Hvorfor du ikke bør bruge SMS til tofaktor godkendelse (og hvad du skal bruge i stedet for)
Sikkerhedseksperter anbefaler, at du bruger tofaktorautentificering til at sikre dine online-konti, hvor det er muligt. Mange tjenester er standard til SMS-verifikation, afsendelse af koder via SMS til din telefon, når du forsøger at logge ind. Men SMS-beskeder har mange sikkerhedsproblemer og er den mindst sikre mulighed for tofaktors godkendelse.
Første ting først: SMS er stadig bedre end ingen tofaktorautentificering overhovedet!
Selvom vi skal lægge sagen mod SMS her, er det vigtigt, at vi først gør en ting klar: Brug af SMS er bedre end ikke at bruge tofaktors godkendelse på alle.
Når du ikke bruger tofaktorautentificering, behøver kun din adgangskode til at logge ind på din konto. Når du bruger tofaktorautentificering med SMS, skal en person både få dit kodeord og få adgang til dine tekstbeskeder for at få adgang til din konto. SMS er meget mere sikker end ingenting overhovedet.
Hvis SMS er din eneste mulighed, skal du bruge SMS. Men hvis du gerne vil lære, hvorfor sikkerhedseksperter anbefaler at undgå sms og hvad vi anbefaler i stedet, læs videre.
SIM-swaps tillader angriberne at stjæle dit telefonnummer
Sådan fungerer SMS-verifikation: Når du prøver at logge ind, sender tjenesten en sms til det mobiltelefonnummer, du tidligere har givet dem. Du får den kode på din telefon og indtaster den for at logge ind. Denne kode er kun god til en enkelt brug.
Det lyder rimeligt sikkert. Når alt kommer til alt, har du kun dit telefonnummer, og nogen skal have din telefon til at se koden - rigtigt? Desværre ikke.
Hvis nogen kender dit telefonnummer og kan få adgang til personlige oplysninger som de sidste fire cifre i dit personnummer, er det desværre nemt at finde takket være de mange virksomheder og offentlige myndigheder, der har lækket kundedata. De kan kontakte din telefon firma og flyt dit telefonnummer til en ny telefon. Dette kaldes en "SIM swap", og er den samme proces, du udfører, når du køber en ny enhed og flytter dit telefonnummer til det. Personen siger at de er dig, giver de personlige data, og din mobiltelefonfirma opretter deres telefon med dit telefonnummer. De får SMS-beskedskoderne sendt til dit telefonnummer på deres telefon.
Vi har set rapporter om dette i Storbritannien, hvor angriberne stjal et offers telefonnummer og brugte det til at få adgang til offerets bankkonto. New York State har også advaret om denne svindel.
Kernen er dette et socialteknik angreb, der er afhængig af at narre din mobiltelefon virksomhed. Men dit mobiltelefonfirma bør ikke være i stand til at give nogen adgang til dine sikkerhedskoder i første omgang!
SMS-meddelelser kan opfanges på mange måder
Det er også muligt at snoop på SMS-beskeder. Politiske dissidenter og journalister i repressive lande vil gerne være forsigtige, da regeringen kan kapre sms-beskeder, da de sendes via telefonnetværket. Dette er allerede sket i Iran, hvor iranske hackere tilsyneladende kompromitterede en række telegram messenger konti ved at opfange SMS-beskeder, der gav adgang til disse konti.
Attackere har også misbrugt problemer i SS7, forbindelsessystemet, der anvendes til roaming, til at opfange SMS-beskeder på netværket og rute dem andre steder. Der er mange andre måder, hvorpå meddelelser kan opfanges, herunder ved hjælp af falske mobiltelefontårne. SMS-beskeder er ikke designet til sikkerhed, og bør ikke bruges til det.
Med andre ord kan en sofistikeret angriber med en smule personlige oplysninger kapre dit telefonnummer for at få adgang til dine online-konti, og brug derefter disse konti til at forsøge at dræne dine bankkonti. Derfor anbefaler National Institute of Standards and Technology ikke længere brugen af SMS-beskeder til tofaktors godkendelse.
Alternativet: Generer koder på din enhed
En tofaktors godkendelsesskema, der ikke er afhængig af SMS, er overlegen, fordi mobiltelefonfirmaet ikke vil være i stand til at give en anden adgang til dine koder. Den mest populære mulighed for dette er en app som Google Authenticator. Vi anbefaler dog Authy, da det gør alt Google Authenticator og mere.
Applikationer som denne genererer koder på din enhed. Selvom en angriber lurede din mobiltelefonfirma i at flytte dit telefonnummer til deres telefon, ville de ikke kunne få dine sikkerhedskoder. De data, der er nødvendige for at generere disse koder, forbliver sikkert på din telefon.
Du behøver heller ikke bruge koder. Tjenester som Twitter, Google og Microsoft tester appbaseret tofaktorautentificering, der giver dig mulighed for at logge ind på en anden enhed ved at godkende tilmeldingen i deres app på din telefon.
Der er også fysiske hardware tokens du kan bruge. Store virksomheder som Google og Dropbox har allerede implementeret en ny standard for hardwarebaserede tofaktor-autentificeringstegn, der hedder U2F. Disse er alle mere sikre end at stole på din mobiltelefon virksomhed og det forældede telefonnetværk.
Undgå sms for tofaktors godkendelse, hvis det er muligt. Det er bedre end ingenting og virker bekvemt, men det er som regel den mindst sikre tofaktors godkendelsesordning, du kan vælge.
Desværre tvinger nogle tjenester dig til at bruge SMS. Hvis du er bekymret for dette, kan du oprette et Google Voice-telefonnummer og give det til tjenester, der kræver SMS-godkendelse. Du kan derefter logge ind på din Google-konto, som du kan beskytte med en mere sikker tofaktors godkendelsesmetode - og se de sikre beskeder på Google Voice-webstedet eller -appen. Send ikke bare meddelelser fra Google Voice til dit faktiske mobiltelefonnummer.