Ето защо не използвам SMS за 2FA
Оригиналът е на John Awa-abuon
Двуфакторната автентикация (2FA) прибавя жизненоважно равнище на сигурност към вашите онлайн сметки, само че за жалост не всички способи са идентични. Много хора разчитат на 2FA, основана на SMS, като одобряват, че това е един сигурен избор. За страдание SMS-ите надалеч не са надеждни. Ето за какво стопирах да употребявам SMS за 2FA и какво употребявам вместо него…
Смяната на SIM картите дава опция на хакерите да откраднат телефонния ви номер
Един от най-тревожните опасности при потреблението на SMS за 2FA е подмяната на SIM картата – техника, при която нападателите подвеждат мобилния ви оператор да трансферира телефонния ви номер на нова, новоиздадена SIM карта. След като по този метод стартират да управляват вашия телефонен номер, те могат да прихващат всички SMS известия, изпратени до него.
Ето по какъв начин става това: нападателите се свързват с вашия мобилен оператор, като се показват за вас. Като употребяват откраднати персонални данни – да вземем за пример адреса ви или последните четири числа от номера на обществената ви осигуровка (или ЕГН-то) – те убеждават доставчика да трансферира телефонния ви номер на нова SIM карта, която те получават. След като предаването е приключено, нападателят слага новата SIM карта в своя телефон и стартира да прихваща текстовите известия, изпратени до вашия номер, в това число 2FA кодовете, предопределени за отбрана на вашите сметки.
Щетите напълно не се изчерпват с това. Много от нас свързват телефонните си номера с голям брой сметки – от електронната поща до обществените мрежи и банковите приложения. Успешната замяна на SIM картата може да обезпечи на нападателя достъп до голям брой сметки, свързани с телефонния ви номер – от имейла до банковите приложения.
SMS известията могат да бъдат прихванати
Дори и да избегнете промяната на SIM картата, самите SMS известия не са предпазени. Те минават през мрежи, които могат да бъдат уязвими за прихващане. Хакерите могат да се възползват от слабостите на Signaling System No. 7 (SS7), световния телекомуникационен протокол, който дава опция на операторите да насочват повикванията и известията. Като употребяват SS7, нападателите могат да прихванат вашите SMS известия, без да имат физически достъп до вашия телефон.
Това не е единствено доктрина – хакването на SIM карти е добре документиран проблем. Киберпрестъпници и даже някои спонсорирани от страните групи са употребявали уязвимостите на SS7, с цел да шпионират връзките и да крадат сензитивна информация. Тъй като в SMS липсва криптиране, наличието на известията, в това число еднократните пароли, е изложено на риск по време на изпращането.
Друг метод, по който известията могат да бъдат компрометирани, е посредством злонамерени приложения или шпионски програмен продукт, конфигурирани на вашето устройство. Тези стратегии могат да наблюдават входящите ви SMS известия и да препращат 2FA кодове на нападателите без вашето познание.
SMS-ите са свързани с вашия телефонен номер
Друг значителен минус на SMS-базираното 2FA е зависимостта му от вашия телефонен номер. Възможността да получавате кодове е директно обвързвана с вашата мобилна услуга. Ако се намирате в регион с неприятно покритие, SMS-базираното 2FA става изцяло неефикасно, даже в случай че имате Wi-Fi. За разлика от другите способи за засвидетелствуване, които могат да работят посредством интернет връзка, SMS изисква постоянен мобилен сигнал.
Тази взаимозависимост може да ви остави в невъзможност в обстановки, в които се нуждаете от достъп до сметките си, само че не можете да получите кодовете. Независимо дали пътувате в отдалечено място или просто се намирате в постройка с неприятен сигнал, това ограничаване прави SMS методът доста по-малко благонадежден от другите възможности.
Какво употребявам вместо това: Приложения за засвидетелствуване на достоверността
Вместо да разгадавам на SMS за 2FA, прекосих към приложения за засвидетелствуване на 2FA. Приложения като Гугъл Authenticator, Microsoft Authenticator и Authy генерират основани на времето еднократни пароли (TOTP – time-based one-time passwords) непосредствено на вашето устройство, предлагайки доста по-безопасна и надеждна опция на SMS.
Първото огромно преимущество на автентификаторните приложения е сигурността. За разлика от SMS, тези приложения генерират кодове локално във вашия телефон, което значи, че те не се предават по мобилни мрежи, които могат да бъдат прихванати или употребявани. Те са предпазени и от спомагателни равнища на сигурност – доста от тези приложения изискват ключова дума, пръстов отпечатък или сканиране на лицето за достъп до кодовете.
Друга причина, заради която избирам приложенията за автентикация, е тяхната офлайн функционалност. Тъй като кодовете се генерират непосредствено в устройството, не е нужна клетъчна връзка, с цел да ги употребявате. Независимо дали се намирате в далечен регион без обсег или просто сте някъде на закрито с неприятен сигнал, можете да получите достъп до кодовете си, стига устройството ви да е разполагаем.
Предпочитам Authy пред другите приложения за автентикация, защото то предлага облачни аварийни копия, което улеснява възобновяване на моите сметки, в случай че изгубя телефона си. В същото време то обезпечава отбраната на тези аварийни копия с надеждно криптиране, като подсигурява, че единствено аз имам достъп до тях. Гугъл Authenticator е различен известен избор. И двете варианти са безвъзмездни, необятно поддържани и лесни за конфигуриране.
Използването на приложение за автентикация е елементарно. След като сте го конфигурирали, нормално посредством сканиране на QR код, възложен от уеб страницата по време на процеса на настройване на 2FA, просто отваряте приложението, с цел да получите достъп до кода всякога, когато влизате в системата. Кодовете се обновяват на всеки 30 секунди, тъй че даже някой да успее да открадне един от тях, той съвсем незабавно става ненужен.
Двуфакторното засвидетелствуване е от значително значение за опазване на сигурността на вашите сметки, само че методът, който употребявате, има голямо значение. Макар че 2FA, основано на SMS, може да наподобява комфортно, то е цялостно с уязвимости – от подмяната на SIM картата до методите за прихващане и даже на практика проблеми като неприятно качество на клетъчната връзка. Тези опасности трансформират SMS в една неособено ненадеждна отбрана за вашата онлайн сигурност.
