To-faktors SMS-godkendelse beskytter dig ikke, hvis hackere kan opfange dine meddelelser

SMS 2FA

For nemheds skyld beskriver eksperter ofte tofaktorautentisering (2FA) som et system, der kun giver dig mulighed for at logge ind på din konto, hvis du leverer noget, du kender, såvel som noget, du har.

Det, du kender, er åbenlyst - det rigtige brugernavn og kodeordkombination. De ting du har, er imidlertid en anden historie. Med nogle få undtagelser giver du faktisk ikke noget, du har med dig. Du indtaster normalt en midlertidig kode, der på en eller anden måde vises på en enhed, du har. Og hvilken enhed har du til enhver tid? Det er rigtigt, din mobiltelefon.

SMS og tofaktorautentisering

At sende en midlertidig adgangskode til din mobiltelefon er en indlysende løsning. Det er hurtigt, det er billigt, og i et stykke tid var der ikke andre alternativer. I dag er der adskillige onlinetjenester, der tilbyder denne form for tofaktorautentifikation, og mange mennesker bruger den, når de tror, at det er den mest fornuftige ting i verden.

Sikkerhedsspecialister har imidlertid været i tvivl i et stykke tid. Sagen er, når de giver udtryk for deres bekymringer, bliver de ofte kritiseret for at være overdrevent paranoide, og det må siges, at scenarier, som nogle af dem beskriver hver gang og igen, ikke er meget sandsynlige, især hvad angår almindelige brugere. I tilfælde af SMS og tofaktorautentifikation er frygtene dog fundet i kolde, hårde fakta om den pågældende teknologi, og de bør ikke afvises let.

SS7 - den gamle teknologi, som vi stadig bruger til at sende og modtage SMSer

Signalingssystem nr. 7 (SS7) er en samling af protokoller, som vi har brugt til blandt andet at overføre tekstmeddelelser lige siden de første mobiltelefoner kom ud. De faktiske protokoller blev udviklet helt tilbage i 1975, og ligesom enhver teknologi, der er mere end fyrre år gammel, har de også vist sig at have en eller to ulemper.

Fra et sikkerhedsmæssigt synspunkt har ting været særlig foruroligende, især i det sidste årti eller deromkring. Eksperter har talt om SS7-sårbarheder siden 2008, med de første mangler, der muliggør sporing af ofre, og med senere opdagelser, der lader skurke videresende og aflytte opkald og beskeder. I teorien skal kun telekommunikationsudbydere have adgang til SS7-netværk, men i virkeligheden kan enhver gå til de underjordiske markeder og købe værktøjer, der giver dem mulighed for at skumme gennem informationsstrømmen.

Så snart de fandt de første sårbarheder, erklærede eksperter SS7 utilstrækkelige til at beskytte brugernes privatliv og sagde, at noget mere moderne skulle erstatte det. Tilsyneladende troede imidlertid telekommunikationsudbydere, at truslen ikke er så alvorlig, og opkald fra sikkerhedssamfundet blev ignoreret. I 2017 skete det uundgåelige.

Den tyske filial af O2-Telefonica, en europæisk mobiludbyder, indrømmede, at nogle af dets kunder har fået deres bankkonti drænet, efter at kriminelle udnyttede en fejl i SS7-netværket. Først brugte hackerne social engineering til at narre ofrene til at installere malware på deres computere. Bevæbnet med stjålne brugernavne, adgangskoder og telefonnumre prøvede skurkerne at logge ind på brugernes konti midt på natten. Derefter opfangede de sms'erne med de to-faktor-godkendelseskoder og forsinkede succes med pengene.

I kølvandet på hændelsen begyndte flere mennesker at presse på for en nyere teknologi til at erstatte SS7, men kendsgerningen er, at i øjeblikket har vi simpelthen ikke et alternativ. Dette sammen med truslen om SIM-swapping gør SMS som et medium til overførsel af 2FA-koder mindre end perfekt. Betyder det, at du under ingen omstændigheder nogensinde bør bruge SMS-to-faktor-godkendelse?

SMS-to-faktor-godkendelse er bedre end ingen to-faktor-godkendelse

SMS'en, især når den bruges til noget så følsomt som 2FA-koder, har sine fejl. Det må dog siges, at nogle mennesker bliver lidt revet med advarslerne. Faktisk er SS7-angreb ikke kun en teoretisk mulighed, men et faktum af livet, som kunder fra O2-Telefonica kan vidne om. Denne type kriminalitet kan dog kun udføres af sofistikerede hackinggrupper, der imidlertid både er meget dygtige og meget motiverede. Og i modsætning til den almindelige tro, er der ikke så mange af dem der er omkring. De fleste af de cyberkriminelle, der forbinder brugere, har hverken viden eller ressourcer til at trække et sådant angreb ud. Det samme gælder SIM-swapping.

Og selvom de er dygtige nok til at opfange tekstbeskeder ved at aktivere tofaktorautentisering, er du i det mindste at gøre deres liv meget sværere. Det er altid en god ting.

Du skulle vide nu, at der er et par alternativer. To-faktor godkendelsesapps som Google Authenticator genererer deres koder lokalt, hvilket betyder, at skurke ikke kan opfange dem. Og hvis du vil være endnu mere sikker, kan du altid se på U2F-godkendelsesmærker.

Selv disse indstillinger er ikke fejlfri, men især hvis du beskytter noget vigtigt som din e-mail eller din online bankkonto, gør de et meget bedre job end tekstbeskeder. Kontroller 2FA-indstillingerne for alle de tjenester, du bruger, og hvis du kan vælge noget mere sikkert end tekstbeskeder, skal du sørge for, at du gør det. Selv hvis SMSer er den eneste mulighed, skal du sørge for, at 2FA er aktiveret.

I Duran
November 22, 2019
Tips
Dansk
November 22, 2019
Tips

Populære opslag

Microsoft advarer om statsstøttede trusselsaktører, der bruger...

4 days siden

Trojan Al11 Malware Detektion

11 months siden

Pinaview er en fuldt udstyret adware-app

10 months siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

7 months siden

Hvad er Lucky Ransomware?

7 months siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

6 months siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.