Laman » bagaimana untuk » Kenapa Anda Tidak Perlu Gunakan SMS untuk Pengesahan Dua Faktor (dan Apa yang Perlu Digunakan Sebaliknya)

    Kenapa Anda Tidak Perlu Gunakan SMS untuk Pengesahan Dua Faktor (dan Apa yang Perlu Digunakan Sebaliknya)

    Pakar keselamatan mengesyorkan menggunakan pengesahan dua faktor untuk mendapatkan akaun dalam talian anda di mana mungkin. Banyak perkhidmatan lalai untuk pengesahan SMS, menghantar kod melalui mesej teks ke telefon anda apabila anda cuba log masuk. Tetapi mesej SMS mempunyai banyak masalah keselamatan, dan merupakan pilihan paling tidak selamat untuk pengesahan dua faktor.

    Perkara Pertama Pertama: SMS Masih Betul Daripada Tiada Pengesahan Dua Faktor di Semua!

    Walaupun kami akan meletakkan kes itu terhadap SMS di sini, penting sekali kami buat satu perkara yang jelas: Menggunakan SMS adalah lebih baik daripada tidak menggunakan pengesahan dua faktor sama sekali.

    Apabila anda tidak menggunakan pengesahan dua faktor, seseorang hanya memerlukan kata laluan anda untuk log masuk ke akaun anda. Apabila anda menggunakan pengesahan dua faktor dengan SMS, seseorang akan memerlukan kedua-dua memperoleh kata laluan anda dan mendapat akses ke mesej teks anda untuk mendapatkan akses ke akaun anda. SMS adalah lebih selamat daripada tiada apa-apa.

    Sekiranya SMS adalah satu-satunya pilihan anda, sila gunakan SMS. Walau bagaimanapun, jika anda ingin mengetahui mengapa pakar keselamatan mengesyorkan mengelakkan SMS dan apa yang kami cadangkan sebaliknya, baca terus.

    Swap SIM Benarkan Penyerang Mencuri Nombor Telefon anda

    Begini cara pengesahan SMS berfungsi: Apabila anda cuba log masuk, perkhidmatan menghantar mesej teks ke nombor telefon bimbit yang telah anda berikan sebelum ini. Anda mendapat kod itu pada telefon anda dan masukkannya untuk masuk. Kod itu hanya baik untuk kegunaan tunggal.

    Kedengarannya agak selamat. Lagipun, hanya anda mempunyai nombor telefon anda dan seseorang harus mempunyai telefon anda untuk melihat kod yang betul? Malangnya tidak.

    Sekiranya seseorang mengetahui nombor telefon anda dan boleh mendapat akses kepada maklumat peribadi seperti empat angka terakhir nombor keselamatan sosial anda-malangnya, ini mudah untuk mendapatkan terima kasih kepada banyak syarikat dan agensi kerajaan yang membocorkan data pelanggan-mereka boleh menghubungi telefon anda syarikat dan pindahkan nombor telefon anda ke telefon baru. Ini dikenali sebagai "swap SIM", dan adalah proses yang sama yang anda lakukan apabila anda membeli peranti baru dan memindahkan nombor telefon anda kepadanya. Orang itu mengatakan mereka adalah anda, menyediakan data peribadi, dan syarikat telefon bimbit anda menubuhkan telefon mereka dengan nombor telefon anda. Mereka akan mendapat kod mesej SMS yang dihantar ke nombor telefon anda pada telefon mereka.

    Kami telah melihat laporan mengenai kejadian ini di UK, di mana penyerang mencuri nombor telefon mangsa dan menggunakannya untuk mendapatkan akses ke akaun bank mangsa. Negeri New York juga memberi amaran mengenai penipuan ini.

    Pada terasnya, ini adalah serangan kejuruteraan sosial yang bergantung kepada menipu syarikat telefon bimbit anda. Tetapi syarikat telefon bimbit anda tidak boleh memberikan seseorang yang mempunyai akses kepada kod keselamatan anda di tempat pertama!

    Mesej SMS Boleh Dipintas dalam Banyak Cara

    Ia juga mungkin untuk mengintip mesej SMS. Penentang politik dan wartawan di negara-negara yang menindas akan ingin berhati-hati, karena pemerintah dapat merampas pesan SMS karena mereka dikirim melalui jaringan telepon. Ini telah berlaku di Iran, di mana penggodam Iran dilaporkan telah menjejaskan sejumlah akaun penasihat Telegram dengan memintas mesej SMS yang memberikan akses kepada akaun tersebut.

    Penyerang juga telah menyalahgunakan masalah dalam SS7, sistem sambungan yang digunakan untuk menjelajah, untuk memintas mesej SMS di rangkaian dan menavigasi mereka di tempat lain. Terdapat banyak cara lain yang boleh dipintas mesej, termasuk melalui penggunaan menara telefon bimbit palsu. Mesej SMS tidak direka untuk keselamatan, dan tidak boleh digunakan untuknya.

    Dengan kata lain, penyerang yang canggih dengan sedikit maklumat peribadi boleh merampas nombor telefon anda untuk mendapatkan akses ke akaun dalam talian anda dan kemudian menggunakan akaun tersebut untuk cuba mengalirkan akaun bank anda, contohnya. Itulah sebabnya Institut Standard dan Teknologi Kebangsaan tidak lagi mengesyorkan penggunaan mesej SMS untuk pengesahan dua faktor.

    Alternatif: Menjana Kod pada Peranti Anda

    Skim pengesahan dua faktor yang tidak bergantung kepada SMS adalah lebih tinggi, kerana syarikat telefon bimbit tidak akan dapat memberikan orang lain akses kepada kod anda. Pilihan yang paling popular untuk ini adalah aplikasi seperti Google Authenticator. Walau bagaimanapun, kami mencadangkan Authy, kerana ia melakukan semua yang dilakukan Google Authenticator dan banyak lagi.

    Aplikasi seperti ini menghasilkan kod pada peranti anda. Walaupun penyerang menipu syarikat telefon bimbit anda ke dalam menggerakkan nombor telefon anda ke telefon mereka, mereka tidak akan dapat mendapatkan kod keselamatan anda. Data yang diperlukan untuk menjana kod tersebut akan tetap selamat di telefon anda.

     

    Anda tidak perlu menggunakan kod, sama ada. Perkhidmatan seperti Twitter, Google, dan Microsoft sedang menguji dua faktor pengesahan berasaskan aplikasi yang membolehkan anda melog masuk pada peranti lain dengan memberi kuasa log masuk dalam apl mereka pada telefon anda.

    Terdapat juga token perkakasan fizikal yang boleh anda gunakan. Syarikat-syarikat besar seperti Google dan Dropbox telah pun melaksanakan standard baru bagi tokens pengesahan dua faktor berasaskan perkakasan yang dinamakan U2F. Ini semua lebih selamat daripada bergantung kepada syarikat telefon bimbit anda dan rangkaian telefon yang sudah lapuk.

    Jika boleh, elakkan SMS untuk pengesahan dua faktor. Ia lebih baik daripada apa-apa dan seolah-olah mudah, tetapi biasanya skim pengesahan dua faktor selamat yang anda boleh pilih.

    Malangnya, sesetengah perkhidmatan memaksa anda menggunakan SMS. Jika anda bimbang tentang perkara ini, anda boleh membuat nombor telefon Google Voice dan memberikannya kepada perkhidmatan yang memerlukan pengesahan SMS. Anda kemudiannya boleh melog masuk ke akaun Google anda-yang mana anda boleh melindungi dengan kaedah pengesahan dua faktor yang lebih selamat-dan lihat mesej yang selamat di laman web atau aplikasi Google Voice. Hanya jangan hantar mesej dari Google Voice ke nombor telefon bimbit sebenar anda.