Dviejų faktorių SMS autentifikacija neapsaugos jūsų, jei įsilaužėliai gali perimti jūsų pranešimus

SMS 2FA

Paprastumo dėlei ekspertai dviejų veiksnių autentifikavimą (2FA) dažnai apibūdina kaip sistemą, leidžiančią prisijungti prie savo sąskaitos tik tuo atveju, jei pateikiate tai, ką žinote, taip pat tai, ką turite.

Jūsų žinomas dalykas yra akivaizdus - tinkamas vartotojo vardo ir slaptažodžio derinys. Viskas, ką turite, yra kita istorija. Išskyrus keletą išimčių, jūs iš tikrųjų nepateikiate to, ką turite su savimi. Paprastai įvesti laikiną kodą, kažkaip atrodo ant prietaiso turite. O kokį prietaisą visada turite su savimi? Teisingai, tavo mobilusis telefonas.

SMS ir dviejų veiksnių autentifikavimas

Siųskite laikinajam kodui į savo mobilųjį telefoną yra akivaizdus sprendimas. Greita, nebrangu, o kurį laiką nebuvo jokių kitų alternatyvų. Iki šiol yra daugybė internetinių paslaugų, siūlančių tokio tipo dviejų faktorių autentifikavimą, ir daugelis žmonių ja naudojasi galvodami, kad tai yra protingiausias dalykas pasaulyje.

Tačiau saugumo specialistai kurį laiką abejojo. Reikalas tas, kad pareikšdami savo susirūpinimą, jie dažnai kritikuojami dėl per daug paranojiškų požymių, ir reikia pasakyti, kad kaskart scenarijai, kuriuos apibūdina kai kurie iš jų, nėra labai tikėtini, ypač kalbant apie įprastus vartotojus. Tačiau SMS ir dviejų veiksnių autentifikavimo atveju baimės yra pagrįstos šaltais ir sunkiais faktais apie aptariamą technologiją, todėl jų nereikėtų atmesti lengvai.

SS7 - senovinė technologija, kurią vis dar naudojame SMS žinutėms siųsti ir gauti

Signalizacijos sistema Nr. 7 (SS7) yra protokolų, kuriais mes naudojome, be kita ko, perduodant tekstines žinutes nuo to laiko, kai pasirodė pirmieji mobilieji telefonai, rinkinys. Faktiniai protokolai buvo sukurti dar 1975 m., Ir, kaip ir kiekviena daugiau nei keturiasdešimt metų sena technologija, jie taip pat turi vieną ar du trūkumus.

Saugumo požiūriu viskas sukėlė ypač didelį nerimą, ypač maždaug per pastarąjį dešimtmetį. Ekspertai jau nuo 2008 m. Kalba apie SS7 pažeidžiamumą. Pirmieji trūkumai leidžia sekti aukas, o vėlesni atradimai leidžia sukčiams judėti pirmyn ir perimti skambučius bei žinutes. Teoriškai prieigą prie SS7 tinklų turėtų turėti tik telekomunikacijų paslaugų teikėjai, tačiau iš tikrųjų kiekvienas gali eiti į pogrindžio rinkas ir nusipirkti įrankių, kurie leistų nugrimzti per informacijos srautą.

Kai tik jie nustatė pirmuosius pažeidžiamumus, ekspertai paskelbė, kad SS7 netinkamas vartotojų privatumui apsaugoti, ir teigė, kad jį turėtų pakeisti kažkas modernesnio. Tačiau, matyt, telekomunikacijų teikėjai manė, kad grėsmė nėra tokia rimta, ir saugumo bendruomenės skambučiai buvo ignoruojami. 2017 m. Įvyko neišvengiama.

Europos mobiliųjų paslaugų teikėjo „O2-Telefonica“ Vokietijos filialas pripažino, kad kai kurių jos klientų banko sąskaitos buvo nusausintos po to, kai nusikaltėliai išnaudojo SS7 tinklo trūkumą. Pirma, įsilaužėliai pasinaudojo socialine inžinerija, siekdami apgauti aukas diegti kenkėjiškas programas savo kompiuteriuose. Apsiginklavę pavogtais vartotojo vardais, slaptažodžiais ir telefono numeriais, sukčiai vidury nakties bandė prisijungti prie vartotojų paskyrų.. Tada jie sulaikė SMS žinutes su dviejų veiksnių autentifikavimo kodais ir sėkmingai išgrynino pinigus.

Po šio įvykio vis daugiau žmonių pradėjo reikalauti naujesnės technologijos, kad pakeistų SS7, tačiau faktas yra tas, kad šiuo metu mes paprasčiausiai neturime alternatyvos. Tai kartu su SIM apsikeitimo grėsme daro SMS kaip 2FA kodų perdavimo terpę ne tokią tobulą. Ar tai reiškia, kad jokiu būdu neturėtumėte niekada naudoti SMS dviejų faktorių autentifikavimo?

Dviejų veiksnių autentifikavimas SMS yra geriau nei dviejų veiksnių autentifikavimas

SMS žinutės turi trūkumų, ypač kai ji naudojama tokiems jautriems kaip 2FA kodai. Tačiau reikia pasakyti, kad kai kurie žmonės su įspėjimais šiek tiek atitrūksta. Iš tikrųjų SS7 išpuoliai yra ne tik teorinė galimybė, bet ir gyvenimo faktas, ką gali paliudyti „O2-Telefonica“ klientai. Tokį nusikaltimą gali padaryti tik modernios įsilaužimo grupės, kurios yra ir aukštos kvalifikacijos, ir motyvuotos. Ir priešingai nei paplitusi nuomonė, aplinkinių nėra tiek daug. Dauguma kibernetinių nusikaltėlių, grobstančių vartotojus, neturi nei žinių, nei išteklių tokiai atakai nutraukti. Tas pats pasakytina ir apie SIM mainus.

Bet kokiu atveju, net turėdami pakankamai įgūdžių perimti tekstinius pranešimus, įgalinę dviejų faktorių autentifikavimą, jūs bent jau apsunkinate jų gyvenimą. Tai visada geras dalykas.

Jau dabar turėtumėte žinoti, kad yra keletas alternatyvų. Dviejų veiksnių autentifikavimo programos, tokios kaip „Google Authenticator“, generuoja jų kodus vietoje, tai reiškia, kad sukčiai negali jų perimti. Ir jei norite būti dar saugesni, visada galite pasižiūrėti U2F autentifikavimo žetonus.

Net šios parinktys nėra nepriekaištingos, tačiau, ypač jei saugote svarbius dalykus, pvz., El. Paštą ar internetinės bankininkystės sąskaitą, jie atlieka daug geriau nei tekstiniai pranešimai. Patikrinkite visų naudojamų paslaugų 2FA parinktis ir, jei galite pasirinkti ką nors saugesnio nei tekstiniai pranešimai, įsitikinkite, kad darote. Net jei SMS yra vienintelė galimybė, turėtumėte įsitikinti, kad įjungta 2FA.

November 22, 2019
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.