Skip to main content

Miksi sinun ei pitäisi käyttää tekstiviestiä kahdensuuntaiselle todentamiselle (ja mitä käyttää sen sijaan)

Miksi sinun ei pitäisi käyttää tekstiviestiä kahdensuuntaiselle todentamiselle (ja mitä käyttää sen sijaan)

Geoffrey Carr

Suojausasiantuntijat suosittelevat kaksitasoisen todennuksen käyttämistä verkkotiliensa suojelemiseksi aina, kun se on mahdollista. Monet palvelut oletusarvoisesti lähettävät tekstiviestejä puhelimeen, kun yrität kirjautua sisään. Mutta tekstiviesteillä on paljon tietoturvaongelmia ja ne ovat vähiten turvattu vaihtoehto kahden tekijän todennusta varten.

Ensimmäiset asiat ensiksi: SMS on edelleen parempi kuin kahden tekijän todennus kaikilla!

Samalla, kun aiomme laatia tekstiviestiä vastaan, on tärkeätä tehdä selväksi eräs asia: tekstiviestien käyttäminen on parempi kuin kahden tekijän todentamisen käyttämistä lainkaan.

Kun et käytä kaksitasoista todennusta, joku tarvitsee vain salasanasi kirjautumalla tiliisi. Kun käytät kaksitasoista todennusta tekstiviestillä, joku tarvitsee sekä hankkimaan salasanasi että pääsemään tekstiviesteihisi, jotta pääset käsiksi tiliisi. SMS on paljon turvallisempi kuin mikään ei ollenkaan.

Jos SMS on ainoa vaihtoehto, käytä tekstiviestejä. Jos haluat kuitenkin tietää, miksi turvallisuusasiantuntijat suosittelevat tekstiviestien välttämistä ja suosittelemme sitä, lue lisää.

SIM-swapit sallivat hyökkääjän varastaa puhelinnumerosi

Näin SMS-vahvistus toimii: Kun yrität kirjautua sisään, palvelu lähettää tekstiviestin siihen matkapuhelinnumeroon, jonka olet antanut aiemmin. Saat koodin puhelimeesi ja kirjoita se kirjautumiseen. Tämä koodi on vain yhtä käyttökertaa varten.

Se kuulostaa melko turvalliselta. Loppujen lopuksi sinulla on vain puhelinnumerosi ja jollakin puhelimella täytyy olla koodi, joka on oikein? Valitettavasti ei.

Jos joku tietää puhelinnumerosi ja pääsee käsiksi henkilökohtaisiin tietoihisi, kuten sosiaaliturvatunnuksen neljä viimeistä numeroa - valitettavasti tämä on helppo löytää monien yritysten ja julkishallinnon virastojen ansiosta, jotka ovat vuotaneet asiakastietoja - he voivat ottaa yhteyttä puhelimeesi ja siirrä puhelinnumerosi uuteen puhelimeen. Tätä kutsutaan "SIM-swapiksi" ja se on sama prosessi, jota teet, kun ostat uuden laitteen ja siirrät puhelinnumerosi siihen. Henkilö sanoo, että olet sinä, antaa henkilökohtaiset tiedot, ja matkapuhelinyhtiö asettaa puhelimen puhelinnumerosi kanssa. He saavat tekstiviestikoodit, jotka lähetetään puhelinnumerosi puhelimeesi.

Olemme nähneet raportteja tästä tapahtumasta Isossa-Britanniassa, jossa hyökkääjät tappoivat uhrin puhelinnumeron ja käyttivät sitä pääsemään uhrin pankkitilille. New Yorkin valtio on myös varoittanut tästä huijauksesta.

Sen ytimessä tämä on sosiaalisen tekniikan hyökkäys, joka tukeutuu matkapuhelinyrityksen tekemiseen. Mutta matkapuhelinyrityksesi ei saisi tarjota jollekulle pääsyä turvakoodeihisi ensiksi!

Tekstiviestejä voidaan siepata monin tavoin

On myös mahdollista saada snoop tekstiviesteihin. Poliittiset toisinajattelijat ja toimittajat tukahduttavissa maissa haluavat olla varovainen, koska hallitus voi kaapata tekstiviestit, kun ne lähetetään puhelinverkon kautta. Tämä on jo tapahtunut Iranissa, jossa iranilaiset hakkerit raportoivat heikensivät useita Telegram messenger-tilejä salaamalla tekstiviestit, jotka antoivat pääsyn näille tileille.

Hyökkääjät ovat myös käyttäneet väärinkäytöksiä SS7: ssä, verkkovierailussa käytetyn yhteysjärjestelmän, verkkoviestintäsegmenttien sieppaamiseen ja reitittämiseen muualle. On olemassa monia muita tapoja, joilla viestit voidaan piilottaa, mukaan lukien väärennetyt matkapuhelin tornit. Tekstiviestejä ei ole suunniteltu turvallisuutta varten, eikä niitä pitäisi käyttää siihen.

Toisin sanoen hienostunut hyökkääjä, jolla on vähän henkilökohtaisia ​​tietoja, voi kaapata puhelinnumerosi päästäkseen verkkotiliisi ja käyttää näitä tilejä esimerkiksi yrittäessään tyhjentää pankkitilisi. Siksi National Institute of Standards and Technology ei enää suosittele tekstiviestien käyttöä kaksitekijänä toimivalle todentamiselle.

Vaihtoehto: Luo koodit laitteellasi

Kaksitasoinen todennustekniikka, joka ei tue tekstiviestejä, on erinomainen, koska matkapuhelinyhtiö ei pysty antamaan jollekulle muuta pääsyä koodeihisi. Tämän suosituin vaihtoehto on sovellus, kuten Google Authenticator. Suosittelemme kuitenkin Authyä, koska se tekee kaiken Google Authenticatorin ja paljon muuta.

Tällaiset sovellukset tuottavat koodeja laitteellasi. Vaikka hyökkääjä olisi halunnut matkapuhelinyrityksesi siirtämään puhelinnumeron puhelimeesi, he eivät pystyisi saamaan suojauskoodeja. Näiden koodien luomiseen tarvittavat tiedot pysyvät turvallisesti puhelimeesi.

 

Sinun ei myöskään tarvitse käyttää koodeja. Palvelut kuten Twitter, Google ja Microsoft testaavat sovellusperustaista kaksitasoista todennusta, jonka avulla voit kirjautua sisään toisessa laitteessa sallimalla kirjautumissovelluksen sovelluksessa puhelimeesi.

Voit käyttää myös fyysisiä laitteistokoodeja. Suuret yritykset, kuten Google ja Dropbox, ovat jo ottaneet käyttöön uuden standardin laitteistopohjaisille kaksitekijäisten todennusmerkkien nimelle U2F. Nämä ovat turvallisempia kuin turvautumaan matkapuhelinyritykseen ja vanhentuneeseen puhelinverkkoon.

Jos mahdollista, vältä tekstiviestejä kahden tekijän todennusta varten. Se on parempi kuin mikään eikä se näytä sopivalta, mutta se on tavallisesti vähiten turvallinen kaksitekijäinen todentamisohjelma, jonka voit valita.

Valitettavasti jotkut palvelut pakottavat käyttämään tekstiviestejä. Jos olet huolissasi tästä, voit luoda Google Voice -puhelinnumeron ja antaa sen palveluille, jotka edellyttävät tekstiviestitodennusta. Voit sitten kirjautua Google-tiliisi, jota voit suojata turvallisemmalla kaksitasoisella todennustekniikalla, ja katso suojattuja viestejä Google Voice -sivustossa tai -sovelluksessa. Älä lähetä viestejä Google Voice -palvelusta todelliseen matkapuhelinnumeroosi.

Link
Plus
Send
Send
Pin