Eksperci ds. Bezpieczeństwa zalecają stosowanie uwierzytelniania dwuskładnikowego w celu zabezpieczenia kont internetowych w miarę możliwości. Wiele usług domyślnie obsługuje weryfikację SMS-ów, wysyłanie kodów za pośrednictwem wiadomości tekstowych do telefonu podczas próby zalogowania. Jednak wiadomości SMS mają wiele problemów z zabezpieczeniami i są najmniej bezpieczną opcją uwierzytelniania dwuskładnikowego.
Choć zamierzamy wytyczyć tutaj sprawę przeciwko SMS-owi, ważne jest, aby najpierw wyjaśnić jedną rzecz: korzystanie z SMS-ów jest lepsze niż nieużywanie w ogóle uwierzytelniania dwuskładnikowego.
Jeśli nie używasz uwierzytelniania dwuskładnikowego, ktoś potrzebuje tylko Twojego hasła, aby zalogować się na swoje konto. Podczas korzystania z uwierzytelniania dwuskładnikowego za pomocą wiadomości SMS, ktoś będzie musiał zarówno uzyskać hasło, jak i uzyskać dostęp do wiadomości tekstowych, aby uzyskać dostęp do konta. SMS jest o wiele bezpieczniejszy niż nic.
Jeśli SMS jest Twoją jedyną opcją, użyj SMS-a. Jeśli jednak chcesz się dowiedzieć, dlaczego eksperci od bezpieczeństwa zalecają unikanie SMS-ów i tego, co zalecamy, czytaj dalej.
Oto, jak działa weryfikacja za pomocą wiadomości SMS: przy próbie zalogowania się usługa wysyła wiadomość tekstową na podany wcześniej numer telefonu komórkowego. Dostajesz ten kod na swój telefon i wprowadzasz go, aby się zalogować. Ten kod jest dobry tylko do jednorazowego użytku.
Brzmi dość bezpiecznie. W końcu tylko Ty masz swój numer telefonu i ktoś musi mieć telefon, żeby zobaczyć kod, prawda? Niestety nie.
Jeśli ktoś zna Twój numer telefonu i może uzyskać dostęp do danych osobowych, takich jak cztery ostatnie cyfry numeru ubezpieczenia społecznego - niestety łatwo jest to znaleźć dzięki wielu korporacjom i agencjom rządowym, które ujawniły dane klienta - mogą skontaktować się z telefonem i przenieś swój numer telefonu na nowy telefon. Jest to tak zwana "wymiana SIM" i jest to ten sam proces, który wykonuje się przy zakupie nowego urządzenia i przeniesieniu do niego numeru telefonu. Ta osoba mówi, że to ty, podaje dane osobowe, a twoja firma komórkowa ustawia telefon z numerem telefonu. Otrzymają kody wiadomości SMS wysłane na Twój numer telefonu na swoim telefonie.
Widzieliśmy doniesienia o tym w Wielkiej Brytanii, gdzie atakujący ukradli numer telefonu ofiary i wykorzystali go, by uzyskać dostęp do konta bankowego ofiary. Stan Nowy Jork ostrzegł również przed tym oszustwem.
W istocie jest to atak socjotechniczny polegający na oszukiwaniu firmy telefonii komórkowej. Ale Twoja firma komórkowa nie powinna być w stanie zapewnić komuś dostępu do kodów bezpieczeństwa w pierwszej kolejności!
Możliwe jest również podsłuchiwanie wiadomości SMS. Polityczni dysydenci i dziennikarze w represyjnych krajach będą chcieli zachować ostrożność, ponieważ rząd może przejąć wiadomości SMS, ponieważ są one przesyłane przez sieć telefoniczną. Miało to już miejsce w Iranie, gdzie irańscy hakerzy naruszyli pewną liczbę kont posłańców Telegram, przechwytując wiadomości SMS zapewniające dostęp do tych kont.
Atakujący wykorzystali również problemy w SS7, systemie połączeń wykorzystywanym do roamingu, do przechwytywania wiadomości SMS w sieci i kierowania ich w inne miejsce. Istnieje wiele innych sposobów przechwytywania wiadomości, w tym z wykorzystaniem fałszywych wież telefonii komórkowej. Wiadomości SMS nie zostały zaprojektowane z myślą o bezpieczeństwie i nie powinny być wykorzystywane do tego celu.
Innymi słowy, wyrafinowany atakujący z odrobiną danych osobowych może przejąć twój numer telefonu, aby uzyskać dostęp do Twoich kont online, a następnie użyć tych kont, aby spróbować np. Drenować swoje konta bankowe. Dlatego Narodowy Instytut Standardów i Technologii już nie zaleca stosowania wiadomości SMS do uwierzytelniania dwuskładnikowego.
Dwuskładnikowy schemat uwierzytelniania, który nie polega na SMS-ach, jest lepszy, ponieważ firma telefonii komórkowej nie będzie w stanie dać komuś dostępu do kodów. Najpopularniejszą opcją jest aplikacja Google Authenticator. Zalecamy jednak Authy, ponieważ robi to wszystko, co robi Google Authenticator i więcej.
Aplikacje takie jak ta generują kody na Twoim urządzeniu. Nawet jeśli napastnik oszukał twoją firmę telefonii komórkowej w przeniesieniu twojego numeru telefonu na swój telefon, nie byliby w stanie uzyskać twoich kodów bezpieczeństwa. Dane potrzebne do wygenerowania tych kodów pozostaną bezpiecznie w telefonie.
Nie musisz też używać kodów.Usługi takie jak Twitter, Google i Microsoft testują oparte na aplikacji uwierzytelnianie dwuskładnikowe, które umożliwia zalogowanie się na innym urządzeniu poprzez autoryzację logowania w aplikacji na telefonie.
Istnieją również fizyczne tokeny sprzętowe, których możesz użyć. Duże firmy, takie jak Google i Dropbox, już wdrożyły nowy standard dla dwuskładnikowych tokenów uwierzytelniania o nazwie U2F. Są one bardziej bezpieczne niż poleganie na firmie telefonii komórkowej i przestarzałej sieci telefonicznej.
Jeśli to możliwe, unikaj SMS-ów w celu uwierzytelniania dwuskładnikowego. Jest to lepsze niż nic i wydaje się wygodne, ale zazwyczaj jest to najmniej bezpieczny, dwuskładnikowy schemat uwierzytelniania, który możesz wybrać.
Niestety, niektóre usługi zmuszają Cię do korzystania z SMS-ów. Jeśli się o to martwisz, możesz utworzyć numer telefonu Google Voice i przekazać go usługom, które wymagają uwierzytelniania SMS-em. Następnie możesz zalogować się na swoje konto Google - które możesz zabezpieczyć bezpieczniejszą metodą uwierzytelniania dwuskładnikowego - i wyświetlać bezpieczne wiadomości w witrynie lub aplikacji Google Voice. Po prostu nie przesyłaj wiadomości z Google Voice na rzeczywisty numer telefonu komórkowego.