Ensimmäiset asiat ensiksi: SMS on edelleen parempi kuin kahden tekijän todennus kaikilla!
Samalla, kun aiomme laatia tekstiviestiä vastaan, on tärkeätä tehdä selväksi eräs asia: tekstiviestien käyttäminen on parempi kuin kahden tekijän todentamisen käyttämistä lainkaan.
Kun et käytä kaksitasoista todennusta, joku tarvitsee vain salasanasi kirjautumalla tiliisi. Kun käytät kaksitasoista todennusta tekstiviestillä, joku tarvitsee sekä hankkimaan salasanasi että pääsemään tekstiviesteihisi, jotta pääset käsiksi tiliisi. SMS on paljon turvallisempi kuin mikään ei ollenkaan.
Jos SMS on ainoa vaihtoehto, käytä tekstiviestejä. Jos haluat kuitenkin tietää, miksi turvallisuusasiantuntijat suosittelevat tekstiviestien välttämistä ja suosittelemme sitä, lue lisää.
SIM-swapit sallivat hyökkääjän varastaa puhelinnumerosi
Näin SMS-vahvistus toimii: Kun yrität kirjautua sisään, palvelu lähettää tekstiviestin siihen matkapuhelinnumeroon, jonka olet antanut aiemmin. Saat koodin puhelimeesi ja kirjoita se kirjautumiseen. Tämä koodi on vain yhtä käyttökertaa varten.
Jos joku tietää puhelinnumerosi ja pääsee käsiksi henkilökohtaisiin tietoihisi, kuten sosiaaliturvatunnuksen neljä viimeistä numeroa - valitettavasti tämä on helppo löytää monien yritysten ja julkishallinnon virastojen ansiosta, jotka ovat vuotaneet asiakastietoja - he voivat ottaa yhteyttä puhelimeesi ja siirrä puhelinnumerosi uuteen puhelimeen. Tätä kutsutaan "SIM-swapiksi" ja se on sama prosessi, jota teet, kun ostat uuden laitteen ja siirrät puhelinnumerosi siihen. Henkilö sanoo, että olet sinä, antaa henkilökohtaiset tiedot, ja matkapuhelinyhtiö asettaa puhelimen puhelinnumerosi kanssa. He saavat tekstiviestikoodit, jotka lähetetään puhelinnumerosi puhelimeesi.
Olemme nähneet raportteja tästä tapahtumasta Isossa-Britanniassa, jossa hyökkääjät tappoivat uhrin puhelinnumeron ja käyttivät sitä pääsemään uhrin pankkitilille. New Yorkin valtio on myös varoittanut tästä huijauksesta.
Sen ytimessä tämä on sosiaalisen tekniikan hyökkäys, joka tukeutuu matkapuhelinyrityksen tekemiseen. Mutta matkapuhelinyrityksesi ei saisi tarjota jollekulle pääsyä turvakoodeihisi ensiksi!
Tekstiviestejä voidaan siepata monin tavoin
Hyökkääjät ovat myös käyttäneet väärinkäytöksiä SS7: ssä, verkkovierailussa käytetyn yhteysjärjestelmän, verkkoviestintäsegmenttien sieppaamiseen ja reitittämiseen muualle. On olemassa monia muita tapoja, joilla viestit voidaan piilottaa, mukaan lukien väärennetyt matkapuhelin tornit. Tekstiviestejä ei ole suunniteltu turvallisuutta varten, eikä niitä pitäisi käyttää siihen.
Toisin sanoen hienostunut hyökkääjä, jolla on vähän henkilökohtaisia tietoja, voi kaapata puhelinnumerosi päästäkseen verkkotiliisi ja käyttää näitä tilejä esimerkiksi yrittäessään tyhjentää pankkitilisi. Siksi National Institute of Standards and Technology ei enää suosittele tekstiviestien käyttöä kaksitekijänä toimivalle todentamiselle.
Vaihtoehto: Luo koodit laitteellasi
Kaksitasoinen todennustekniikka, joka ei tue tekstiviestejä, on erinomainen, koska matkapuhelinyhtiö ei pysty antamaan jollekulle muuta pääsyä koodeihisi. Tämän suosituin vaihtoehto on sovellus, kuten Google Authenticator. Suosittelemme kuitenkin Authyä, koska se tekee kaiken Google Authenticatorin ja paljon muuta.
Tällaiset sovellukset tuottavat koodeja laitteellasi. Vaikka hyökkääjä olisi halunnut matkapuhelinyrityksesi siirtämään puhelinnumeron puhelimeesi, he eivät pystyisi saamaan suojauskoodeja. Näiden koodien luomiseen tarvittavat tiedot pysyvät turvallisesti puhelimeesi.
Voit käyttää myös fyysisiä laitteistokoodeja. Suuret yritykset, kuten Google ja Dropbox, ovat jo ottaneet käyttöön uuden standardin laitteistopohjaisille kaksitekijäisten todennusmerkkien nimelle U2F. Nämä ovat turvallisempia kuin turvautumaan matkapuhelinyritykseen ja vanhentuneeseen puhelinverkkoon.
Jos mahdollista, vältä tekstiviestejä kahden tekijän todennusta varten. Se on parempi kuin mikään eikä se näytä sopivalta, mutta se on tavallisesti vähiten turvallinen kaksitekijäinen todentamisohjelma, jonka voit valita.
Valitettavasti jotkut palvelut pakottavat käyttämään tekstiviestejä. Jos olet huolissasi tästä, voit luoda Google Voice -puhelinnumeron ja antaa sen palveluille, jotka edellyttävät tekstiviestitodennusta. Voit sitten kirjautua Google-tiliisi, jota voit suojata turvallisemmalla kaksitasoisella todennustekniikalla, ja katso suojattuja viestejä Google Voice -sivustossa tai -sovelluksessa. Älä lähetä viestejä Google Voice -palvelusta todelliseen matkapuhelinnumeroosi.
