Zašto ne biste trebali koristiti SMS za autentifikaciju u dva faktora (i što koristiti umjesto)
Stručnjaci za sigurnost preporučuju korištenje autentifikacije u dva faktora kako biste osigurali svoje online račune gdje god je to moguće. Mnoge usluge zadane su za provjeru SMS-a, šaljući kodove putem SMS-a na telefon kada se pokušate prijaviti. No, SMS poruke imaju mnogo sigurnosnih problema i najmanje su sigurna opcija za autentifikaciju s dva faktora.
Prvo Stvari Prvo: SMS je i dalje bolji od Dvostruke autentifikacije na sve!
Dok ćemo ovdje iznijeti slučaj protiv SMS-a, važno je da prvo pojasnimo jednu stvar: korištenje SMS-a je bolje nego uopće ne koristiti autentifikaciju s dva faktora.
Ako ne upotrebljavate autentifikaciju u dva faktora, netko treba samo vašu zaporku za prijavu na svoj račun. Kada koristite provjeru autentičnosti u dva faktora pomoću SMS-a, netko će morati prikupiti vašu zaporku i dobiti pristup vašim tekstualnim porukama kako bi dobio pristup vašem računu. SMS je mnogo sigurniji nego ništa.
Ako je SMS vaša jedina opcija, koristite SMS. Međutim, ako želite saznati zašto stručnjaci za sigurnost preporučuju izbjegavanje SMS poruka i ono što preporučujemo umjesto toga, pročitajte dalje.
SIM zamjene Dopustite napadačima da ukradu vaš telefonski broj
Evo kako funkcionira provjera SMS-a: kada se pokušate prijaviti, usluga šalje tekstualnu poruku na broj mobilnog telefona koji ste prethodno dodali. Taj kod dobivate na svom telefonu i unosite ga kako biste se prijavili. Taj je kôd dobar samo za jednokratnu upotrebu.
Zvuči razumno sigurno. Uostalom, samo vi imate svoj telefonski broj i netko mora imati vaš telefon da vidi desno kod? Nažalost ne.
Ako netko zna vaš telefonski broj i može dobiti pristup osobnim podacima kao što su posljednje četiri znamenke vašeg socijalnog broja - na žalost, to je lako pronaći zahvaljujući brojnim korporacijama i vladinim agencijama koje su procurile podatke o klijentu - mogu kontaktirati vaš telefon tvrtke i premjestite svoj broj telefona na novi telefon. To je poznato kao "zamjena SIM-a" i isti je postupak koji izvršavate kada kupite novi uređaj i premjestite ga na telefon. Osoba kaže da ste vi, daje osobne podatke, a vaša tvrtka mobitela postavlja svoj telefon s vašim telefonskim brojem. Kodove SMS poruka bit će poslane na vaš telefonski broj na telefon.
Vidjeli smo izvješća o tome u Velikoj Britaniji, gdje su napadači ukrali broj telefona žrtve i iskoristili ga za pristup bankovnom računu žrtve. Država New York također je upozorila na tu prijevaru.
U svojoj srži, ovo je napad socijalnog inženjeringa koji se oslanja na prevaru tvrtke za mobilni telefon. Ali vaša tvrtka mobitela ne bi trebala biti u mogućnosti pružiti nekome pristup vašim sigurnosnim kodovima na prvom mjestu!
SMS poruke mogu se presresti u mnogo načina
Također je moguće njuškati SMS porukama. Politički disidenti i novinari u represivnim zemljama htjet će biti oprezni, jer vlada može oteti SMS poruke dok ih šalju putem telefonske mreže. To se već dogodilo u Iranu, gdje su iranski hakeri navodno kompromitirali brojne račune telegramskih glasnika presretanjem SMS poruka koje su omogućile pristup tim računima..
Napadači su također zloupotrijebili probleme u sustavu SS7, sustavu povezivanja koji se koristi za roaming, za presretanje SMS poruka na mreži i njihovo usmjeravanje negdje drugdje. Postoje mnogi drugi načini na koje se poruke mogu presresti, uključujući i korištenje lažnih tornjeva za mobitele. SMS poruke nisu dizajnirane za sigurnost i ne bi se trebale koristiti za njega.
Drugim riječima, sofisticirani napadač s malo osobnih podataka može oteti vaš telefonski broj kako bi dobio pristup vašim online računima, a zatim pomoću tih računa pokušao iscrpiti bankovne račune, na primjer. Zato Nacionalni institut za standarde i tehnologiju više ne preporučuje korištenje SMS poruka za autentifikaciju u dva faktora.
Alternativa: generiranje kodova na uređaju
Shema autentifikacije s dva faktora koja se ne oslanja na SMS je superiornija, jer tvrtka za mobitele neće moći dati nekom drugom pristup vašim kodovima. Najpopularnija opcija za to je aplikacija kao što je Google Authenticator. Međutim, preporučujemo Authy, jer čini sve što Google Autentifikator radi i još mnogo toga.
Aplikacije poput ove generiraju kodove na vašem uređaju. Čak i ako je napadač prevario vašu tvrtku mobilnog telefona u premještanje vašeg telefonskog broja na telefon, oni ne bi mogli dobiti vaše sigurnosne kodove. Podaci koji su potrebni za generiranje tih kodova ostat će sigurno na vašem telefonu.
Ne morate koristiti ni kodove. Usluge kao što su Twitter, Google i Microsoft ispituju dvosmjernu autentifikaciju temeljenu na aplikacijama koja vam omogućuje prijavu na drugi uređaj autoriziranjem prijave u aplikaciji na telefonu.
Postoje i fizički hardverski tokeni koje možete koristiti. Velike tvrtke kao što su Google i Dropbox već su uvele novi standard za hardverske znakove za provjeru autentičnosti u dva faktora pod nazivom U2F. Sve su to sigurnije od oslanjanja na tvrtku za mobitele i zastarjelu telefonsku mrežu.
Ako je moguće, izbjegavajte SMS za autentifikaciju s dva faktora. To je bolje nego ništa i čini se prikladnim, ali to je obično najsigurnija dvofaktorska shema autentifikacije koju možete odabrati.
Nažalost, neke usluge prisiljavaju vas da koristite SMS. Ako vas to brine, možete stvoriti telefonski broj za Google Voice i dati ga uslugama koje zahtijevaju provjeru SMS-a. Potom se možete prijaviti na svoj Google račun - koji možete zaštititi sigurnijom metodom provjere autentičnosti u dva faktora - i vidjeti sigurne poruke na web-lokaciji ili aplikaciji usluge Google Voice. Samo nemojte slati poruke s usluge Google Voice na stvarni broj mobitela.