da.phhsnews.com


da.phhsnews.com / Hvorfor du ikke bør bruge SMS til tofaktorautentificering (og hvad der skal bruges i stedet)

Hvorfor du ikke bør bruge SMS til tofaktorautentificering (og hvad der skal bruges i stedet)


Sikkerhedseksperter anbefaler, at du bruger tofaktorautentificering for at sikre dine online-konti, hvor det er muligt. Mange tjenester er standard til SMS-verifikation, afsendelse af koder via SMS til din telefon, når du prøver at logge ind. Men SMS-beskeder har mange sikkerhedsproblemer og er den mindst sikre mulighed for tofaktors godkendelse.

Første ting først : SMS er stadig bedre end ingen tofaktorautentificering overhovedet!

RELATERET: Hvad er tofaktorautentificering, og hvorfor har jeg brug for det?

Mens vi skal klarlægge sagen mod SMS her er det vigtigt, at vi først gør en ting klar: Brug af SMS er bedre end ikke at bruge to-faktor-godkendelse overhovedet.

Når du ikke bruger tofaktorautentificering, behøver kun din adgangskode til at logge ind på din konto . Når du bruger tofaktorautentificering med SMS, skal en person både få dit adgangskode og få adgang til dine tekstbeskeder for at få adgang til din konto. SMS er meget mere sikker end slet ingenting.

Hvis SMS er din eneste mulighed, skal du bruge SMS. Hvis du imidlertid gerne vil vide, hvorfor sikkerhedseksperter anbefaler at undgå sms, og hvad vi anbefaler i stedet, læs videre.

SIM-swaps tillader angriberne at stjæle dit telefonnummer

Sådan fungerer SMS-verifikation: Når du forsøger at underskrive i, sender tjenesten en sms til det mobiltelefonnummer, du tidligere har givet dem. Du får den kode på din telefon og indtaster den for at logge ind. Denne kode er kun god til en enkelt brug.

Det lyder rimeligt sikkert. Når alt kommer til alt, har du kun dit telefonnummer, og en person skal have din telefon til at se koden - rigtigt? Desværre nr.

Hvis nogen kender dit telefonnummer og kan få adgang til personlige oplysninger som de sidste fire cifre i dit personnummer, er det desværre nemt at finde takket være de mange virksomheder og offentlige myndigheder, der har lækket kunden data - de kan kontakte dit telefonfirma og flytte dit telefonnummer til en ny telefon. Dette kaldes en "SIM swap", og er den samme proces, du udfører, når du køber en ny enhed og flytter dit telefonnummer til det. Personen siger, at de er dig, giver de personlige data, og din mobiltelefonfirma opretter deres telefon med dit telefonnummer. De får SMS-beskedskoderne sendt til dit telefonnummer på deres telefon.

Vi har set rapporter om dette i Storbritannien, hvor angriberne stjal et offers telefonnummer og brugte det til at få adgang til offerets bankkonto . New York State har også advaret om denne fidus.

Det er i bund og grund et social engineering angreb, der er afhængig af at narre din mobiltelefon virksomhed. Men dit mobiltelefonselskab bør ikke være i stand til at give nogen adgang til dine sikkerhedskoder i første omgang!

SMS-meddelelser kan aflytes på mange måder

Det er også muligt at snoop på SMS-beskeder. Politiske dissidenter og journalister i repressive lande vil gerne være forsigtige, da regeringen kan kapre SMS-beskeder, da de sendes via telefonnetværket. Dette er allerede sket i Iran, hvor iranske hackere hævdede at have kompromitteret en række telegram messenger konti ved at opfange SMS-beskeder, der gav adgang til disse konti.

Attackere har også misbrugt problemer i SS7, forbindelsessystemet, der anvendes til roaming, at opfange SMS-beskeder på netværket og rute dem andre steder. Der er mange andre måder, som beskeder kan opfanges, herunder ved hjælp af falske mobiltelefontårne. SMS-beskeder er ikke designet til sikkerhed og bør ikke bruges til det.

Med andre ord kan en sofistikeret angriber med en smule personlige oplysninger kapre dit telefonnummer for at få adgang til dine online-konti og derefter bruge dem konti for at forsøge at dræne dine bankkonti, for eksempel. Derfor anbefaler National Institute of Standards and Technology ikke længere brugen af ​​SMS-beskeder til tofaktors godkendelse.

Alternativet: Generer koder på din enhed

RELATERET: Sådan opstilles Authy for Two Factor Authentication (og Synkroniser dine koder mellem enheder)

En tofaktors godkendelsesskema, der ikke stole på SMS er overlegen, fordi mobiltelefonfirmaet ikke vil være i stand til at give en anden adgang til dine koder. Den mest populære mulighed for dette er en app som Google Authenticator. Vi anbefaler dog Authy, da det gør alt Google Authenticator og meget mere.

Applikationer som denne genererer koder på din enhed. Selvom en angriber lurede din mobiltelefonfirma i at flytte dit telefonnummer til deres telefon, ville de ikke kunne få dine sikkerhedskoder. De data, der er nødvendige for at generere disse koder, forbliver sikkert på din telefon.

RELATED: Sådan opstilles Googles nye kode-mindre tofaktorautentificering

Du behøver heller ikke bruge koder. Tjenester som Twitter, Google og Microsoft tester appbaseret tofaktorautentificering, der giver dig mulighed for at logge ind på en anden enhed ved at godkende tilmeldingen i deres app på din telefon.

Der er også fysiske hardware-tokens, du kan bruge . Store virksomheder som Google og Dropbox har allerede implementeret en ny standard for hardwarebaserede tofaktor-autentificeringstegn, der hedder U2F. Disse er alle sikrere end at stole på din mobiltelefonfirma og det forældede telefonnetværk.

Undgå sms for tofaktors godkendelse, hvis det er muligt. Det er bedre end ingenting og synes at være praktisk, men det er normalt den mindst sikre tofaktors godkendelsesskema, du kan vælge.

Desværre kræver nogle tjenester dig at bruge sms. Hvis du er bekymret for dette, kan du oprette et Google Voice-telefonnummer og give det til tjenester, der kræver SMS-godkendelse. Du kan derefter logge ind på din Google-konto, som du kan beskytte med en mere sikker tofaktors godkendelsesmetode - og se de sikre beskeder på Google Voice-webstedet eller -appen. Send ikke bare meddelelser fra Google Voice til dit faktiske mobilnummer.


Fire værktøjer, der automatisk downloader fantastiske baggrunde hver dag

Fire værktøjer, der automatisk downloader fantastiske baggrunde hver dag

Internettet kan være et forfærdeligt sted, men der er meget skønhed derude. Smukke malerier og billeder kan minde dig om det, og det rigtige program kan levere dem til dig automatisk. Uanset om du elsker klassisk kunst eller fotos af moderne arkitektur, er der et program med brugerdefineret tapet derude for dig.

(how-top)

Sådan opretter og bruger du flere profiler (Brugerkonti) i Firefox

Sådan opretter og bruger du flere profiler (Brugerkonti) i Firefox

Firefox har sit eget profilsystem, der fungerer som Kroms brugerkonto-switcher. Hver profil har sine egne bogmærker, indstillinger, tilføjelser, browserhistorik, cookies og andre data. For eksempel kan du oprette en profil til arbejde og en separat profil til personlig brug, så de adskilles. Mozilla skjuler Firefox Profil Manager, og gør det ikke til en meget synlig del af grænsefladen, som Chrome gør.

(how-top)