Säkerhetsexperter rekommenderar att du använder två-faktor autentisering för att säkra dina online-konton där det är möjligt. Många tjänster som standard SMS-verifiering, skicka koder via sms till telefonen när du försöker logga in. Men SMS-meddelanden har en hel del problem med säkerhet, och är den minst säkra alternativet för två-faktor autentisering.
Första Saker Först: SMS Är Fortfarande Bättre Än Ingen Två-Faktor Autentisering på Alla!
RELATERAD ARTIKEL
Samtidigt som vi kommer att lägga ut ett mål mot SMS här, det är viktigt att vi först klargöra en sak: med Hjälp av SMS är bättre än att inte använda två-faktor autentisering på alla.
När du inte använder två-faktor autentisering, någon som bara behöver ditt lösenord för att logga in på ditt konto. När du använder två-faktor autentisering med SMS, någon kommer att behöva för att både skaffa ditt lösenord och få tillgång till dina sms för att få tillgång till ditt konto. SMS är mycket säkrare än ingenting alls.
Om SMS är ditt enda alternativ, vänligen använd SMS. Men om du skulle vilja lära dig varför säkerhetsexperter rekommenderar att du undviker SMS och vad vi rekommenderar istället, läs på.
SIM-Swappar göra det Möjligt för Angripare att Stjäla Ditt Telefonnummer
Här är hur SMS-verifiering fungerar det: När du försöker logga in i tjänsten skickar ett sms till det mobilnummer som du har tidigare försett dem med. Du får koden på din mobil och gå in här för att logga in. Att koden är bara bra för en enda användning.
Det låter rimligt säkert. Efter allt, bara du har ditt telefonnummer och någon måste ha telefonen för att se koden till höger? Tyvärr, nej.
Om någon känner till ditt telefonnummer och kan få tillgång till personlig information som de fyra sista siffrorna i ditt personnummer—tyvärr, denna vara lätt att hitta tack vare att många företag och myndigheter som har läckt ut kunddata—de kan kontakta din telefonoperatör och flytta ditt telefonnummer till en annan telefon. Detta är känt som ett “SIM-swap”, och är samma process som du kan utföra när du köper en ny enhet och flytta ditt mobilnummer till det. Den person som säger att de är du, innehåller personliga uppgifter och din mobiltelefon företaget sätter upp telefonen med ditt telefonnummer. De kommer att få SMS-koder som skickas till din telefon nummer på sin telefon.
Vi har sett rapporter om att detta händer i STORBRITANNIEN, där angriparna stal ett offer telefonnummer och använde det för att få tillgång till offrets bank konto. New York State har också varnat för denna bluff.
Kärnan i detta är en social engineering attacker som bygger på att lura din mobiltelefon företag. Men din mobiltelefon företag ska inte kunna ge någon tillgång till dina säkerhetskoder i första hand!
SMS-Meddelanden Kan Avlyssnas på Många Sätt
Det är också möjligt att snoka på SMS-meddelanden. Politiska dissidenter och journalister i diktaturstater vill vara försiktig, eftersom regeringen kan kapa SMS-meddelanden som de skickas via nätet. Detta har redan hänt i Iran, där Iranska hackare uppges ha kompromissat ett antal Telegram messenger konton genom att spärra SMS-meddelanden som ges tillgång till dessa konton.
Angriparna har också missbrukat problem i SS7-anslutningen system som används för roaming, för att avlyssna SMS-meddelanden på nätverket och väg dem någon annanstans. Det finns många andra sätt meddelanden kan avlyssnas, inklusive användning av falska torn mobiltelefon. SMS-meddelanden som inte var avsedda för säkerhet, och bör inte användas för det.
Med andra ord, en sofistikerad person med en bit av personlig information kan kapa ditt telefonnummer för att få tillgång till dina online-konton och sedan använda dessa konton till försök att tömma dina konton, till exempel. Det är därför National Institute of Standards and Technology är inte längre att rekommendera användning av SMS-meddelanden för två-faktor autentisering.
Alternativ: Skapa Koder på Din Enhet
RELATERAD ARTIKEL
En två-faktor autentisering system bygger inte på SMS är överlägsen, eftersom mobilen företag kommer inte att kunna ge någon annan tillgång till dina koder. Det mest populära alternativet till detta är en app som Google Authenticator. Vi rekommenderar dock Authy, eftersom det inte allt för Google Authenticator fungerar och mycket mer.
Program som detta generera en kod på din enhet. Även om en angripare luras din mobiltelefon företaget till att flytta ditt mobilnummer till sin telefon, de skulle inte kunna få dina säkerhetskoder. De uppgifter som behövs för att generera de koder skulle vara säkert på din telefon.
RELATERAD ARTIKEL
Du behöver inte använda koder, antingen. Tjänster som Twitter, Google och Microsoft testar app-baserade två faktors autentisering, som låter dig logga in på en annan enhet genom att tillåta logga in i deras app på telefonen.
Det finns också fysiska hårdvara polletter som du kan använda. Stora företag som Google och Dropbox har redan infört en ny standard för hårdvarubaserad två-faktor autentisering polletter som heter U2F. Dessa är alla mer säker än att förlita sig på din mobiltelefon företag och den gamla telefonnätet.
Om möjligt, undvik SMS för två-faktor autentisering. Det är bättre än ingenting och verkar bekväma, men det är oftast det minst två-faktor autentisering system du kan välja.
Tyvärr, vissa tjänster tvingar dig att använda SMS. Om du är orolig för detta, kan du skapa ett Google Voice-nummer och ge det till tjänster som kräver SMS-autentisering. Du kan sedan logga in på ditt Google-konto kan du skydda med ett mer säkert två-faktor autentisering metod—och se den säkra meddelanden i Google Voice webbplats eller app. Bara inte fram emot meddelanden från Google Voice till din faktiska mobiltelefon.