Домашняя » как » Почему вы не должны использовать SMS для двухфакторной аутентификации (и что использовать вместо)

    Почему вы не должны использовать SMS для двухфакторной аутентификации (и что использовать вместо)

    Эксперты по безопасности рекомендуют использовать двухфакторную аутентификацию для обеспечения безопасности ваших учетных записей в Интернете, где это возможно. Многие службы по умолчанию проверяют SMS, отправляя коды с помощью текстовых сообщений на телефон, когда вы пытаетесь войти. Но SMS-сообщения имеют много проблем с безопасностью и являются наименее безопасным вариантом для двухфакторной аутентификации..

    Перво наперво: SMS еще лучше, чем двухфакторная аутентификация вообще!

    Хотя мы собираемся изложить здесь ситуацию с SMS, важно сначала прояснить одну вещь: лучше использовать SMS, чем вообще не использовать двухфакторную аутентификацию..

    Если вы не используете двухфакторную аутентификацию, кому-то нужен только ваш пароль для входа в вашу учетную запись. Когда вы используете двухфакторную аутентификацию с помощью SMS, кто-то должен будет как получить ваш пароль, так и получить доступ к вашим текстовым сообщениям, чтобы получить доступ к вашей учетной записи. СМС намного безопаснее, чем ничего.

    Если SMS является единственным вариантом, пожалуйста, используйте SMS. Однако, если вы хотите узнать, почему эксперты по безопасности рекомендуют избегать SMS и что мы рекомендуем вместо этого, читайте дальше.

    SIM-карты позволяют злоумышленникам украсть ваш номер телефона

    Вот как работает проверка SMS: когда вы пытаетесь войти в систему, служба отправляет текстовое сообщение на номер мобильного телефона, который вы им ранее предоставили. Вы получаете этот код на свой телефон и вводите его для входа. Этот код подходит только для одноразового использования..

    Это звучит достаточно безопасно. В конце концов, только у вас есть номер телефона, а кто-то должен иметь ваш телефон, чтобы увидеть код, верно? К сожалению нет.

    Если кто-то знает ваш номер телефона и может получить доступ к личной информации, такой как последние четыре цифры вашего номера социального страхования - к сожалению, это будет легко найти благодаря множеству корпораций и государственных учреждений, которые утекли данные о клиентах - они могут связаться с вашим телефоном компания и перенести свой номер телефона на новый телефон. Это называется «замена SIM-карты», и это тот же процесс, который вы выполняете при покупке нового устройства и переносе на него номера телефона. Человек говорит, что это вы, предоставляет персональные данные, и ваша сотовая компания настраивает свой телефон с вашим номером телефона. Они получат коды SMS-сообщений, отправленные на ваш номер телефона, на свой телефон..

    Мы видели сообщения об этом в Великобритании, где злоумышленники украли номер телефона жертвы и использовали его, чтобы получить доступ к банковскому счету жертвы. Штат Нью-Йорк также предупредил об этой афере.

    По своей сути, это атака социальной инженерии, которая основывается на обмане вашей сотовой компании. Но ваша сотовая компания не должна быть в состоянии предоставить кому-то доступ к вашим кодам безопасности.!

    SMS-сообщения могут быть перехвачены разными способами

    Также можно отслеживать SMS-сообщения. Политические диссиденты и журналисты в репрессивных странах захотят быть осторожными, поскольку правительство может перехватывать SMS-сообщения, когда они отправляются через телефонную сеть. Это уже произошло в Иране, где, как сообщается, иранские хакеры взломали несколько учетных записей Telegram, перехватив SMS-сообщения, обеспечивающие доступ к этим учетным записям..

    Злоумышленники также злоупотребляли проблемами в SS7, системе соединений, используемой для роуминга, для перехвата SMS-сообщений в сети и маршрутизации их в других местах. Существует много других способов перехвата сообщений, в том числе с использованием поддельных вышек сотовой связи. SMS-сообщения не были предназначены для безопасности и не должны использоваться для этого.

    Другими словами, искушенный злоумышленник с небольшим количеством личной информации может взломать ваш номер телефона, чтобы получить доступ к вашим онлайн-счетам, а затем, например, использовать эти учетные записи, чтобы попытаться опустошить ваши банковские счета. Вот почему Национальный институт стандартов и технологий больше не рекомендует использовать SMS-сообщения для двухфакторной аутентификации..

    Альтернатива: создание кодов на вашем устройстве

    Схема двухфакторной аутентификации, не основанная на SMS, является превосходной, потому что сотовая компания не сможет предоставить кому-либо доступ к вашим кодам. Наиболее популярным вариантом для этого является приложение, такое как Google Authenticator. Тем не менее, мы рекомендуем Authy, так как он делает все, что делает Google Authenticator и многое другое.

    Такие приложения генерируют коды на вашем устройстве. Даже если злоумышленник обманом заставит вашу сотовую компанию перевести ваш номер телефона на свой телефон, он не сможет получить ваши коды безопасности. Данные, необходимые для генерации этих кодов, будут надежно храниться на вашем телефоне..

     

    Вам также не нужно использовать коды. Такие сервисы, как Twitter, Google и Microsoft, тестируют двухфакторную аутентификацию на основе приложений, которая позволяет вам входить на другое устройство, авторизуя вход в их приложение на вашем телефоне..

    Есть также физические аппаратные токены, которые вы можете использовать. Крупные компании, такие как Google и Dropbox, уже внедрили новый стандарт аппаратных маркеров двухфакторной аутентификации под названием U2F. Все это более безопасно, чем полагаться на вашу сотовую компанию и устаревшую телефонную сеть..

    Если возможно, избегайте SMS для двухфакторной аутентификации. Это лучше, чем ничего и кажется удобным, но обычно это наименее безопасная схема двухфакторной аутентификации, которую вы можете выбрать.

    К сожалению, некоторые сервисы заставляют вас использовать SMS. Если вас это беспокоит, вы можете создать номер телефона Google Voice и предоставить его службам, которые требуют аутентификации по SMS. Затем вы можете войти в свою учетную запись Google, которую вы можете защитить с помощью более безопасного метода двухфакторной аутентификации, и просмотреть защищенные сообщения на веб-сайте или в приложении Google Voice. Только не пересылайте сообщения из Google Voice на ваш фактический номер мобильного телефона.