Saugumo ekspertai rekomenduoja naudoti dviejų veiksnių autentifikavimą, kad būtų galima saugoti savo internetines sąskaitas, kai tik įmanoma. Daugelis tarnybų pagal nutylėjimą atlieka SMS patikrinimą, siunčiant kodus tekstiniu pranešimu į savo telefoną, kai bandote prisijungti. Tačiau SMS žinutės turi daugybę saugumo problemų ir yra mažiausiai saugios dviejų veiksnių autentifikavimo galimybės.

First Things First

SUSIJUSIOS: Kas yra dviejų faktorių autentiškumas ir kodėl man reikia?

Nors mes ketiname išdėstyti bylą prieš SMS čia labai svarbu, kad pirmiausia būtų aišku viena idėja: SMS naudojimas yra geresnis už dvigubos autentifikacijos naudojimą.

Kai nenaudojate dviejų faktorių autentifikavimo, norint prisijungti prie savo sąskaitos, kažkas turi tik savo slaptažodį . Jei naudosite dviejų veiksnių autentifikavimą naudodamiesi SMS, kažkuriui reikės įsigyti savo slaptažodį ir susipažinti su savo tekstiniais pranešimais, kad galėtumėte pasiekti jūsų paskyrą. SMS yra daug saugesnis nei nieko.

Jei SMS yra vienintelis variantas, prašome naudoti SMS. Tačiau jei norėtumėte sužinoti, kodėl saugumo ekspertai rekomenduoja vengti SMS ir ką mes rekomenduojame, skaitykite toliau.

SIM apsikeitimai leidžia atakujams sugadinti jūsų telefono numerį

Štai kaip veikia patvirtinimas SMS: bandydami pasirašyti paslauga išsiųs tekstinį pranešimą prie mobiliojo telefono numerio, kurį anksčiau jai suteikėte. Jūs gaunate šį kodą savo telefone ir įveskite jį norėdami prisijungti. Šis kodas yra tinkamas tik vienkartiniam naudojimui.

Tai skamba pakankamai saugiai. Galų gale, tik jūs turite savo telefono numerį, o kažkas turi turėti jūsų telefoną, kad galėtumėte pamatyti kodą? Deja, ne.

Jei kas nors žino jūsų telefono numerį ir gali gauti prieigą prie asmeninės informacijos, pavyzdžiui, paskutinius keturis savo socialinio draudimo numerio skaitmenis, tai deja, tai bus lengva rasti, nes daugelis korporacijų ir vyriausybinių agentūrų, kurios ištekėjo klientui duomenys, jie gali susisiekti su savo telefono kompanija ir perkelti savo telefono numerį į naują telefoną. Tai vadinama "SIM apsikeitimo" funkcija ir tai tas pats procesas, kurį atliekate perkant naują įrenginį ir perkeldami į jį savo telefono numerį. Asmuo sako, kad jūs esate, pateikia asmens duomenis, o jūsų mobiliojo ryšio kompanija nustato savo telefoną su savo telefono numeriu. Jie gaus SMS žinučių kodus, išsiųstus į savo telefono numerį savo telefone.

Mes matėme, kad tai vyksta Jungtinėje Karalystėje, kur užpuolikai pavogė aukos telefono numerį ir naudojosi ja norėdami patekti į aukos banko sąskaitą . Niujorko valstija taip pat perspėjo apie šį sukčiavimą.

Iš esmės tai yra socialinės inžinerijos išpuolis, kuris priklauso nuo apgaulingos jūsų mobiliojo telefono kompanijos. Bet jūsų mobiliojo ryšio kompanija neturėtų galėti suteikti kažkam asmeniui prieigos prie jūsų saugos kodų!

SMS žinutės gali būti perimtos įvairiais būdais

Taip pat galima snoop SMS žinutėmis. Politiniai disidentai ir žurnalistai represinėse šalyse norės būti atsargūs, nes vyriausybė gali užgrobti SMS žinutes, nes jie siunčiami per telefono tinklą. Tai jau įvyko Irane, kur Irano įsilaužėliai pranešė, kad pakenkė tam tikroms "Telegram messenger" paskyroms, perėmė SMS žinutes, kurios suteikė prieigą prie tų sąskaitų.

Užpuolikai taip pat piktnaudžiauja SS7 problemomis, naudojančia ryšio tarptinkliniu ryšiu sistemą, SMS žinutes tinkle ir nukreipti juos kitur. Yra daugybė kitų būdų, kaip pranešimai gali būti perimti, taip pat naudojant suklastotus mobiliųjų telefonų bokštus. SMS žinutės nebuvo sukurtos saugumui ir jos neturėtų būti naudojamos.

Kitaip tariant, sudėtingas užpuolikas su šiek tiek asmenine informacija gali užgrobti jūsų telefono numerį, kad gautų prieigą prie jūsų internetinių paskyrų, o paskui naudoja tuos Pavyzdžiui, paskyros bando nuslėpti banko sąskaitas. Štai kodėl Nacionalinis standartų ir technologijų institutas nebesiūlo naudoti SMS žinučių dviejų faktorių autentifikavimui.

Alternatyva: kurkite savo įrenginyje esančius kodus

SUSIJĘS: Kaip nustatyti Authy dėl dviejų faktorių autentifikavimo (ir sinchronizuoti savo kodus tarp įrenginių)

Dviejų veiksnių autentiškumo tikrinimo schema, kuri neatsiejama nuo SMS yra pranašesnis, nes mobiliojo ryšio įmonė negalės suteikti kitam asmeniui prieigos prie jūsų kodų. Populiariausias pasirinkimas yra "Google Authenticator" programa. Tačiau mes rekomenduojame "Authy", nes tai daro viską, ko "Google" autentifikavimo priemonė atlieka ir dar daugiau.

Tokios programos generuoja kodus jūsų prietaise. Net jei užpuolikas apgaudinėja jūsų mobiliojo telefono kompaniją, perkeldamas savo telefono numerį į savo telefoną, jie negalės gauti jūsų saugos kodų. Duomenis, reikalingus generuoti šiuos kodus, jūsų telefone bus saugiai.

SUSIJUSIOS: Kaip nustatyti "Google" naująjį kodą - mažiau dviejų faktorių autentifikavimo

Jums nereikia naudoti ir kodų. Paslaugos, pvz., "Twitter", "Google" ir "Microsoft", bando taikyti pagal programas pagrįstą dviejų veiksnių autentifikavimą, leidžiantį jums prisijungti prie kito įrenginio, leidžiant prisijungti savo programoje jūsų telefone.

Taip pat yra fizinių aparatūros žetonų, kuriuos galite naudoti . Didelės įmonės, tokios kaip "Google" ir "Dropbox", jau įdiegė naują standartą, skirtą aparatūriniams dviejų faktorių autentifikavimo žetonams, pavadintoms U2F. Tai yra labiau saugu nei pasikliauti savo mobiliojo ryšio kompanija ir pasenusiu telefono tinklu.

Jei įmanoma, vengiama SMS dviejų faktorių autentifikavimo. Tai geriau nei nieko ir atrodo patogiai, bet tai paprastai yra mažiausiai saugi dviejų faktorių autentifikavimo schema, kurią galite pasirinkti.

Deja, kai kurios paslaugos verčia jus naudoti SMS. Jei esate susirūpinę dėl šios priežasties, galite sukurti "Google Voice" telefono numerį ir suteikti paslaugas, kurioms reikia SMS autentifikavimo. Tada galėsite prisijungti prie savo "Google" paskyros, kurią galite apsaugoti naudodami saugesnį dviejų veiksnių autentifikavimo metodą ir peržiūrėkite saugius pranešimus "Google Voice" svetainėje arba programoje. Tiesiog nenaudokite pranešimų iš "Google Voice" į faktinį mobiliojo telefono numerį.

Ar saugu pašalinti USB įrenginius, kai kompiuteris užmiega?

Mes visi girdėjome įspėjimą apie saugų USB įrenginių pašalinimą, kai mes juos baigsime, bet kas, jei operacinė sistema yra sustabdytas ir jūs nusprendžiate tiesiog atjungti USB įrenginį tada ir ten bet kokiu atveju? Šiandienos "SuperUser" užduotys atsako į įdomų skaitytojo klausimą. Šiandienos klausimų ir atsakymų sesija ateina su meile SuperUser - "Stack Exchange", bendruomenės valdoma "Q & A" svetainių grupavimo padalinys.

(how-top)

Geriausi "Skyrim" modai, kurie iš tikrųjų papildo žaidimą

"Elder Scrolls V: Skyrim " išlieka svarbiausiu žaidimu daugiau nei penkerius metus po jo pradinio paleidimo. Ir kadangi atrodo, kad mes dar vieną įrašą Bethesdos RPG serijoje dar ilgiau (ne, Elder Scrolls Online neįskaitoma), net labiausiai atsidavę Skyrim žaidėjas gali ieškoti būdų, kaip pradiniame žaidime išgauti kokį nors naują gyvenimą.

(how-top)