Tvåfaktors SMS-autentisering skyddar inte dig om hackare kan fånga dina meddelanden

SMS 2FA

För enkelhetens skull beskriver experter ofta tvåfaktorautentisering (2FA) som ett system som låter dig logga in på ditt konto endast om du tillhandahåller något du vet såväl som något du har.

Det du vet är uppenbart - rätt användarnamn och lösenordskombination. Det du har är dock en annan historia. Med några få undantag tillhandahåller du inte faktiskt något du har med dig. Du anger vanligtvis en tillfällig kod som på något sätt visas på en enhet du har. Och vilken enhet du har med dig hela tiden? Det stämmer, din mobiltelefon.

SMS och tvåfaktorautentisering

Att skicka tillfälligt lösenord till din mobiltelefon är en uppenbar lösning. Det är snabbt, det är billigt och ett tag fanns det inga andra alternativ. Fram till idag finns det många onlinetjänster som erbjuder den här typen av tvåfaktorsautentisering, och många använder den och tror att det är det mest förnuftiga i världen.

Säkerhetsspecialister har emellertid haft sina tvivel ett tag. Saken är att när de uttrycker sina bekymmer kritiseras de ofta för att de är alltför paranoida, och det måste sägas att scenarierna som några av dem beskriver är då och då inte särskilt troliga, särskilt när det gäller vanliga användare.. När det gäller SMS och tvåfaktorautentisering är farhågorna dock baserade på kalla, hårda fakta om tekniken i fråga, och de bör inte avfärdas lätt.

SS7 - den gamla tekniken som vi fortfarande använder för att skicka och ta emot SMS

Signaleringssystem nr 7 (SS7) är en samling protokoll som vi har använt för bland annat att överföra textmeddelanden sedan de första mobiltelefonerna kom ut. De faktiska protokollen utvecklades redan 1975 och som alla tekniker som är mer än fyrtio år gamla har de också visat sig ha en eller två nackdelar.

Från säkerhetssynpunkt har saker varit särskilt oroande, särskilt under det senaste decenniet eller så. Experter har pratat om SS7-sårbarheter sedan 2008, med de första bristerna som möjliggör spårning av offren, och med senare upptäckter som låter skurkar vidarebefordra och avlyssna samtal och meddelanden. I teorin bör endast telekommunikationsleverantörer ha tillgång till SS7-nätverk, men i verkligheten kan vem som helst gå till de underjordiska marknaderna och köpa verktyg som gör det möjligt för dem att skumma genom informationsflödet.

Så snart de hittade de första sårbarheterna, förklarade experter SS7 otillräcklig för att skydda användarnas integritet och sa att något mer modernt borde ersätta det. Uppenbarligen tyckte emellertid telekommunikationsleverantörerna att hotet inte är så allvarligt och säkerhetsgemenskapens samtal ignorerades. Under 2017 hände det oundvikliga.

Den tyska filialen av O2-Telefonica, en europeisk mobilleverantör, medgav att vissa av dess kunder har fått sina bankkonton tömda efter att brottslingar utnyttjat en brist i SS7-nätverket. Först använde hackarna social teknik för att lura offren att installera skadlig programvara på sina datorer. Beväpnade med stulna användarnamn, lösenord och telefonnummer försökte skurkarna att logga in på användarnas konton mitt på natten. Sedan avlyssnade de SMS med tvåfaktors autentiseringskoder och lyckades sippa bort pengarna.

Efter händelsen började fler människor driva efter en nyare teknik för att ersätta SS7, men faktum är att för tillfället har vi helt enkelt inget alternativ. Detta, tillsammans med hotet om SIM-byte, gör SMS som ett medium för att överföra 2FA-koder mindre än perfekt. Betyder det att du inte under några omständigheter bör använda SMS-tvåfaktorautentisering?

SMS-tvåfaktorautentisering är bättre än ingen tvåfaktorsautentisering

SMSen, särskilt när den används för något så känsligt som 2FA-koder, har sina fel. Det måste sägas att vissa människor blir lite borttagna med varningarna. I själva verket är SS7-attacker inte bara en teoretisk möjlighet, utan ett faktum av livet, vilket kunder från O2-Telefonica kan vittna om. Denna typ av brottslighet kan dock endast begås av sofistikerade hackgrupper som är både mycket skickliga och mycket motiverade. Och till skillnad från den allmänna tron, det finns inte så många av de runt omkring. De flesta cyberbrottslingar som vänder sig till användare har varken kunskap eller resurser för att dra av en sådan attack. Detsamma gäller för SIM-byte.

Och i alla fall, även om de är tillräckligt duktiga för att fånga textmeddelanden, genom att aktivera tvåfaktorautentisering, gör du åtminstone deras liv mycket svårare. Det är alltid bra.

Du borde veta att det finns några alternativ. Tvåfaktors-autentiseringsappar som Google Authenticator genererar sina koder lokalt, vilket betyder att skurkar inte kan fånga dem. Och om du vill vara ännu säkrare kan du alltid titta på U2F-autentiseringstokens.

Även dessa alternativ är inte felfria, men särskilt om du skyddar något viktigt som din e-post eller ditt onlinekonton gör de ett mycket bättre jobb än textmeddelanden. Kontrollera 2FA-alternativen för alla tjänster du använder, och om du kan välja något säkrare än textmeddelanden, se till att du gör det. Även om SMS är det enda alternativet bör du se till att 2FA är aktiverat.

År Duran
December 16, 2019
Tips
Svenska
December 16, 2019
Tips

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

4 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.