sv.phhsnews.com


sv.phhsnews.com / Varför du inte ska använda SMS för tvåfaktorautentisering (och vad som ska användas istället)

Varför du inte ska använda SMS för tvåfaktorautentisering (och vad som ska användas istället)


Säkerhetsexperter rekommenderar att du använder tvåfaktorsautentisering för att säkerställa dina online-konton, om det är möjligt. Många tjänster är standard för SMS-verifiering och skickar koder via SMS till din telefon när du försöker logga in. Men sms-meddelanden har många säkerhetsproblem och är det minst säkra alternativet för tvåfaktorsautentisering.

Första saker först : SMS är ännu bättre än ingen tvåfaktorautentisering alls!

RELATERAD: Vad är tvåfaktorautentisering och varför behöver jag det?

Medan vi ska lägga fram målet mot SMS här är det viktigt att vi först gör en sak klar: Använda SMS är bättre än att inte använda tvåfaktors autentisering alls.

När du inte använder tvåfaktorsautentisering behöver någon bara ditt lösenord för att logga in på ditt konto . När du använder tvåfaktorautentisering med SMS måste någon både få ditt lösenord och få tillgång till dina textmeddelanden för att få tillgång till ditt konto. SMS är mycket säkrare än ingenting alls.

Om SMS är ditt enda alternativ, använd sms. Om du vill lära dig varför säkerhetsexperter rekommenderar att du undviker sms och vad vi rekommenderar istället, läs vidare.

SIM-swaps tillåter attacker att stjäla ditt telefonnummer

Så här fungerar SMS-verifiering: När du försöker skriva in, skickar tjänsten ett textmeddelande till det mobilnummer som du tidigare har angett dem. Du får den koden på din telefon och anger den för att logga in. Den här koden är bara bra för en enda användning.

Det låter ganska säkert. När allt kommer omkring, har du bara ditt telefonnummer och någon måste få din telefon att se koden-rätt? Tyvärr, nr

Om någon känner till ditt telefonnummer och kan få tillgång till personlig information som de fyra sista siffrorna i ditt personnummer, är det lätt att hitta tack vare de många företag och myndigheter som har läckt kunden data-de kan kontakta ditt telefonföretag och flytta ditt telefonnummer till en ny telefon. Detta är känt som en "SIM-swap" och är samma process som du utför när du köper en ny enhet och flyttar ditt telefonnummer till det. Personen säger att de är du, tillhandahåller personuppgifter, och ditt mobilföretag sätter upp sin telefon med ditt telefonnummer. De kommer att få SMS-meddelandekoderna som skickas till ditt telefonnummer på deras telefon.

Vi har sett rapporter om detta i Storbritannien, där attackerna stal ett offrets telefonnummer och använde det för att få tillgång till offrets bankkonto . New York State har också varnat för den här bluffen.

Kärnan är en socialteknikattack som bygger på att lura ditt mobilföretag. Men ditt mobilföretag bör inte kunna ge någon tillgång till dina säkerhetskoder i första hand!

SMS-meddelanden kan avlyssnas på många sätt

Det är också möjligt att snarka på sms-meddelanden. Politiska dissidenter och journalister i repressiva länder kommer att vilja vara försiktiga, eftersom regeringen kan kapra SMS-meddelanden som de skickas via telefonnätet. Detta har redan hänt i Iran, där iranska hackare påverkade ett antal Telegram Messenger-konton genom att avlyssna de sms-meddelanden som gav tillgång till dessa konton.

Attackers har också missbrukat problem i SS7, anslutningssystemet som används för roaming, att avlyssna SMS-meddelanden i nätverket och ruttra dem på annat håll. Det finns många andra sätt som meddelanden kan avlyssnas, bland annat genom användning av falska mobiltelefontorn. SMS-meddelanden är inte utformade för säkerhet och borde inte användas för det.

Med andra ord kan en sofistikerad angripare med lite personlig information kapa ditt telefonnummer för att få tillgång till dina onlinekonton och sedan använda dem konton för att försöka rinna ut dina bankkonton, till exempel. Därför rekommenderar National Institute of Standards and Technology inte längre användandet av sms-meddelanden för tvåfaktors autentisering.

Alternativet: Generera koder på din enhet

RELATERAD: Så här ställer du in authy för tvåfaktorautentisering (och synkronisera dina koder mellan enheter)

Ett tvåfaktors autentiseringsschema som inte är beroende av SMS är överlägsen, eftersom mobiltelefonföretaget inte kommer att kunna ge någon annan tillgång till dina koder. Det mest populära alternativet för detta är en app som Google Authenticator. Vi rekommenderar dock Authy, eftersom det gör allt Google Authenticator och mer.

Appar så här genererar koder på din enhet. Även om en angripare lurade ditt mobilföretag att flytta ditt telefonnummer till sin telefon skulle de inte kunna få dina säkerhetskoder. Uppgifterna som behövs för att generera dessa koder skulle vara säkert på din telefon.

RELATERAD: Så här ställer du in Googles nya kod - mindre tvåfaktorautentisering

Du behöver inte heller använda koder. Tjänster som Twitter, Google och Microsoft testar appbaserad tvåfaktorsautentisering som tillåter dig att logga in på en annan enhet genom att godkänna inloggningen i deras app på din telefon.

Det finns också fysiska hårdvarupoken du kan använda . Stora företag som Google och Dropbox har redan implementerat en ny standard för hårdvarubaserade tvåfaktors autentiseringstoken heter U2F. Dessa är alla säkrare än att förlita sig på ditt mobilföretag och det föråldrade telefonnätverket.

Undvik sms för tvåfaktorsautentisering om det är möjligt. Det är bättre än ingenting och verkar bekvämt, men det är oftast det minst säkraste tvåfaktors autentiseringsschema du kan välja.

Tyvärr tvingar vissa tjänster dig att använda SMS. Om du är orolig för det här kan du skapa ett Google Voice-telefonnummer och ge det till tjänster som kräver SMS-autentisering. Du kan sedan logga in på ditt Google-konto, vilket du kan skydda med en säkrare tvåfaktorsautentiseringsmetod - och se de säkra meddelandena på Google Voice-webbplatsen eller appen. Skicka inte bara meddelanden från Google Voice till ditt faktiska mobilnummer.


Så här raderar du ett Facebook-meddelande

Så här raderar du ett Facebook-meddelande

Det finns många bra skäl att ta bort det enstaka Facebook-meddelandet. Kanske planerar du en överraskningsfödelsedagsfest för din partner eller dela ett viktigt lösenord. Vi är inte här för att döma orsakerna till varför, bara för att visa dig hur. Så här är hur du tar bort ett meddelande i Facebook Messenger.

(how-top)

Så här synkroniserar du bara specifika mappar med Dropbox

Så här synkroniserar du bara specifika mappar med Dropbox

Dropbox synkroniserar som standard allt till alla dina datorer. Men det kanske inte är vad du vill. Om du har Dropbox installerat på flera datorer eller dela ett konto hos familjemedlemmar kan det hända att mappar synkroniseras med den tjänst som du inte vill ha på alla dina maskiner, särskilt om du har lite hårddiskutrymme.

(how-top)