Säkerhetsexperter rekommenderar att du använder tvåfaktorsautentisering för att säkerställa dina online-konton, om det är möjligt. Många tjänster är standard för SMS-verifiering och skickar koder via SMS till din telefon när du försöker logga in. Men sms-meddelanden har många säkerhetsproblem och är det minst säkra alternativet för tvåfaktorsautentisering.
RELATERAD: Vad är tvåfaktorautentisering och varför behöver jag det?
Medan vi ska lägga fram målet mot SMS här är det viktigt att vi först gör en sak klar: Använda SMS är bättre än att inte använda tvåfaktors autentisering alls.
När du inte använder tvåfaktorsautentisering behöver någon bara ditt lösenord för att logga in på ditt konto . När du använder tvåfaktorautentisering med SMS måste någon både få ditt lösenord och få tillgång till dina textmeddelanden för att få tillgång till ditt konto. SMS är mycket säkrare än ingenting alls.
Om SMS är ditt enda alternativ, använd sms. Om du vill lära dig varför säkerhetsexperter rekommenderar att du undviker sms och vad vi rekommenderar istället, läs vidare.
Så här fungerar SMS-verifiering: När du försöker skriva in, skickar tjänsten ett textmeddelande till det mobilnummer som du tidigare har angett dem. Du får den koden på din telefon och anger den för att logga in. Den här koden är bara bra för en enda användning.
Det låter ganska säkert. När allt kommer omkring, har du bara ditt telefonnummer och någon måste få din telefon att se koden-rätt? Tyvärr, nr
Om någon känner till ditt telefonnummer och kan få tillgång till personlig information som de fyra sista siffrorna i ditt personnummer, är det lätt att hitta tack vare de många företag och myndigheter som har läckt kunden data-de kan kontakta ditt telefonföretag och flytta ditt telefonnummer till en ny telefon. Detta är känt som en "SIM-swap" och är samma process som du utför när du köper en ny enhet och flyttar ditt telefonnummer till det. Personen säger att de är du, tillhandahåller personuppgifter, och ditt mobilföretag sätter upp sin telefon med ditt telefonnummer. De kommer att få SMS-meddelandekoderna som skickas till ditt telefonnummer på deras telefon.
Vi har sett rapporter om detta i Storbritannien, där attackerna stal ett offrets telefonnummer och använde det för att få tillgång till offrets bankkonto . New York State har också varnat för den här bluffen.
Kärnan är en socialteknikattack som bygger på att lura ditt mobilföretag. Men ditt mobilföretag bör inte kunna ge någon tillgång till dina säkerhetskoder i första hand!
Det är också möjligt att snarka på sms-meddelanden. Politiska dissidenter och journalister i repressiva länder kommer att vilja vara försiktiga, eftersom regeringen kan kapra SMS-meddelanden som de skickas via telefonnätet. Detta har redan hänt i Iran, där iranska hackare påverkade ett antal Telegram Messenger-konton genom att avlyssna de sms-meddelanden som gav tillgång till dessa konton.
Attackers har också missbrukat problem i SS7, anslutningssystemet som används för roaming, att avlyssna SMS-meddelanden i nätverket och ruttra dem på annat håll. Det finns många andra sätt som meddelanden kan avlyssnas, bland annat genom användning av falska mobiltelefontorn. SMS-meddelanden är inte utformade för säkerhet och borde inte användas för det.
Med andra ord kan en sofistikerad angripare med lite personlig information kapa ditt telefonnummer för att få tillgång till dina onlinekonton och sedan använda dem konton för att försöka rinna ut dina bankkonton, till exempel. Därför rekommenderar National Institute of Standards and Technology inte längre användandet av sms-meddelanden för tvåfaktors autentisering.
RELATERAD: Så här ställer du in authy för tvåfaktorautentisering (och synkronisera dina koder mellan enheter)
Ett tvåfaktors autentiseringsschema som inte är beroende av SMS är överlägsen, eftersom mobiltelefonföretaget inte kommer att kunna ge någon annan tillgång till dina koder. Det mest populära alternativet för detta är en app som Google Authenticator. Vi rekommenderar dock Authy, eftersom det gör allt Google Authenticator och mer.
Appar så här genererar koder på din enhet. Även om en angripare lurade ditt mobilföretag att flytta ditt telefonnummer till sin telefon skulle de inte kunna få dina säkerhetskoder. Uppgifterna som behövs för att generera dessa koder skulle vara säkert på din telefon.
RELATERAD: Så här ställer du in Googles nya kod - mindre tvåfaktorautentisering
Du behöver inte heller använda koder. Tjänster som Twitter, Google och Microsoft testar appbaserad tvåfaktorsautentisering som tillåter dig att logga in på en annan enhet genom att godkänna inloggningen i deras app på din telefon.
Det finns också fysiska hårdvarupoken du kan använda . Stora företag som Google och Dropbox har redan implementerat en ny standard för hårdvarubaserade tvåfaktors autentiseringstoken heter U2F. Dessa är alla säkrare än att förlita sig på ditt mobilföretag och det föråldrade telefonnätverket.
Undvik sms för tvåfaktorsautentisering om det är möjligt. Det är bättre än ingenting och verkar bekvämt, men det är oftast det minst säkraste tvåfaktors autentiseringsschema du kan välja.
Tyvärr tvingar vissa tjänster dig att använda SMS. Om du är orolig för det här kan du skapa ett Google Voice-telefonnummer och ge det till tjänster som kräver SMS-autentisering. Du kan sedan logga in på ditt Google-konto, vilket du kan skydda med en säkrare tvåfaktorsautentiseringsmetod - och se de säkra meddelandena på Google Voice-webbplatsen eller appen. Skicka inte bara meddelanden från Google Voice till ditt faktiska mobilnummer.
RELATERAT: Så här stoppar du HomePod från att läsa dina textmeddelanden till andra människor Innan jag går för långt är det viktigt att veta att HomePod tekniskt inte tävla mot ekot eller hemma, men det är verkligen lätt att vilja jämföra de tre i samma kategori, och det är helt rättfärdigt - alla tre är sms-kontrollerade smarta högtalare mer eller mindre.
Vad Amazon Dash Wand Can (och kan inte) göra
Amazon Dash Wand är en $ 20 dongeliknande enhet som marknadsförs som den slutgiltiga köksassistenten. Det kan handla för matvaror för dig och har Alexa inbyggt, vilket gör det till den billigaste Alexa-enheten som Amazon säljer (speciellt om du anser att det är i grunden gratis efter $ 20-krediten du får när du köper den).