Uwierzytelnianie dwuskładnikowe za pomocą wiadomości SMS nie chroni, jeśli hakerzy mogą przechwytywać wiadomości
Dla uproszczenia eksperci często opisują uwierzytelnianie dwuskładnikowe (2FA) jako system, który pozwala zalogować się na konto tylko wtedy, gdy podasz coś, co znasz, a także coś, co masz.
To, co wiesz, jest oczywiste - odpowiednia kombinacja nazwy użytkownika i hasła. Rzecz masz, jest jednak zupełnie inna historia. Z kilkoma wyjątkami, tak naprawdę nie zapewniasz czegoś, co masz przy sobie. Zazwyczaj wprowadzić tymczasowy kod, który pojawia się w jakiś sposób na urządzeniu masz. A które urządzenie masz przy sobie przez cały czas? Zgadza się, twój telefon komórkowy.
Table of Contents
SMS i uwierzytelnianie dwuskładnikowe
Wysyłanie SMS-a tymczasowego kodu dostępu do telefonu komórkowego jest oczywistym rozwiązaniem. Jest szybki, niedrogi i przez jakiś czas nie było innych alternatyw. Do dnia dzisiejszego istnieje wiele usług online, które oferują tego rodzaju uwierzytelnianie dwuskładnikowe i wiele osób korzysta z niego, uważając, że jest to najbardziej sensowna rzecz na świecie.
Jednak specjaliści ds. Bezpieczeństwa od pewnego czasu mają wątpliwości. Chodzi o to, że kiedy wyrażają swoje obawy, często są krytykowani za nadmierną paranoję, i trzeba powiedzieć, że co jakiś czas scenariusze, które niektórzy z nich opisują, nie są zbyt prawdopodobne, szczególnie jeśli chodzi o zwykłych użytkowników. Jednak w przypadku SMS i uwierzytelniania dwuskładnikowego obawy opierają się na zimnych, twardych faktach na temat danej technologii i nie należy ich lekceważyć.
SS7 - starożytna technologia, której nadal używamy do wysyłania i odbierania SMS-ów
System sygnalizacyjny nr 7 (SS7) to zbiór protokołów, z których korzystaliśmy między innymi do przesyłania wiadomości tekstowych od momentu pojawienia się pierwszych telefonów komórkowych. Rzeczywiste protokoły zostały opracowane już w 1975 r. I jak każda technologia, która ma ponad czterdzieści lat, również udowodniono, że mają jedną lub dwie wady.
Z punktu widzenia bezpieczeństwa sprawy były szczególnie niepokojące, szczególnie w ciągu ostatniej dekady. Eksperci mówią o lukach w zabezpieczeniach SS7 od 2008 r. Pierwsze wady umożliwiają śledzenie ofiar, a późniejsze odkrycia pozwalają oszustom na przekazywanie i przechwytywanie połączeń i wiadomości. Teoretycznie tylko dostawcy usług telekomunikacyjnych powinni mieć dostęp do sieci SS7, ale w rzeczywistości każdy może udać się na podziemne rynki i kupić narzędzia, które pozwolą im przejrzeć przepływ informacji.
Gdy tylko odkryli pierwsze luki w zabezpieczeniach, eksperci stwierdzili, że SS7 jest nieodpowiedni do ochrony prywatności użytkowników i powiedzieli, że coś bardziej nowoczesnego powinno go zastąpić. Najwyraźniej jednak dostawcy usług telekomunikacyjnych uważali, że zagrożenie nie jest tak poważne, a wezwania społeczności bezpieczeństwa zostały zignorowane. W 2017 r. Stało się nieuniknione.
Niemiecki oddział O2-Telefonica, europejskiego operatora telefonii komórkowej, przyznał, że niektórzy z jego klientów opróżnili swoje konta bankowe po tym, jak przestępcy wykorzystali lukę w sieci SS7. Po pierwsze, hakerzy wykorzystali socjotechnikę, aby nakłonić ofiary do zainstalowania złośliwego oprogramowania na swoich komputerach. Uzbrojeni w skradzione nazwy użytkowników, hasła i numery telefonów, oszuści próbowali zalogować się na konta użytkowników w środku nocy. Następnie przechwycili SMS-y za pomocą dwuskładnikowych kodów uwierzytelniających i skutecznie wyprowadzili pieniądze.
Po tym wydarzeniu coraz więcej osób zaczęło naciskać na nowszą technologię zastępującą SS7, ale faktem jest, że w tej chwili po prostu nie mamy alternatywy. To, obok zagrożenia zamianą karty SIM, sprawia, że SMS jako medium do przesyłania kodów 2FA jest mniej niż idealny. Czy to oznacza, że w żadnym wypadku nie należy nigdy używać uwierzytelniania dwuskładnikowego SMS?
Uwierzytelnianie dwuskładnikowe SMS jest lepsze niż brak uwierzytelniania dwuskładnikowego
SMS, zwłaszcza gdy jest używany do czegoś tak wrażliwego jak kody 2FA, ma swoje wady. Trzeba jednak powiedzieć, że niektórzy ludzie dają się ponieść ostrzeżeniom. Rzeczywiście, ataki SS7 są nie tylko teoretyczną możliwością, ale faktem, o czym świadczą klienci O2-Telefonica. Ten rodzaj przestępstwa może być popełniony tylko przez wyrafinowane grupy hakerskie, które są zarówno wysoko wykwalifikowane, jak i bardzo zmotywowane. I wbrew powszechnemu przekonaniu, nie ma ich tak wielu. Większość cyberprzestępców żerujących na użytkownikach nie ma ani wiedzy, ani zasobów, aby przeprowadzić taki atak. To samo dotyczy zamiany kart SIM.
W każdym razie, nawet jeśli są wystarczająco wykwalifikowani, aby przechwytywać wiadomości tekstowe, dzięki włączonemu uwierzytelnianiu dwuskładnikowemu, co najmniej utrudnisz ich życie. To zawsze dobrze.
Powinieneś już wiedzieć, że istnieje kilka alternatyw. Aplikacje do uwierzytelniania dwuskładnikowego, takie jak Google Authenticator, generują kody lokalnie, co oznacza, że oszuści nie mogą ich przechwycić. A jeśli chcesz być jeszcze bardziej bezpieczny, zawsze możesz spojrzeć na tokeny uwierzytelniające U2F.
Nawet te opcje nie są bezbłędne, ale zwłaszcza jeśli chronisz coś ważnego, na przykład pocztę elektroniczną lub konto bankowe online, wykonują one znacznie lepszą pracę niż wiadomości tekstowe. Sprawdź opcje 2FA dla wszystkich używanych usług, a jeśli możesz wybrać coś bezpieczniejszego niż wiadomości tekstowe, upewnij się, że tak. Nawet jeśli SMS-y są jedyną opcją, upewnij się, że 2FA jest włączony.
