Вот почему я не использую SMS для 2FA (и что я использую вместо этого)
Оригинал Джон Ава-абуон.
Двухфакторная аутентификация (2FA) повышает уровень безопасности ваших онлайн-аккаунтов, но, к сожалению, не все методы одинаковы. Многие люди полагаются на 2FA на основе SMS, полагая, что это безопасный выбор. К сожалению, SMS далеко не надежны. Вот почему я перестал использовать SMS для 2FA и что я использую вместо этого…
Смена SIM-карты позволяет хакерам украсть ваш номер телефона
Одним из наиболее тревожных рисков использования SMS для 2FA является замена SIM-карты — метод, при котором злоумышленники обманом заставляют вашего мобильного оператора перенести ваш номер телефона на новую, недавно выпущенную SIM-карту. Как только они начнут таким образом контролировать ваш номер телефона, они смогут перехватывать все отправленные на него SMS-сообщения.
Вот как это работает: злоумышленники связываются с вашим мобильным оператором, выдавая себя за вас. Используя украденную личную информацию, такую как ваш адрес или последние четыре цифры вашего номера социального страхования (или номера социального страхования), они убеждают оператора связи перенести ваш номер телефона на новую SIM-карту, которую они получают. После завершения передачи злоумышленник вставляет новую SIM-карту в свой телефон и начинает перехватывать текстовые сообщения, отправленные на ваш номер, включая коды 2FA, предназначенные для защиты ваших учетных записей.
На этом ущерб не заканчивается. Многие из нас связывают свои номера телефонов с несколькими учетными записями: от электронной почты до социальных сетей и банковских приложений. Успешная замена SIM-карты может предоставить злоумышленнику доступ к нескольким учетным записям, связанным с вашим номером телефона, от электронной почты до банковских приложений.
SMS-сообщения могут быть перехвачены
Даже если вы избежите смены SIM-карты, сами SMS-сообщения не будут защищены. Они проходят через сети, которые могут быть уязвимы для перехвата. Хакеры могут воспользоваться уязвимостями в системе сигнализации №1. 7 (SS7), глобальный телекоммуникационный протокол, который позволяет операторам маршрутизировать вызовы и сообщения. Используя SS7, злоумышленники могут перехватывать ваши SMS-сообщения, не имея физического доступа к вашему телефону.
Это не просто теория: взлом SIM-карты — хорошо документированная проблема. Киберпреступники и даже некоторые спонсируемые государством группы использовали уязвимости SS7 для слежки за коммуникациями и кражи конфиденциальной информации. Поскольку в SMS отсутствует шифрование, содержимое сообщения, включая одноразовые пароли, подвергается риску во время передачи.
Другой способ взлома сообщений — использование вредоносных приложений или шпионских программ, установленных на вашем устройстве. Эти программы могут отслеживать ваши входящие SMS-сообщения и пересылать коды 2FA злоумышленникам без вашего ведома.
СМС привязаны к вашему номеру телефона.
Еще одним серьезным недостатком 2FA на основе SMS является его зависимость от вашего номера телефона. Возможность получать коды напрямую связана с вашим мобильным сервисом. Если вы находитесь в зоне с плохим покрытием, 2FA на основе SMS становится совершенно бесполезным, даже если у вас есть Wi-Fi.. В отличие от других методов аутентификации, которые могут работать через подключение к Интернету, SMS требует стабильного мобильного сигнала.
Эта зависимость может поставить вас в затруднительное положение в ситуациях, когда вам нужен доступ к своим учетным записям, но вы не можете получить коды. Путешествуете ли вы в отдаленном месте или просто в здании с плохим сигналом, это ограничение делает метод SMS гораздо менее надежным, чем альтернативы.
Вместо этого я использую приложения для аутентификации.
Вместо того, чтобы полагаться на SMS для 2FA, я переключился на приложения для аутентификации 2FA. Такие приложения, как Google Authenticator, Microsoft Authenticator и Authy, генерируют одноразовые пароли на основе времени (TOTP) непосредственно на вашем устройстве, предлагая гораздо более безопасную и надежную альтернативу SMS.
Первым большим преимуществом приложений-аутентификаторов является безопасность. В отличие от СМС, эти приложения генерируют коды локально на вашем телефонеЭто означает, что они не передаются по мобильным сетям, которые можно перехватить или использовать. Они также защищены дополнительными уровнями безопасности — многим из этих приложений требуется пароль, отпечаток пальца или сканирование лица для доступа к кодам.
Еще одна причина, по которой я предпочитаю приложения для аутентификации, — это их офлайн-функциональность. Поскольку коды генерируются непосредственно на устройстве, для их использования не требуется сотовая связь. Независимо от того, находитесь ли вы в отдаленном районе без покрытия или просто в помещении с плохим сигналом, вы можете получить доступ к своим кодам, пока ваше устройство доступно.
Я предпочитаю Authy другим приложениям для аутентификации, потому что оно предлагает облачные резервные копии, что позволяет легко восстановить мои учетные записи, если я потеряю свой телефон. В то же время он защищает эти резервные копии с помощью надежного шифрования, гарантируя, что доступ к ним будет только у меня. Google Authenticator — еще один популярный выбор. Оба варианта бесплатны, широко поддерживаются и просты в настройке.
Использовать приложение для аутентификации очень просто. После настройки, обычно путем сканирования QR-кода, предоставленного веб-сайтом в процессе установки 2FA, вы просто открываете приложение для доступа к коду каждый раз, когда входите в систему. Коды обновляются каждые 30 секунд, поэтому даже если кому-то удастся украсть один из них, он практически сразу станет бесполезным.
Двухфакторная аутентификация необходима для обеспечения безопасности ваших учетных записей, но используемый вами метод имеет огромное значение. Хотя 2FA на основе SMS может показаться удобным, он полон уязвимостей: от замены SIM-карты до методов перехвата и даже практических проблем, таких как плохое качество сотовой связи. Эти риски делают SMS особенно ненадежной защитой вашей онлайн-безопасности.
