Первые вещи: SMS все еще лучше, чем отсутствие двухфакторной аутентификации!
В то время как мы собираемся раскрыть здесь случай с SMS, важно, чтобы мы сначала поняли одно: использование SMS лучше, чем использование двухфакторной аутентификации вообще.
Если вы не используете двухфакторную аутентификацию, кому-то нужен только ваш пароль для входа в вашу учетную запись. Когда вы используете двухфакторную аутентификацию с помощью SMS, кто-то должен будет получить ваш пароль и получить доступ к вашим текстовым сообщениям, чтобы получить доступ к вашей учетной записи. SMS гораздо безопаснее, чем ничего.
Если SMS является вашим единственным вариантом, используйте SMS. Однако, если вы хотите узнать, почему эксперты по безопасности рекомендуют избегать SMS и то, что мы рекомендуем, читайте дальше.
SIM-карты позволяют атакующим украсть ваш номер телефона
Вот как работает проверка SMS. Когда вы пытаетесь войти в систему, служба отправляет текстовое сообщение на номер мобильного телефона, который вы ранее предоставили. Вы получаете этот код на своем телефоне и вводите его для входа. Этот код подходит только для одного использования.
Если кто-то знает ваш номер телефона и может получить доступ к личной информации, такой как последние четыре цифры вашего номера социального страхования, - к сожалению, это легко найти благодаря многим корпорациям и правительственным учреждениям, которые просочились данные о клиентах - они могут связаться с вашим телефоном компании и переместите свой номер телефона на новый телефон. Это называется «обмен SIM-картой», и это тот же самый процесс, который вы выполняете, когда приобретаете новое устройство и переместите свой номер телефона на него. Человек говорит, что это вы, предоставляет персональные данные, и ваша компания сотового телефона настраивает свой телефон с вашим номером телефона. Они получат коды SMS-сообщений, отправленные на ваш номер телефона на своем телефоне.
Мы видели сообщения об этом в Великобритании, где злоумышленники украли номер телефона жертвы и использовали его для доступа к банковскому счету жертвы. Штат Нью-Йорк также предупредил об этом мошенничестве.
По своей сути это социальная инженерная атака, которая опирается на обман вашей компании сотового телефона. Но ваша компания сотового телефона не должна предоставлять кому-то доступ к вашим кодам безопасности в первую очередь!
Сообщения SMS могут быть перехвачены многими способами
Атакующие также злоупотребляли проблемами в SS7, системе соединения, используемой для роуминга, для перехвата SMS-сообщений в сети и маршрутизации их в другом месте. Есть много других способов сообщения могут быть перехвачены, в том числе путем использования поддельных сотовых телефонов. SMS-сообщения не были предназначены для обеспечения безопасности и не должны использоваться для этого.
Другими словами, сложный атакующий с небольшим количеством личной информации может захватить ваш номер телефона, чтобы получить доступ к вашим онлайн-счетам, а затем использовать эти учетные записи, чтобы попытаться слить ваши банковские счета, например. Вот почему Национальный институт стандартов и технологий больше не рекомендует использовать SMS-сообщения для двухфакторной аутентификации.
Альтернатива: создание кодов на вашем устройстве
Двухфакторная схема проверки подлинности, которая не полагается на SMS, превосходит, потому что компания сотового телефона не сможет предоставить кому-то доступ к вашим кодам. Самым популярным вариантом для этого является приложение, такое как Google Authenticator. Однако мы рекомендуем Authy, поскольку он делает все, что делает Google Authenticator, и многое другое.
Такие приложения генерируют коды на вашем устройстве. Даже если злоумышленник обманул вашу компанию сотового телефона, чтобы перевести свой номер телефона на свой телефон, они не смогут получить ваши коды безопасности. Данные, необходимые для создания этих кодов, будут оставаться на вашем телефоне безопасно.
Существуют также физические аппаратные токены, которые вы можете использовать. Крупные компании, такие как Google и Dropbox, уже внедрили новый стандарт для аппаратных двухфакторных токенов аутентификации под названием U2F. Все они более безопасны, чем полагаться на вашу компанию сотового телефона и устаревшую телефонную сеть.
Если возможно, избегайте SMS для двухфакторной аутентификации. Это лучше, чем ничего, и кажется удобным, но это, как правило, наименее безопасная двухфакторная схема аутентификации, которую вы можете выбрать.
К сожалению, некоторые службы вынуждают вас использовать SMS. Если вы беспокоитесь об этом, вы можете создать номер телефона Google Voice и предоставить его службам, требующим аутентификации по SMS. Затем вы можете войти в свою учетную запись Google, которую вы можете защитить с помощью более безопасного двухфакторного метода проверки подлинности, и просмотреть защищенные сообщения на веб-сайте или приложении Google Voice. Просто не отправляйте сообщения из Google Voice на ваш фактический номер сотового телефона.
