu torņus. SMS īsziņas nebija paredzētas drošībai, un to nevajadzētu tām izmantot.
Citiem vārdiem sakot, sarežģīts uzbrucējs armazliet personiskas informācijas varētu nolaupīt jūsu tālruņa numuru, lai piekļūtu jūsu tiešsaistes kontiem un pēc tam izmantot šos kontus, lai, piemēram, mēģinātu iztukšot savus bankas kontus. Tāpēc Nacionālais standartu un tehnoloģijas institūts vairs neiesaka īsziņu izmantošanu divu faktoru autentifikācijai.
Alternatīva: ģenerējiet kodus ierīcē
SAISTĪTI: Kā iestatīt authy divfaktoru autentifikācijai (un sinhronizēt kodus starp ierīcēm)
Divfaktoru autentifikācijas shēma, kuras navpaļauties uz SMS ir pārāks, jo mobilo tālruņu uzņēmums nevarēs kādam citam piekļūt jūsu kodiem. Vispopulārākā opcija tam ir tāda lietotne kā Google Authenticator. Tomēr mēs iesakām Authy, jo tas dara visu, ko dara Google Authenticator, un vēl vairāk.
Šādas lietotnes ģenerē kodus jūsu ierīcē. Pat ja uzbrucējs pamudināja jūsu mobilo telefonu kompāniju pārvietot jūsu tālruņa numuru uz viņu tālruni, viņš nevarētu iegūt jūsu drošības kodus. Dati, kas nepieciešami šo kodu ģenerēšanai, droši atradīsies jūsu tālrunī.
SAISTĪTI: Kā iestatīt Google jauno divfaktoru autentifikāciju bez koda
Jums arī nav jāizmanto kodi. Tādi pakalpojumi kā Twitter, Google un Microsoft testē uz lietotnēm balstītu divu faktoru autentifikāciju, kas ļauj pierakstīties citā ierīcē, atļaujot pierakstīšanos viņu tālruņa lietotnē.
Ir arī fiziskas aparatūras pilnvaras, kuras varat izmantotizmantot. Lielie uzņēmumi, piemēram, Google un Dropbox, jau ir ieviesuši jaunu uz aparatūru balstītu divu faktoru autentifikācijas marķieru standartu ar nosaukumu U2F. Tie visi ir daudz drošāk nekā paļaušanās uz jūsu mobilo tālruņu uzņēmumu un novecojušo tālruņu tīklu.
Ja iespējams, izvairieties no īsziņām divfaktoru autentifikācijai. Tas ir labāk nekā nekas un šķiet ērts, taču parasti tā ir vismazāk drošā divu faktoru autentifikācijas shēma, kuru varat izvēlēties.
Diemžēl daži pakalpojumi piespiež izmantot SMS. Ja jūs uztraucaties par to, varat izveidot Google Voice tālruņa numuru un piešķirt to pakalpojumiem, kuriem nepieciešama SMS autentifikācija. Pēc tam jūs varētu pierakstīties savā Google kontā, kuru varat aizsargāt ar drošāku divu faktoru autentifikācijas metodi, un apskatīt drošos ziņojumus Google Voice vietnē vai lietotnē. Nepārsūtiet ziņojumus no Google Voice tikai uz jūsu faktisko mobilā tālruņa numuru.
