Hemsida » hur » Varför ska du inte använda SMS för tvåfaktorautentisering (och vad som ska användas istället)

    Varför ska du inte använda SMS för tvåfaktorautentisering (och vad som ska användas istället)

    Säkerhetsexperter rekommenderar att du använder tvåfaktorsautentisering för att säkra dina onlinekonton där det är möjligt. Många tjänster är standard för SMS-verifiering och skickar koder via SMS till din telefon när du försöker logga in. Men sms-meddelanden har många säkerhetsproblem och är det minst säkra alternativet för tvåfaktorsautentisering.

    Första saker först: SMS är fortfarande bättre än ingen tvåfaktorautentisering alls!

    Medan vi ska lägga fram fallet mot SMS här är det viktigt att vi först gör en sak klar: Att använda SMS är bättre än att inte använda tvåfaktors autentisering alls.

    När du inte använder tvåfaktorsautentisering behöver någon bara ditt lösenord för att logga in på ditt konto. När du använder tvåfaktorautentisering med SMS måste någon både få ditt lösenord och få tillgång till dina textmeddelanden för att få tillgång till ditt konto. SMS är mycket säkrare än ingenting alls.

    Om SMS är ditt enda alternativ, vänligen använd SMS. Men om du vill lära dig varför säkerhetsexperter rekommenderar att du undviker SMS och vad vi rekommenderar istället, läs vidare.

    SIM-swaps tillåter attacker att stjäla ditt telefonnummer

    Så här fungerar SMS-verifiering: När du försöker logga in skickar tjänsten ett textmeddelande till det mobilnummer som du tidigare angett dem. Du får den koden på din telefon och anger den för att logga in. Den koden är bara bra för en enda användning.

    Det låter ganska säkert. När allt kommer omkring, har du bara ditt telefonnummer och någon måste få din telefon att se koden-rätt? Tyvärr inte.

    Om någon vet ditt telefonnummer och kan få tillgång till personlig information som de fyra sista siffrorna i ditt personnummer, är det lätt att hitta tack vare de många företag och myndigheter som har läckt kunddata - de kan kontakta din telefon företag och flytta ditt telefonnummer till en ny telefon. Detta är känt som en "SIM swap" och är samma process du utför när du köper en ny enhet och flyttar ditt telefonnummer till det. Personen säger att de är du, tillhandahåller personuppgifter, och ditt mobilföretag sätter upp sin telefon med ditt telefonnummer. De får SMS-meddelandekoderna som skickas till ditt telefonnummer på deras telefon.

    Vi har sett rapporter om detta som händer i Storbritannien, där angriparna stal ett offrets telefonnummer och använde det för att få tillgång till offrets bankkonto. New York State har också varnat för denna bluff.

    I själva verket är detta en socialteknikattack som bygger på att lura ditt mobilföretag. Men ditt mobilföretag bör inte kunna ge någon tillgång till dina säkerhetskoder i första hand!

    SMS-meddelanden kan avlyssnas på många sätt

    Det är också möjligt att snoop på SMS-meddelanden. Politiska dissidenter och journalister i repressiva länder kommer att vilja vara försiktiga, eftersom regeringen kan kapra SMS-meddelanden som de skickas via telefonnätet. Detta har redan hänt i Iran, där iranska hackare på sikt har äventyrat ett antal Telegram Messenger-konton genom att avlyssna SMS-meddelandena som gav tillgång till dessa konton.

    Attackers har också missbrukat problem i SS7, anslutningssystemet som används för roaming, att avlyssna SMS-meddelanden i nätverket och flytta dem på annat håll. Det finns många andra sätt som meddelanden kan avlyssnas, bland annat genom användning av falska mobiltelefontorn. SMS-meddelanden är inte utformade för säkerhet, och bör inte användas för det.

    Med andra ord kan en sofistikerad angripare med lite personlig information kapra ditt telefonnummer för att få tillgång till dina onlinekonton och använd sedan dessa konton för att försöka tömma dina bankkonton, till exempel. Därför rekommenderar National Institute of Standards and Technology inte längre användandet av sms-meddelanden för tvåfaktors autentisering.

    Alternativet: Generera koder på din enhet

    Ett tvåfaktors autentiseringsschema som inte är beroende av SMS är överlägset, eftersom mobiltelefonföretaget inte kommer att kunna ge någon annan tillgång till dina koder. Det mest populära alternativet för detta är en app som Google Authenticator. Vi rekommenderar emellertid Authy, eftersom det gör allt Google Authenticator och mer.

    Appar som här genererar koder på din enhet. Även om en angripare lurade ditt mobilföretag att flytta ditt telefonnummer till sin telefon skulle de inte kunna få dina säkerhetskoder. Datan som behövs för att generera dessa koder skulle vara säkert på din telefon.

     

    Du behöver inte heller använda koder. Tjänster som Twitter, Google och Microsoft testar appbaserad tvåfaktorsautentisering som tillåter dig att logga in på en annan enhet genom att tillåta inloggningen i deras app på din telefon.

    Det finns också fysiska hårdvara tokens du kan använda. Stort företag som Google och Dropbox har redan implementerat en ny standard för hårdvarubaserade tvåfaktors autentiseringstoken heter U2F. Dessa är alla säkrare än att förlita sig på ditt mobilföretag och det föråldrade telefonnätet.

    Undvik sms för tvåfaktors autentisering om möjligt. Det är bättre än ingenting och verkar bekvämt, men det är oftast det minst säkraste tvåfaktors autentiseringsschema du kan välja.

    Tyvärr tvingar vissa tjänster dig att använda SMS. Om du är orolig för det här kan du skapa ett Google Voice-telefonnummer och ge det till tjänster som kräver SMS-autentisering. Du kan sedan logga in på ditt Google-konto, vilket du kan skydda med en säkrare tvåfaktors autentiseringsmetod - och se de säkra meddelandena på Google Voice-webbplatsen eller appen. Skicka inte bara meddelanden från Google Voice till ditt faktiska mobilnummer.