Γιατί δεν πρέπει να χρησιμοποιείτε SMS για έλεγχο ταυτότητας δύο παραγόντων (και τι να χρησιμοποιήσετε αντ 'αυτού)



Οι ειδικοί ασφαλείας συνιστούν χρησιμοποιώντας έλεγχο ταυτότητας δύο παραγόντων για να ασφαλίσετε τους διαδικτυακούς σας λογαριασμούς όπου είναι δυνατόν. Πολλές υπηρεσίες έχουν ως προεπιλογή την επαλήθευση SMS, στέλνοντας κωδικούς μέσω μηνύματος κειμένου στο τηλέφωνό σας όταν προσπαθείτε να συνδεθείτε. Όμως τα μηνύματα SMS έχουν πολλά προβλήματα ασφαλείας και είναι η λιγότερο ασφαλής επιλογή για έλεγχο ταυτότητας δύο παραγόντων.

Πρώτα Πράγματα Πρώτα: Τα SMS εξακολουθούν να είναι καλύτερα από κανέναν έλεγχο ταυτότητας δύο παραγόντων!

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί τον χρειάζομαι;





Ενώ πρόκειται να παρουσιάσουμε την υπόθεση κατά των SMS εδώ, είναι σημαντικό να ξεκαθαρίσουμε πρώτα ένα πράγμα: Η χρήση SMS είναι καλύτερη από το να μην χρησιμοποιείτε καθόλου έλεγχο ταυτότητας δύο παραγόντων.

Όταν δεν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων, κάποιος χρειάζεται μόνο τον κωδικό πρόσβασής σας για να συνδεθεί στον λογαριασμό σας. Όταν χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων με SMS, κάποιος θα πρέπει να αποκτήσει τον κωδικό πρόσβασής σας και να αποκτήσει πρόσβαση στα μηνύματα κειμένου σας για να αποκτήσει πρόσβαση στον λογαριασμό σας. Τα SMS είναι πολύ πιο ασφαλή από το τίποτα.



Εάν το SMS είναι η μόνη σας επιλογή, χρησιμοποιήστε SMS. Ωστόσο, εάν θέλετε να μάθετε γιατί οι ειδικοί σε θέματα ασφάλειας συνιστούν την αποφυγή SMS και τι προτείνουμε αντ 'αυτού, διαβάστε παρακάτω.

Οι εναλλαγές SIM επιτρέπουν στους εισβολείς να κλέψουν τον αριθμό τηλεφώνου σας

Δείτε πώς λειτουργεί η επαλήθευση SMS: Όταν προσπαθείτε να συνδεθείτε, η υπηρεσία στέλνει ένα μήνυμα κειμένου στον αριθμό κινητού τηλεφώνου που της έχετε δώσει προηγουμένως. Λαμβάνετε αυτόν τον κωδικό στο τηλέφωνό σας και τον εισάγετε για να συνδεθείτε. Αυτός ο κωδικός είναι καλός μόνο για μία χρήση.



Διαφήμιση

Ακούγεται αρκετά ασφαλές. Εξάλλου, μόνο εσείς έχετε τον αριθμό τηλεφώνου σας και κάποιος πρέπει να έχει το τηλέφωνό σας για να δει τον κωδικό — σωστά; Δυστυχώς όχι.

Εάν κάποιος γνωρίζει τον αριθμό τηλεφώνου σας και μπορεί να αποκτήσει πρόσβαση σε προσωπικές πληροφορίες, όπως τα τελευταία τέσσερα ψηφία του αριθμού κοινωνικής ασφάλισής σας—δυστυχώς, είναι εύκολο να το βρείτε χάρη στις πολλές εταιρείες και κρατικές υπηρεσίες που διέρρευσαν δεδομένα πελατών—μπορεί να επικοινωνήσει με το τηλέφωνό σας εταιρεία και μετακινήστε τον αριθμό τηλεφώνου σας σε νέο τηλέφωνο. Αυτό είναι γνωστό ως α Εναλλαγή SIM , και είναι η ίδια διαδικασία που εκτελείτε όταν αγοράζετε μια νέα συσκευή και μετακινείτε τον αριθμό τηλεφώνου σας σε αυτήν. Το άτομο λέει ότι είστε εσείς, παρέχει τα προσωπικά δεδομένα και η εταιρεία κινητής τηλεφωνίας σας ρυθμίζει το τηλέφωνό του με τον αριθμό τηλεφώνου σας. Θα λάβουν τους κωδικούς μηνυμάτων SMS που αποστέλλονται στον αριθμό τηλεφώνου σας στο τηλέφωνό τους.

Έχουμε δει αναφορές για αυτό το γεγονός στο Ηνωμένο Βασίλειο , όπου οι εισβολείς έκλεψαν τον αριθμό τηλεφώνου ενός θύματος και τον χρησιμοποίησαν για να αποκτήσουν πρόσβαση στον τραπεζικό λογαριασμό του θύματος. Το κράτος της Νέας Υόρκης έχει επίσης προειδοποίησε σχετικά με αυτή την απάτη.

Στον πυρήνα του, αυτό είναι ένα επίθεση κοινωνικής μηχανικής που βασίζεται στην εξαπάτηση της εταιρείας κινητής τηλεφωνίας σας. Αλλά η εταιρεία κινητής τηλεφωνίας σας δεν θα πρέπει να είναι σε θέση να παρέχει σε κάποιον πρόσβαση στους κωδικούς ασφαλείας σας εξαρχής!

Τα μηνύματα SMS μπορούν να υποκλαπούν με πολλούς τρόπους

Είναι επίσης δυνατή η παρακολούθηση μηνυμάτων SMS. Οι πολιτικοί αντιφρονούντες και οι δημοσιογράφοι σε χώρες καταστολής θα θέλουν να είναι προσεκτικοί, καθώς η κυβέρνηση θα μπορούσε να κλέψει τα μηνύματα SMS καθώς αποστέλλονται μέσω του τηλεφωνικού δικτύου. Αυτό έχει ήδη συμβεί σε Ιράν , όπου Ιρανοί χάκερ φέρεται να παραβίασαν έναν αριθμό λογαριασμών messenger Telegram υποκλοπής των μηνυμάτων SMS που παρείχαν πρόσβαση σε αυτούς τους λογαριασμούς.

Διαφήμιση

Οι επιτιθέμενοι έχουν επίσης κακοποιήσει προβλήματα στο SS7 , το σύστημα σύνδεσης που χρησιμοποιείται για την περιαγωγή, για την παρακολούθηση μηνυμάτων SMS στο δίκτυο και τη δρομολόγηση τους αλλού. Υπάρχουν πολλοί άλλοι τρόποι υποκλοπής μηνυμάτων, μεταξύ άλλων μέσω της χρήσης ψεύτικων πύργων κινητής τηλεφωνίας. Τα μηνύματα SMS δεν έχουν σχεδιαστεί για λόγους ασφάλειας και δεν θα έπρεπε να χρησιμοποιούνται για αυτό.

Με άλλα λόγια, ένας εξελιγμένος εισβολέας με ορισμένες προσωπικές πληροφορίες θα μπορούσε να παραβιάσει τον αριθμό τηλεφώνου σας για να αποκτήσει πρόσβαση στους διαδικτυακούς λογαριασμούς σας και στη συνέχεια να χρησιμοποιήσει αυτούς τους λογαριασμούς για να προσπαθήσει να εξαντλήσει τους τραπεζικούς σας λογαριασμούς, για παράδειγμα. Γι' αυτό είναι το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας δεν συνιστώνται πλέον τη χρήση μηνυμάτων SMS για έλεγχο ταυτότητας δύο παραγόντων.

Η εναλλακτική λύση: Δημιουργήστε κωδικούς στη συσκευή σας

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Πώς να ρυθμίσετε το Authy για έλεγχο ταυτότητας δύο παραγόντων (και να συγχρονίσετε τους κωδικούς σας μεταξύ συσκευών)

Ένα σύστημα ελέγχου ταυτότητας δύο παραγόντων που δεν βασίζεται σε SMS είναι ανώτερο, επειδή η εταιρεία κινητής τηλεφωνίας δεν θα μπορεί να δώσει σε κάποιον άλλο πρόσβαση στους κωδικούς σας. Η πιο δημοφιλής επιλογή για αυτό είναι μια εφαρμογή όπως Επαληθευτής Google . Ωστόσο, προτείνουμε το Authy , αφού κάνει ό,τι κάνει ο Επαληθευτής Google και πολλά άλλα.

Οι εφαρμογές όπως αυτή δημιουργούν κωδικούς στη συσκευή σας. Ακόμα κι αν ένας εισβολέας εξαπάτησε την εταιρεία κινητής τηλεφωνίας σας για να μεταφέρει τον αριθμό τηλεφώνου σας στο τηλέφωνό του, δεν θα μπορούσε να λάβει τους κωδικούς ασφαλείας σας. Τα δεδομένα που απαιτούνται για τη δημιουργία αυτών των κωδικών θα παραμείνουν με ασφάλεια στο τηλέφωνό σας.

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Πώς να ρυθμίσετε τον νέο έλεγχο ταυτότητας δύο παραγόντων της Google χωρίς κώδικα

Δεν χρειάζεται επίσης να χρησιμοποιήσετε κωδικούς. Υπηρεσίες όπως το Twitter, η Google και η Microsoft δοκιμάζονται Έλεγχος ταυτότητας δύο παραγόντων που βασίζεται σε εφαρμογές που σας επιτρέπει να συνδεθείτε σε άλλη συσκευή εξουσιοδοτώντας τη σύνδεση στην εφαρμογή τους στο τηλέφωνό σας.

Υπάρχουν επίσης φυσικά διακριτικά υλικού που μπορείτε να χρησιμοποιήσετε. Μεγάλες εταιρείες όπως η Google και το Dropbox έχουν ήδη εφαρμόσει ένα νέο πρότυπο για διακριτικά ελέγχου ταυτότητας δύο παραγόντων που βασίζονται σε υλικό με το όνομα U2F . Όλα αυτά είναι πιο ασφαλή από το να βασίζεστε στην εταιρεία κινητής τηλεφωνίας σας και στο απαρχαιωμένο τηλεφωνικό δίκτυο.

Εάν είναι δυνατόν, αποφύγετε τα SMS για έλεγχο ταυτότητας δύο παραγόντων. Είναι καλύτερο από το τίποτα και φαίνεται βολικό, αλλά είναι συνήθως το λιγότερο ασφαλές σύστημα ελέγχου ταυτότητας δύο παραγόντων που μπορείτε να επιλέξετε.

Διαφήμιση

Δυστυχώς, ορισμένες υπηρεσίες σας αναγκάζουν να χρησιμοποιήσετε SMS. Εάν ανησυχείτε για αυτό, θα μπορούσατε να δημιουργήσετε έναν αριθμό τηλεφώνου Google Voice και να τον δώσετε σε υπηρεσίες που απαιτούν έλεγχο ταυτότητας μέσω SMS. Στη συνέχεια, θα μπορούσατε να συνδεθείτε στον λογαριασμό σας Google—τον οποίο μπορείτε να προστατεύσετε με μια πιο ασφαλή μέθοδο ελέγχου ταυτότητας δύο παραγόντων—και να δείτε τα ασφαλή μηνύματα στον ιστότοπο ή την εφαρμογή Google Voice. Απλώς μην προωθείτε μηνύματα από το Google Voice στον πραγματικό αριθμό του κινητού σας τηλεφώνου.

ΔΙΑΒΑΣΤΕ ΤΗ ΣΥΝΕΧΕΙΑ Φωτογραφία προφίλ για τον Chris Hoffman Κρις Χόφμαν
Ο Chris Hoffman είναι αρχισυντάκτης του How-To Geek. Έχει γράψει για την τεχνολογία για πάνω από μια δεκαετία και ήταν αρθρογράφος του PCWorld για δύο χρόνια. Ο Κρις έχει γράψει για τους New York Times, έχει πάρει συνεντεύξεις ως ειδικός στην τεχνολογία σε τηλεοπτικούς σταθμούς όπως το NBC 6 του Μαϊάμι και καλύφθηκε η δουλειά του από ειδησεογραφικά μέσα όπως το BBC. Από το 2011, ο Chris έχει γράψει πάνω από 2.000 άρθρα που έχουν διαβαστεί σχεδόν ένα δισεκατομμύριο φορές --- και αυτό είναι μόνο εδώ στο How-To Geek.
Διαβάστε το πλήρες βιογραφικό

Ενδιαφέροντα Άρθρα