Експертите по сигурността препоръчват където е възможно да използваме двуфакторна автентикация за допълнителна защита на онлайн профилите ни. Много услуги по подразбиране, изпращат кодовете чрез текстово съобщение до телефона ви, когато се опитвате да влезете в онлайн акаунта си. Но SMS съобщенията имат много проблеми със сигурността и са най-малко сигурната опция за удостоверяване в две стъпки, смятат от How To Geek.
Вижте Какво трябва да знаем за двуфакторната автентикация
Важно е да се уточни, че използването на SMS все още е по-добре, отколкото да не се използва изобщо двуфакторна идентификация. Когато не използвате двуфакторно удостоверяване, злосторниците се нуждаят само от паролата ви, за да влязат в профила ви. Когато използвате двуфакторно удостоверяване със SMS, те ще се нуждаят и от телефона ви, за да разберат допълнителния код, който трябва да се въведе за логване в акаунта. Ето защо SMS-ите са много по-сигурни от нищо.
Ако SMS е вашият единствен вариант, моля, използвайте SMS. Ако обаче искате да научите защо специалистите по сигурността препоръчват избягването на SMS, не спирайте да четете.
„SIM Swaps“ позволява на атакуващите да откраднат вашия телефонен номер
Ето как работи функцията за потвърждаване чрез SMS: Когато се опитате да влезете в профила си, услугата изпраща текстово съобщение до номера на мобилния ви телефон, който сте ѝ предоставили. Получавате този код на телефона си и го въвеждате, за да влезете. Този код е само за еднократна употреба. Това звучи сравнително сигурно. В края на краищата само вие имате достъп до телефона си, но нещата са доста по-сложни отколкото изглеждат.
Ако някой знае вашия телефонен номер и може да получи достъп до личната ви информация, за съжаление, лесно може да поиска от телефонната ви компания да прехвърли телефонния ви номер на нов телефон. Това е известно като SIM swap и е същият процес, който изпълнявате, когато си купувате ново устройство и прехвърляте телефонния си номер на него.
Злосторникът казва, че сте вие, предоставя личните ви данни и вашата компания прехвърля вашия телефонен номер. Така той ще получава SMS съобщенията ви на неговия си телефон и ще знае кодовете за достъп до акаунтите ви.
SMS съобщенията могат да бъдат задържани по много начини
Възможно е също така някой да подслушва вашите SMS съобщения, изпращани през телефонната мрежа. Атакуващите също създават проблеми в SS7, системата за връзка, използвана за роуминг, за да задържат SMS съобщения в мрежата и да ги насочват другаде. Има много други начини за предаване на съобщенията, включително чрез използването на фалшиви кули за мобилни телефони. SMS съобщенията не са предназначени за сигурност и не трябва да се използват за тази цел.
Каква алтернатива имаме?
Най-популярната алтернатива са приложенията като Google Authenticator и Authy. Те генерират кодове на вашето устройство. Дори ако някой нападател измами вашата телефонна компания да премести телефонния ви номер към друг телефон, той няма да може да получава вашите кодове за сигурност. Данните, необходими за генерирането на тези кодове, ще останат на сигурно място в телефона ви.
Не е нужно да използвате и кодове. Услуги като Twitter, Google и Microsoft тестват удостоверяване на две фактори, базирано на приложенията, което ви позволява да се логвате в друго устройство, като разрешите влизането в приложението им на телефона си.
Има и физически хардуерни решения, които можете да използвате. Големи компании като Google и Dropbox вече са въвели нов стандарт за хардуерно базирано двуфакторно идентифициране, наречено U2F. Става въпрос за използване на USB флашка в ролята на електронен ключ, вместо допълнителен код.
Вижте 8 лесни начина да гарантирате сигурността си в Интернет
Discussion about this post