Sicherheits-Experten empfehlen die Verwendung von zwei-Faktor-Authentifizierung sichern Sie sich Ihren online-Konten, wo immer möglich. Viele Dienste standardmäßig die SMS-Bestätigung, Zusendung der codes per SMS auf Ihr Handy, wenn Sie versuchen, sich anzumelden. Aber SMS-Nachrichten haben eine Menge von Sicherheits-Probleme, und sind die am wenigsten sichere option für die zwei-Faktor-Authentifizierung.
First Things First: SMS Ist immer Noch Besser Als gar Keine Zwei-Faktor-Authentifizierung an Alle!
VERWANDTE ARTIKEL
Was Ist die Zwei-Faktor-Authentifizierung, und Warum Brauche ich Es?
Während wir gehen, um zu legen, den Fall gegen die SMS hier, es ist wichtig, dass wir zuerst eine Sache klar: Mit SMS ist nicht besser als die Verwendung von zwei-Faktor-Authentifizierung überhaupt.
Wenn Sie nicht verwenden die zwei-Faktor-Authentifizierung, jemand muss nur dein Passwort, um dich in deinem Konto an. Bei der Verwendung von zwei-Faktor-Authentifizierung mit SMS, wird jemand brauchen, um beide zu erwerben, Ihr Kennwort und Zugriff auf Ihre SMS-Nachrichten, um Zugang zu Ihrem Konto. SMS ist viel sicherer, als gar nichts.
Wenn die SMS ist Ihre einzige option ist, bitte SMS. Allerdings, wenn Sie möchten, um zu erfahren, warum die security-Experten empfehlen, zu vermeiden SMS und was wir empfehlen stattdessen, Lesen Sie weiter.
SIM-Swaps Erlauben es Angreifern, um zu Stehlen Ihre Telefonnummer
Hier ist, wie SMS-Verifizierung funktioniert: Wenn Sie versuchen, sich anzumelden, ist der service sendet eine Textnachricht an die Mobiltelefonnummer ein, die Sie zuvor zur Verfügung gestellt. Sie erhalten diesen code auf Ihrem Telefon eingeben, um sich anzumelden. Dass code ist nur gut für den einmaligen Gebrauch.
Es klingt einigermaßen sicher. Nachdem alle, nur haben Sie Ihre Telefon-Nummer und jemand hat Ihr Telefon, um zu sehen, die code—richtig? Leider Nein.
Wenn jemand weiß, Ihre Telefonnummer und erhalten Zugriff auf persönliche Informationen wie die letzten vier Ziffern Ihrer social-security-number—leider ist diese leicht zu finden Dank der vielen Unternehmen und Regierungsstellen, die geleckt haben, Kundendaten—Sie können Kontaktieren Sie Ihren Handy-Firma und bewegen Sie Ihre Telefon-Nummer auf ein neues Handy. Dies ist bekannt als “SIM tauschen“, und ist der gleiche Prozess, den Sie ausführen, wenn Sie ein neues Gerät erwerben und übertragen Sie Ihre Telefon-Nummer. Die person, die sagt, Sie sind Sie, die personenbezogenen Daten und Ihre Handy-Firma stellt Ihr Telefon mit Ihrer Telefonnummer. Sie erhalten die SMS-codes an Ihre Telefonnummer auf Ihrem Telefon.
Wir haben gesehen, Berichte über das geschehen in Großbritannien, wo die Angreifer Stahlen ein Opfer der Telefon-Nummer und verwendet, um den Zugriff der Opfer auf das Bankkonto. New York State hat auch davor gewarnt, über diesen Betrug.
In seinem Kern ist dies ein social-engineering-Angriff, beruht auf der Täuschung von Ihrem Handy-Firma. Aber Ihre Handy-Firma sollte nicht bieten konnte, jemand mit Zugriff auf Ihre Sicherheits-codes in den ersten Platz!
SMS-Nachrichten Können Abgefangen Werden, in Vielerlei Hinsicht
Es ist auch möglich, die snoop auf SMS-Nachrichten. Politische Dissidenten und Journalisten in repressiven Ländern wollen, vorsichtig zu sein, als die Regierung könnte die Kontrolle von SMS-Nachrichten, wie Sie gesendet sind über das Telefon-Netzwerk. Dies ist bereits geschehen im Iran, wo iranische Hacker berichten zufolge gefährdet eine Reihe von Telegram messenger-Konten durch abfangen der SMS-Nachrichten, den Zugriff auf diese Konten.
Angreifer haben auch misshandelt Probleme in SS7 -, das Anschluss-system verwendet für roaming, zum abfangen von SMS-Nachrichten auf dem Netzwerk und leitet Sie an anderer Stelle. Es gibt viele andere Möglichkeiten, wie Nachrichten abgefangen werden können, einschließlich durch die Verwendung von gefälschten Handy-Türme. SMS-Nachrichten wurden nicht entwickelt, für die Sicherheit und sollten nicht verwendet werden.
In anderen Worten, eine anspruchsvolle Angreifer mit ein bisschen persönlicher Informationen könnten entführen Sie Ihre Handy-Nummer, um Zugang zu Ihrem online-Konten und verwenden Sie dann diese Konten zu versuchen, drain Ihre bank-Konten, zum Beispiel. Das ist, warum das National Institute of Standards und Technologie ist nicht mehr die Empfehlung der Verwendung von SMS-Nachrichten für die zwei-Faktor-Authentifizierung.
Die Alternative: Generieren von Codes auf Ihrem Gerät
VERWANDTE ARTIKELzum einrichten Authy für die Zwei-Faktor-Authentifizierung (und Synchronisieren Sie Ihre Codes Zwischen den Geräten)
Eine zwei-Faktor-Authentifizierungs-Schema, das sich nicht auf SMS überlegen ist, weil die Handy-Unternehmen werden nicht in der Lage zu geben, jemand anderes Zugang zu Ihren codes. Die beliebteste option für dieses ist eine app wie Google Authenticator. Wir empfehlen jedoch, Authy, da tut es alles, was Google Authenticator nicht mehr.
Anwendungen wie diese codes erzeugen auf Ihrem Gerät. Selbst wenn ein Angreifer ausgetrickst Ihrem Handy-Firma zu bewegen, Ihre Telefon-Nummer auf Ihr Handy, Sie wäre nicht in der Lage, Ihre Sicherheits-codes. Die benötigten Daten zu erzeugen, die codes würden bleiben sicher auf Ihrem Handy.
VERWANDTE ARTIKEL
How to Set Up Google ‘ s Neue Code-Weniger die Zwei-Faktor-Authentifizierung
Sie nicht haben, codes zu benutzen, entweder. Dienste wie Twitter, Google und Microsoft testen von app-basierten zwei-Faktor-Authentifizierung, die Ihnen ermöglicht die Anmeldung auf einem anderen Gerät, durch die Zulassung der Anmeldung in der app auf Ihrem Handy.
Es gibt auch physische hardware-Token, die Sie verwenden können. Große Firmen wie Google und Dropbox haben bereits implementiert den neuen standard für hardware-basierte zwei-Faktor-Authentifizierung Token benannt, U2F. Diese sind alle sicherer, als sich auf Ihrem Handy-Firma und das veraltete Telefonnetz.
Wenn möglich, vermeiden Sie SMS für zwei-Faktor-Authentifizierung. Es ist besser als nichts und scheint bequem, aber es ist in der Regel die am wenigsten sichere zwei-Faktor-Authentifizierungs-Schema, das Sie wählen können.
Leider sind manche Dienste zwingen, Sie zu benutzen SMS. Wenn Sie besorgt über diese, können Sie eine Google Voice-Telefonnummer und geben Sie es-Dienste erfordern, dass der SMS-Authentifizierung. Sie können dann melden Sie sich in Ihrem Google-Konto—was kann man schützen mit einem sicheren zwei-Faktor-Authentifizierung-Methode—und sehen den Schutz der Nachrichten in der Google Voice-website oder in der app. Nur nicht nach vorne-Nachrichten von Google Voice, um Ihre aktuelle Handy-Nummer.