Hjemmeside » hvordan » Hvorfor du ikke bør bruke SMS for tofaktorautentisering (og hva du skal bruke i stedet for)

    Hvorfor du ikke bør bruke SMS for tofaktorautentisering (og hva du skal bruke i stedet for)

    Sikkerhetseksperter anbefaler at du bruker tofaktorsautentisering for å sikre dine online-kontoer når det er mulig. Mange tjenester som standard til SMS-verifisering, sender koder via tekstmelding til telefonen når du prøver å logge på. Men SMS-meldinger har mange sikkerhetsproblemer, og er det minst sikre alternativet for tofaktorautentisering.

    Første ting først: SMS er fortsatt bedre enn ingen tofaktorautentisering i det hele tatt!

    Mens vi skal legge ut saken mot SMS her, er det viktig at vi først gjør en ting klar: Bruke SMS er bedre enn ikke å bruke tofaktors autentisering i det hele tatt.

    Når du ikke bruker tofaktorautentisering, trenger noen bare passordet ditt for å logge på kontoen din. Når du bruker tofaktorautentisering med SMS, må noen få både passordet ditt og få tilgang til tekstmeldingene dine for å få tilgang til kontoen din. SMS er mye sikrere enn ingenting i det hele tatt.

    Hvis SMS er ditt eneste alternativ, vennligst bruk SMS. Men hvis du vil lære hvorfor sikkerhetseksperter anbefaler å unngå sms og hva vi anbefaler i stedet, les videre.

    SIM swaps Tillat angripere å stjele ditt telefonnummer

    Slik fungerer SMS-verifisering: Når du prøver å logge på, sender tjenesten en tekstmelding til mobilnummeret du tidligere har gitt dem. Du får den koden på telefonen din og skriver den inn for å logge på. Den koden er bare bra for en enkelt bruk.

    Det høres rimelig sikkert ut. Tross alt, har du bare telefonnummeret ditt, og noen må få telefonen til å se koden - ikke sant? Dessverre ikke.

    Hvis noen kjenner telefonnummeret ditt og kan få tilgang til personlig informasjon som de fire siste sifrene i personnummeret ditt, er dette lett å finne takket være de mange selskapene og myndighetene som har lekket kundedata. De kan kontakte telefonen din firma og flytt telefonnummeret ditt til en ny telefon. Dette kalles en "SIM swap", og er den samme prosessen du utfører når du kjøper en ny enhet og flytter telefonnummeret ditt til det. Personen sier at de er deg, gir de personlige dataene, og mobiltelefonen din setter opp telefonen med telefonnummeret ditt. De får SMS-meldingskoder sendt til telefonnummeret ditt på telefonen.

    Vi har sett rapporter om dette i Storbritannia, hvor angriperne stjal et offers telefonnummer og brukte det til å få tilgang til offerets bankkonto. New York State har også advart om denne svindelen.

    I kjernen er dette et sosialt engineering-angrep som er avhengig av å lure mobiltelefonfirmaet ditt. Men mobiltelefonen din bør ikke kunne gi noen tilgang til sikkerhetskoder i utgangspunktet!

    SMS meldinger kan skilles på mange måter

    Det er også mulig å snike på SMS-meldinger. Politiske dissidenter og journalister i repressive land vil ønske å være forsiktige, da regjeringen kunne kapre SMS-meldinger som de sendes via telefonnettverket. Dette har allerede skjedd i Iran, der iranske hackere i ferd med å ha kompromittert en rekke telegrammeldinger ved å fange SMS-meldingene som ga tilgang til disse kontoene.

    Angrepere har også misbrukt problemer i SS7, tilkoblingssystemet som brukes til roaming, for å fange SMS-meldinger på nettverket og rute dem andre steder. Det er mange andre måter meldinger kan skilles, blant annet ved bruk av falske mobiltelefontårn. SMS-meldinger ble ikke designet for sikkerhet, og bør ikke brukes til det.

    Med andre ord kan en sofistikert angriper med litt personlig informasjon kapre telefonnummeret ditt for å få tilgang til dine elektroniske kontoer, og bruk deretter disse kontoene for å forsøke å tømme bankkontiene dine, for eksempel. Derfor anbefaler Statens institutt for standarder og teknologi ikke lenger bruk av SMS-meldinger for tofaktorautentisering.

    Alternativet: Generer koder på enheten din

    En tofaktorautentiseringsordning som ikke stole på SMS, er overlegen, fordi mobiltelefonfirmaet ikke vil kunne gi noen andre tilgang til kodene dine. Det mest populære alternativet for dette er en app som Google Authenticator. Vi anbefaler imidlertid Authy, siden det gjør alt Google Authenticator og mer.

    Apper som dette genererer koder på enheten din. Selv om en angriper lurte mobilselskapet ditt om å flytte telefonnummeret ditt til telefonen, ville de ikke kunne få sikkerhetskoder. Dataene som trengs for å generere disse kodene, forblir sikkert på telefonen.

     

    Du trenger heller ikke bruke koder. Tjenester som Twitter, Google og Microsoft tester appbasert tofaktorautentisering som lar deg logge på en annen enhet ved å godkjenne påloggingen i appen deres på telefonen din.

    Det finnes også fysiske maskinvareteknikker du kan bruke. Store selskaper som Google og Dropbox har allerede implementert en ny standard for maskinvarebaserte tofaktorautentiseringstegn med navnet U2F. Disse er alle sikrere enn å stole på mobilselskapet ditt og det utdaterte telefonnettverket.

    Hvis mulig, unngå SMS for tofaktorautentisering. Det er bedre enn ingenting og virker praktisk, men det er vanligvis den minst sikre tofaktorautentiseringsplanen du kan velge.

    Dessverre krever noen tjenester deg å bruke SMS. Hvis du er bekymret for dette, kan du opprette et Google Voice-telefonnummer og gi det til tjenester som krever SMS-godkjenning. Du kan deretter logge på Google-kontoen din, som du kan beskytte med en mer sikker tofaktorautentiseringsmetode, og se de sikre meldingene på Google Voice-nettstedet eller -appen. Bare send ikke meldinger fra Google Voice til ditt faktiske mobilnummer.