Første ting først: SMS er fortsatt bedre enn ingen tofaktorautentisering i det hele tatt!
Mens vi skal legge ut saken mot SMS her, er det viktig at vi først gjør en ting klar: Bruke SMS er bedre enn ikke å bruke tofaktorautentisering i det hele tatt.
Når du ikke bruker tofaktorautentisering, trenger noen bare passordet ditt for å logge på kontoen din. Når du bruker tofaktorautentisering med SMS, må noen få både passordet ditt og få tilgang til tekstmeldingene dine for å få tilgang til kontoen din. SMS er mye sikrere enn ingenting i det hele tatt.
Hvis SMS er ditt eneste alternativ, vennligst bruk SMS. Men hvis du vil lære hvorfor sikkerhetseksperter anbefaler å unngå sms og hva vi anbefaler i stedet, les videre.
SIM swaps Tillat angripere å stjele ditt telefonnummer
Slik fungerer SMS-verifisering: Når du prøver å logge på, sender tjenesten en tekstmelding til mobilnummeret du tidligere har gitt dem. Du får den koden på telefonen din og skriver den inn for å logge på. Den koden er bare bra for en enkelt bruk.
Hvis noen vet telefonnummeret ditt og kan få tilgang til personlig informasjon som de fire siste sifrene i personnummeret ditt, er det lett å finne takket være de mange selskapene og myndighetene som har lekket kundedata. De kan kontakte telefonen din firma og flytt telefonnummeret ditt til en ny telefon. Dette kalles en "SIM swap", og er den samme prosessen du utfører når du kjøper en ny enhet og flytter telefonnummeret ditt til det. Personen sier at de er deg, gir de personlige dataene, og mobiltelefonfirmaet setter opp telefonen med telefonnummeret ditt. De får SMS-meldingskoder sendt til telefonnummeret ditt på telefonen.
Vi har sett rapporter om dette i Storbritannia, hvor angriperne stjal et offers telefonnummer og brukte det til å få tilgang til offerets bankkonto. New York State har også advart om denne svindelen.
Kjernen er dette et sosialteknisk angrep som er avhengig av å lure mobiltelefonfirmaet ditt. Men mobiltelefonen din bør ikke kunne gi noen tilgang til sikkerhetskoder i utgangspunktet!
SMS-meldinger kan skilles på mange måter
Angrepere har også misbrukt problemer i SS7, tilkoblingssystemet som brukes til roaming, for å avlyse SMS-meldinger på nettverket og rute dem andre steder. Det er mange andre måter meldinger kan skilles, blant annet ved bruk av falske mobiltelefontårn. SMS-meldinger ble ikke designet for sikkerhet, og bør ikke brukes til det.
Med andre ord kan en sofistikert angriper med litt personlig informasjon kapre telefonnummeret ditt for å få tilgang til dine elektroniske kontoer, og bruk deretter disse kontoene for å forsøke å tømme bankkontiene dine, for eksempel. Derfor anbefaler Statens institutt for standarder og teknologi ikke lenger bruk av SMS-meldinger for tofaktorautentisering.
Alternativet: Generer koder på enheten din
En tofaktorautentiseringsordning som ikke stole på SMS, er overlegen, fordi mobiltelefonfirmaet ikke vil kunne gi noen andre tilgang til kodene dine. Det mest populære alternativet for dette er en app som Google Authenticator. Vi anbefaler imidlertid Authy, siden det gjør alt Google Authenticator og mer.
Apper som dette genererer koder på enheten din. Selv om en angriper lurte mobilselskapet ditt om å flytte telefonnummeret ditt til telefonen, ville de ikke kunne få sikkerhetskoder. Dataene som trengs for å generere disse kodene, forblir sikkert på telefonen.
Det finnes også fysiske maskinvareteknikker du kan bruke. Store selskaper som Google og Dropbox har allerede implementert en ny standard for maskinvarebaserte tofaktorautentiseringstegn med navnet U2F. Disse er alle sikrere enn å stole på mobilselskapet ditt og det utdaterte telefonnettverket.
Hvis mulig, unngå SMS for tofaktorautentisering. Det er bedre enn ingenting og virker praktisk, men det er vanligvis den minst sikre tofaktorautentiseringsplanen du kan velge.
Dessverre krever noen tjenester deg å bruke SMS. Hvis du er bekymret for dette, kan du opprette et Google Voice-telefonnummer og gi det til tjenester som krever SMS-godkjenning. Du kan deretter logge deg på Google-kontoen din, som du kan beskytte med en sikrere tofaktorautentiseringsmetode, og se de sikre meldingene på Google Voice-nettstedet eller -appen. Bare send ikke meldinger fra Google Voice til ditt faktiske mobilnummer.