Първите неща на първо място: SMS все още е по-добре, отколкото никакво двуфакторно удостоверяване на всички!
Докато ще разгледаме случая срещу SMS тук, важно е да направим ясно едно нещо: Използването на SMS е по-добре, отколкото да не се използва двуфакторна идентификация.
Когато не използвате двуфакторно удостоверяване, някой има нужда само от вашата парола, за да влезе в профила ви. Когато използвате двуфакторно удостоверяване със SMS, някой ще трябва да получи паролата и да получи достъп до текстовите ви съобщения, за да получи достъп до профила ви. SMS е много по-сигурен от нищо.
Ако SMS е вашият единствен вариант, моля, използвайте SMS. Ако обаче искате да научите защо специалистите по сигурността препоръчват избягването на SMS и това, което препоръчваме, прочетете нататък.
SIM Swaps Позволете на атакуващите да откраднат Вашия телефонен номер
Ето как работи функцията за потвърждаване на SMS: Когато се опитате да влезете, услугата изпраща текстово съобщение до номера на мобилния ви телефон, който сте й предоставили. Получавате този код на телефона си и го въвеждате, за да влезете. Този код е добър само за еднократна употреба.
Ако някой знае вашия телефонен номер и може да получи достъп до лична информация като последните четири цифри от номера на вашата социална осигуровка - за съжаление, това е лесно за намиране благодарение на много корпорации и държавни агенции, които са изтекли данни за клиентите - могат да се свържат с телефона ви компания и преместете телефонния си номер на нов телефон. Това е известно като "SIM суап" и е същият процес, който изпълнявате, когато купувате ново устройство и премествате неговия телефонен номер. Човекът казва, че сте вие, предоставя личните данни и вашата компания за мобилни телефони настройва телефона си с вашия телефонен номер. Те ще получат кодовете за SMS съобщения, изпратени на вашия телефонен номер на телефона си.
Видяхме съобщения за това, което се случва в Обединеното кралство, където нападателите са откраднали телефонен номер на жертвата и са я използвали, за да получат достъп до банковата сметка на жертвата. Ню Йорк също предупреди за тази измама.
В основата си това е социална инженерна атака, която разчита на подлъгване на вашата мобилна компания. Но вашата компания за мобилни телефони не трябва да е в състояние да предостави на някого достъп до вашите кодове за сигурност на първо място!
SMS съобщенията могат да бъдат задържани по много начини
Атакуващите също са преживели проблеми в SS7, системата за връзка, използвана за роуминг, за да прихващат SMS съобщения в мрежата и да ги насочват другаде. Има много други начини за предаване на съобщенията, включително чрез използването на фалшиви кули за мобилни телефони. SMS съобщенията не са предназначени за сигурност и не трябва да се използват за нея.
С други думи, един усъвършенстван нападател с малко лична информация може да отвлече телефонния си номер, за да получи достъп до вашите онлайн профили и след това да използва тези сметки, за да се опита да изтече банковите Ви сметки, например. Ето защо Националният институт за стандарти и технологии вече не препоръчва използването на SMS съобщения за двуфакторна идентификация.
Алтернативата: генерирайте кодове на устройството си
Схемата за удостоверяване на две фактори, която не разчита на SMS, е по-добра, тъй като компанията за клетъчни телефони няма да може да даде на някой друг достъп до вашите кодове. Най-популярната опция за това е приложение като Google Удостоверител. Въпреки това, препоръчваме Authy, тъй като прави всичко, което Google Authenticator прави и повече.
Приложения като това генерират кодове на вашето устройство. Дори ако някой нападател измами вашата компания за мобилни телефони да премести телефонния ви номер към телефона си, те няма да могат да получат вашите кодове за сигурност. Данните, необходими за генерирането на тези кодове, ще останат сигурно на телефона ви.
Има и физически хардуерни символи, които можете да използвате. Големи компании като Google и Dropbox вече са въвели нов стандарт за хардуерно базирани двуфакторни идентификационни символи, наречени U2F. Всички те са по-сигурни, отколкото да разчитате на мобилната си компания и остарялата телефонна мрежа.
Ако е възможно, избягвайте SMS за удостоверяване с две фактори. Това е по-добре от нищо и изглежда удобно, но обикновено е най-сигурната двуфакторна схема за удостоверяване, която можете да изберете.
За съжаление, някои услуги ви принуждават да използвате SMS. Ако се притеснявате за това, можете да създадете телефонен номер на Google Voice и да го предоставите на услуги, които изискват удостоверяване чрез SMS. След това можете да влезете в профила си в Google - който можете да защитите с по-сигурен двуфакторен метод за удостоверяване - и да видите защитените съобщения в уеб сайта или приложението Google Voice. Просто не изпращайте съобщения от Google Voice до вашия реален номер на мобилен телефон.
