Експертите по сигурността препоръчват използването на двуфакторна удостоверяване, за да защитите онлайн профилите си, когато е възможно. Много служби по подразбиране получават SMS потвърждение, изпращайки кодове чрез текстово съобщение до вашия телефон, когато се опитвате да влезете в системата. Но SMS съобщенията имат много проблеми със сигурността и са най-малко защитената опция за удостоверяване с две фактори.
Докато ще разгледаме случая срещу SMS тук, важно е да направим ясно едно нещо: Използването на SMS е по-добре, отколкото да не се използва двуфакторна идентификация.
Когато не използвате двуфакторно удостоверяване, някой има нужда само от вашата парола, за да влезе в профила ви. Когато използвате двуфакторно удостоверяване със SMS, някой ще трябва да получи паролата и да получи достъп до текстовите ви съобщения, за да получи достъп до профила ви. SMS е много по-сигурен от нищо.
Ако SMS е вашият единствен вариант, моля, използвайте SMS. Ако обаче искате да научите защо специалистите по сигурността препоръчват избягването на SMS и това, което препоръчваме, прочетете нататък.
Ето как работи функцията за потвърждаване на SMS: Когато се опитате да влезете, услугата изпраща текстово съобщение до номера на мобилния ви телефон, който сте й предоставили. Получавате този код на телефона си и го въвеждате, за да влезете. Този код е добър само за еднократна употреба.
Това звучи сравнително сигурно. В крайна сметка само ти имаш телефонния си номер и някой трябва да има телефона ти, за да види кода? За съжаление не.
Ако някой знае вашия телефонен номер и може да получи достъп до лична информация като последните четири цифри от номера на вашата социална осигуровка - за съжаление, това е лесно за намиране благодарение на много корпорации и държавни агенции, които са изтекли данни за клиентите - могат да се свържат с телефона ви компания и преместете телефонния си номер на нов телефон. Това е известно като "SIM суап" и е същият процес, който изпълнявате, когато купувате ново устройство и премествате неговия телефонен номер. Човекът казва, че сте вие, предоставя личните данни и вашата компания за мобилни телефони настройва телефона си с вашия телефонен номер. Те ще получат кодовете за SMS съобщения, изпратени на вашия телефонен номер на телефона си.
Видяхме съобщения за това, което се случва в Обединеното кралство, където нападателите са откраднали телефонен номер на жертвата и са я използвали, за да получат достъп до банковата сметка на жертвата. Ню Йорк също предупреди за тази измама.
В основата си това е социална инженерна атака, която разчита на подлъгване на вашата мобилна компания. Но вашата компания за мобилни телефони не трябва да е в състояние да предостави на някого достъп до вашите кодове за сигурност на първо място!
Също така е възможно да се спрете на SMS съобщения. Политическите дисиденти и журналисти в репресивни държави ще искат да бъдат внимателни, тъй като правителството може да отвлече SMS съобщения, когато те се изпращат през телефонната мрежа. Това вече се случи в Иран, където ирански хакери съобщиха, че са компрометирали редица сметки на телеграми, като прехващат SMS съобщенията, които осигуряват достъп до тези сметки.
Атакуващите също са преживели проблеми в SS7, системата за връзка, използвана за роуминг, за да прихващат SMS съобщения в мрежата и да ги насочват другаде. Има много други начини за предаване на съобщенията, включително чрез използването на фалшиви кули за мобилни телефони. SMS съобщенията не са предназначени за сигурност и не трябва да се използват за нея.
С други думи, един усъвършенстван нападател с малко лична информация може да отвлече телефонния си номер, за да получи достъп до вашите онлайн профили и след това да използва тези сметки, за да се опита да изтече банковите Ви сметки, например. Ето защо Националният институт за стандарти и технологии вече не препоръчва използването на SMS съобщения за двуфакторна идентификация.
Схемата за удостоверяване на две фактори, която не разчита на SMS, е по-добра, тъй като компанията за клетъчни телефони няма да може да даде на някой друг достъп до вашите кодове. Най-популярната опция за това е приложение като Google Удостоверител. Въпреки това, препоръчваме Authy, тъй като прави всичко, което Google Authenticator прави и повече.
Приложения като това генерират кодове на вашето устройство. Дори ако някой нападател измами вашата компания за мобилни телефони да премести телефонния ви номер към телефона си, те няма да могат да получат вашите кодове за сигурност. Данните, необходими за генерирането на тези кодове, ще останат сигурно на телефона ви.
Не е нужно да използвате и кодове. Услуги като Twitter, Google и Microsoft тестват удостоверяване с две фактори, базирано на приложенията, което ви позволява да влезете в друго устройство, като разрешите влизането в приложението им на телефона си.
Има и физически хардуерни символи, които можете да използвате. Големи компании като Google и Dropbox вече са въвели нов стандарт за хардуерно базирани двуфакторни идентификационни символи, наречени U2F. Всички те са по-сигурни, отколкото да разчитате на мобилната си компания и остарялата телефонна мрежа.
Ако е възможно, избягвайте SMS за удостоверяване с две фактори. Това е по-добре от нищо и изглежда удобно, но обикновено е най-сигурната двуфакторна схема за удостоверяване, която можете да изберете.
За съжаление, някои услуги ви принуждават да използвате SMS. Ако се притеснявате за това, можете да създадете телефонен номер на Google Voice и да го предоставите на услуги, които изискват удостоверяване чрез SMS. След това можете да влезете в профила си в Google - който можете да защитите с по-сигурен двуфакторен метод за удостоверяване - и да видите защитените съобщения в уеб сайта или приложението Google Voice. Просто не изпращайте съобщения от Google Voice до вашия реален номер на мобилен телефон.