โฮมเพจ » ทำอย่างไร » ทำไมคุณไม่ควรใช้ SMS สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย (และควรใช้อะไรแทน)

    ทำไมคุณไม่ควรใช้ SMS สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย (และควรใช้อะไรแทน)

    ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ใช้การรับรองความถูกต้องด้วยสองปัจจัยเพื่อรักษาความปลอดภัยบัญชีออนไลน์ของคุณหากเป็นไปได้ บริการหลายแห่งเริ่มต้นการตรวจสอบ SMS ส่งรหัสผ่านข้อความไปยังโทรศัพท์ของคุณเมื่อคุณพยายามลงชื่อเข้าใช้ แต่ข้อความ SMS มีปัญหาด้านความปลอดภัยจำนวนมากและเป็นตัวเลือกที่ปลอดภัยที่สุดสำหรับการรับรองความถูกต้องด้วยสองปัจจัย.

    สิ่งแรก: SMS ยังดีกว่าไม่มีการรับรองความถูกต้องแบบสองปัจจัยเลย!

    ในขณะที่เรากำลังจะวางโครงเรื่องกับ SMS ที่นี่สิ่งสำคัญอันดับแรกเราต้องทำให้ชัดเจน: การใช้ SMS นั้นดีกว่าการไม่ใช้การพิสูจน์ตัวตนแบบสองปัจจัยเลย.

    เมื่อคุณไม่ได้ใช้การรับรองความถูกต้องด้วยสองปัจจัยใครบางคนเพียงต้องการรหัสผ่านเพื่อลงชื่อเข้าใช้บัญชีของคุณ เมื่อคุณใช้การรับรองความถูกต้องด้วยสองปัจจัยกับ SMS ใครบางคนจะต้องได้รับรหัสผ่านของคุณและเข้าถึงข้อความของคุณเพื่อเข้าถึงบัญชีของคุณ SMS นั้นปลอดภัยกว่าไม่มีอะไรมาก.

    หาก SMS เป็นตัวเลือกเดียวของคุณโปรดใช้ SMS อย่างไรก็ตามหากคุณต้องการเรียนรู้ว่าทำไมผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้หลีกเลี่ยง SMS และสิ่งที่เราแนะนำแทนโปรดอ่านต่อ.

    SIM Swaps อนุญาตให้ผู้โจมตีขโมยหมายเลขโทรศัพท์ของคุณ

    นี่คือวิธีการตรวจสอบ SMS: เมื่อคุณพยายามลงชื่อเข้าใช้บริการจะส่งข้อความไปยังหมายเลขโทรศัพท์มือถือที่คุณให้ไว้ก่อนหน้านี้ คุณได้รับรหัสนั้นในโทรศัพท์ของคุณและป้อนเพื่อลงชื่อเข้าใช้รหัสนั้นดีสำหรับการใช้เพียงครั้งเดียว.

    ฟังดูมีความปลอดภัยพอสมควร ท้ายที่สุดมีเพียงคุณเท่านั้นที่มีหมายเลขโทรศัพท์และใครบางคนต้องมีโทรศัพท์ของคุณเพื่อดูรหัสใช่ไหม น่าเสียดายที่ไม่มี.

    หากมีใครรู้หมายเลขโทรศัพท์ของคุณและสามารถเข้าถึงข้อมูลส่วนบุคคลเช่นหมายเลขสี่หลักสุดท้ายของหมายเลขประกันสังคมของคุณ - น่าเสียดายที่นี่หาง่ายด้วย บริษัท และหน่วยงานรัฐบาลที่รั่วไหลข้อมูลลูกค้า - พวกเขาสามารถติดต่อโทรศัพท์ของคุณได้ บริษัท และย้ายหมายเลขโทรศัพท์ของคุณไปยังโทรศัพท์ใหม่ สิ่งนี้เรียกว่า“ การสลับซิม” และเป็นกระบวนการเดียวกับที่คุณทำเมื่อคุณซื้ออุปกรณ์ใหม่และย้ายหมายเลขโทรศัพท์ไปที่ บุคคลนั้นบอกว่าเป็นคุณให้ข้อมูลส่วนตัวและ บริษัท โทรศัพท์มือถือของคุณตั้งค่าโทรศัพท์ด้วยหมายเลขโทรศัพท์ พวกเขาจะได้รับรหัสข้อความ SMS ที่ส่งไปยังหมายเลขโทรศัพท์ของคุณบนโทรศัพท์.

    เราได้เห็นรายงานเหตุการณ์ที่เกิดขึ้นในสหราชอาณาจักรซึ่งผู้โจมตีได้ขโมยหมายเลขโทรศัพท์ของเหยื่อและใช้เพื่อเข้าถึงบัญชีธนาคารของเหยื่อ รัฐนิวยอร์กยังได้เตือนเกี่ยวกับการหลอกลวงนี้.

    หัวใจหลักของมันคือการโจมตีทางวิศวกรรมทางสังคมที่อาศัยการหลอก บริษัท โทรศัพท์มือถือของคุณ แต่ บริษัท โทรศัพท์มือถือของคุณไม่ควรให้รหัสลับแก่ใครบางคนในตอนแรก!

    ข้อความ SMS สามารถถูกดักจับได้หลายวิธี

    นอกจากนี้ยังสามารถสอดแนมข้อความ SMS ได้ ผู้ที่ไม่เห็นด้วยทางการเมืองและนักข่าวในประเทศที่อดกลั้นต้องการที่จะระวังเนื่องจากรัฐบาลสามารถขโมยข้อความ SMS ได้เนื่องจากพวกเขาถูกส่งผ่านเครือข่ายโทรศัพท์ สิ่งนี้ได้เกิดขึ้นแล้วในอิหร่านที่แฮ็กเกอร์ชาวอิหร่านรายงานว่ามีการบุกรุกบัญชี Telegram messenger จำนวนหนึ่งโดยการสกัดกั้นข้อความ SMS ที่ให้การเข้าถึงบัญชีเหล่านั้น.

    ผู้โจมตียังใช้ปัญหาใน SS7 ซึ่งเป็นระบบการเชื่อมต่อที่ใช้สำหรับการโรมมิ่งเพื่อสกัดกั้นข้อความ SMS ในเครือข่ายและกำหนดเส้นทางไปที่อื่น ยังมีอีกหลายวิธีที่สามารถดักจับข้อความรวมถึงการใช้เสาสัญญาณโทรศัพท์มือถือปลอม ข้อความ SMS ไม่ได้ถูกออกแบบมาเพื่อความปลอดภัยและไม่ควรใช้เพื่อความปลอดภัย.

    กล่าวอีกนัยหนึ่งผู้โจมตีที่มีความซับซ้อนพร้อมข้อมูลส่วนบุคคลเล็กน้อยสามารถขโมยหมายเลขโทรศัพท์ของคุณเพื่อเข้าถึงบัญชีออนไลน์ของคุณจากนั้นใช้บัญชีเหล่านั้นเพื่อพยายามระบายบัญชีธนาคารของคุณ นั่นเป็นเหตุผลที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติไม่แนะนำให้ใช้ข้อความ SMS สำหรับการตรวจสอบความถูกต้องด้วยสองปัจจัยอีกต่อไป.

    ทางเลือก: สร้างรหัสบนอุปกรณ์ของคุณ

    รูปแบบการตรวจสอบสิทธิ์แบบสองปัจจัยที่ไม่พึ่งพา SMS นั้นเหนือกว่าเพราะ บริษัท โทรศัพท์มือถือจะไม่สามารถให้รหัสของคุณกับคนอื่นได้ ตัวเลือกยอดนิยมสำหรับสิ่งนี้คือแอพอย่าง Google Authenticator อย่างไรก็ตามเราขอแนะนำ Authy เนื่องจากทำทุกอย่างที่ Google Authenticator ทำและอื่น ๆ.

    แอพเช่นนี้สร้างรหัสบนอุปกรณ์ของคุณ แม้ว่าผู้โจมตีจะหลอก บริษัท โทรศัพท์มือถือของคุณให้ย้ายหมายเลขโทรศัพท์ของคุณไปยังโทรศัพท์พวกเขาจะไม่สามารถรับรหัสความปลอดภัยของคุณได้ ข้อมูลที่จำเป็นในการสร้างรหัสเหล่านั้นจะยังคงอยู่ในโทรศัพท์ของคุณอย่างปลอดภัย.

     

    คุณไม่จำเป็นต้องใช้รหัสเช่นกัน บริการต่างๆเช่น Twitter, Google และ Microsoft กำลังทดสอบการรับรองความถูกต้องด้วยสองปัจจัยตามแอปที่อนุญาตให้คุณลงชื่อเข้าใช้ในอุปกรณ์อื่นโดยให้สิทธิ์การลงชื่อเข้าใช้ในแอพของพวกเขาบนโทรศัพท์ของคุณ.

    นอกจากนี้ยังมีโทเค็นฮาร์ดแวร์ทางกายภาพที่คุณสามารถใช้ได้ บริษัท ขนาดใหญ่อย่าง Google และ Dropbox ได้นำมาตรฐานใหม่มาใช้กับโทเค็นการตรวจสอบสองปัจจัยที่ใช้ฮาร์ดแวร์ที่ชื่อ U2F สิ่งเหล่านี้ปลอดภัยกว่าการพึ่งพา บริษัท โทรศัพท์มือถือของคุณและเครือข่ายโทรศัพท์ที่ล้าสมัย.

    ถ้าเป็นไปได้หลีกเลี่ยง SMS สำหรับการรับรองความถูกต้องด้วยสองปัจจัย ดีกว่าไม่มีอะไรและดูเหมือนว่าจะสะดวก แต่โดยทั่วไปแล้วมันเป็นรูปแบบการตรวจสอบสิทธิ์แบบสองปัจจัยที่ปลอดภัยน้อยที่สุดที่คุณสามารถเลือกได้.

    น่าเสียดายที่บางบริการบังคับให้คุณใช้ SMS หากคุณกังวลเกี่ยวกับสิ่งนี้คุณสามารถสร้างหมายเลขโทรศัพท์ Google Voice และมอบให้กับบริการที่ต้องมีการตรวจสอบสิทธิ์ทาง SMS จากนั้นคุณสามารถลงชื่อเข้าใช้บัญชี Google ของคุณซึ่งคุณสามารถป้องกันด้วยวิธีการตรวจสอบสิทธิ์แบบสองปัจจัยที่ปลอดภัยยิ่งขึ้นและดูข้อความที่ปลอดภัยในเว็บไซต์หรือแอป Google Voice อย่าส่งต่อข้อความจาก Google Voice ไปยังหมายเลขโทรศัพท์มือถือจริงของคุณ.