Sigurnosni stručnjaci preporučuju upotrebu autentičnosti s dva faktora kako bi osigurali online račune gdje god je to moguće. Mnoge su usluge zadane na SMS potvrdu, šalju šifre putem SMS-a na telefon kada se pokušate prijaviti. No, SMS poruke imaju puno sigurnosnih problema i najsigurnija su opcija za provjeru autentičnosti s dva faktora.
Dok ćemo ovdje iznijeti slučaj protiv SMS-a, važno je prvo napraviti jednu stvar: upotreba SMS-a bolja je od upotrebe autentifikacije s dva faktora.
Ako ne upotrebljavate autentifikaciju s dva faktora, netko treba samo vašu zaporku za prijavu na vaš račun. Kada upotrebljavate autentifikaciju s dva faktora putem SMS-a, netko će morati stjecati vašu zaporku i pristupiti vašim tekstualnim porukama da biste pristupili računu. SMS je mnogo sigurniji od ničega.
Ako je SMS vaša jedina opcija, koristite SMS. Međutim, ako želite saznati zašto sigurnosni stručnjaci preporučuju izbjegavanje SMS poruka i onoga što preporučujemo, pročitajte dalje.
Evo kako funkcionira SMS provjera: Kada se pokušate prijaviti, usluga šalje SMS poruku na broj mobilnog telefona koji ste im prethodno dali. Dobit ćete taj kôd na svoj telefon i unijeti je za prijavu. Taj je kôd dobar samo za jednu upotrebu.
Zvuči razumno sigurno. Uostalom, samo vi imate svoj telefonski broj i netko mora imati vaš telefon da vidi kod - zar ne? Nažalost ne.
Ako netko zna vaš telefonski broj i može dobiti pristup osobnim informacijama kao što su posljednje četiri znamenke vašeg broja socijalnog osiguranja, nažalost to je lako pronaći zahvaljujući mnogim korporacijama i vladinim agencijama koje su procurile korisničke podatke - mogu se obratiti vašem telefonu tvrtku i premjestite svoj telefonski broj na novi telefon. To je poznato kao "SIM swap" i isti je postupak koji izvršavate prilikom kupnje novog uređaja i premještanja telefonskog broja na njega. Osoba kaže da ste vi, pruža osobne podatke, a vaša tvrtka mobitela postavlja svoj telefon s vašim telefonskim brojem. Dobit će šifre SMS poruka poslane vašem telefonskom broju na svom telefonu.
Vidjeli smo izvješća o tome što se dogodilo u Velikoj Britaniji, gdje su napadači ukrali žrtvin telefonski broj i koristili su mu pristup žrtvinom bankovnom računu. Država New York također je upozorila na ovaj muljaža.
U svojoj jezgri, to je napad socijalnog inženjeringa koji se oslanja na prevaru vaše tvrtke mobitela. Ali vaša tvrtka mobitela ne bi smjela moći pružiti nekome tko ima pristup vašim sigurnosnim kodovima na prvom mjestu!
Također je moguće njuškati na SMS poruke. Politički disidenti i novinari u represivnim zemljama žele biti pažljivi, budući da bi vlada mogla oteti SMS poruke kako ih šalju putem telefonske mreže. To se već dogodilo u Iranu, gdje su navodno iranski hakeri ugrozili brojne telegramske glasnikove poruke prenoseći SMS poruke koje su omogućavale pristup tim računima.
Napadači su također zloupotrijebili probleme u SS7, sustav povezivanja koji se koristi za roaming, presretanje SMS poruka na mreži i njihovo usmjeravanje na drugom mjestu. Mnogo je drugih načina na koje se poruke mogu presresti, uključujući upotrebu lažnih tornjeva mobitela. SMS poruke nisu bile dizajnirane za sigurnost i ne bi se trebale koristiti za to.
Drugim riječima, sofisticirani napadač s malo osobnih podataka mogao bi oteti vaš telefonski broj kako bi dobio pristup vašim mrežnim računima, a zatim upotrijebiti te račune kako bi pokušali izvući vaše bankovne račune, na primjer. Zato Nacionalni institut za standarde i tehnologiju više ne preporučuje upotrebu SMS poruka za provjeru autentičnosti s dva faktora.
Dvafaktorska shema provjere autentičnosti koja se ne oslanja na SMS je superiornija jer tvrtka mobitela neće moći dati drugima pristup kodovima. Najpopularnija opcija za to je aplikacija kao što je Google Autentifikator. Međutim, preporučujemo Authy, jer čini sve što čini Google Autentifikator i još mnogo toga.
Aplikacije poput ove generiraju kodove na vašem uređaju. Čak i ako je napadač prevario tvrtku mobitela u prebacivanje vašeg telefonskog broja na njihov telefon, oni ne bi mogli dobiti vaše sigurnosne kodove. Podaci potrebni za generiranje tih kodova sigurno će ostati na vašem telefonu.
I ne morate koristiti kodove. Usluge kao što su Twitter, Google i Microsoft ispituju autentifikaciju dva faktora temeljena na aplikaciji koja vam omogućuje da se prijavite na drugi uređaj tako što ćete autorizirati prijavu u svojoj aplikaciji na telefonu.
Tu su i fizički tokovi hardvera koje možete koristiti. Velike tvrtke poput Googlea i Dropboxa već su implementirale novi standard za tokove za provjeru autentičnosti dvaju faktora temeljenih na hardveru pod nazivom U2F. Sve su to sigurnije nego se oslanjaju na vašu tvrtku mobitela i zastarjele telefonske mreže.
Ako je moguće, izbjegavajte SMS za autentifikaciju s dva faktora. Bolje je od ničega i čini se prikladnim, ali obično je najmanje sigurna shema provjere autentičnosti s dva faktora koju možete odabrati.
Nažalost, neke usluge prisiljavaju vas da upotrebljavate SMS. Ako ste zabrinuti zbog toga, mogli biste izraditi telefonski broj Google Voicea i dati je uslugama koje zahtijevaju autentifikaciju putem SMS-a. Zatim se možete prijaviti na svoj Google račun - koji možete zaštititi sigurnijom metodom provjere autentičnosti s dva faktora - i pogledajte sigurne poruke na web mjestu ili aplikaciji Google Voicea. Nemojte prosljeđivati poruke Google Voicea na svoj stvarni broj mobitela.
