no.phhsnews.com


no.phhsnews.com / Hvorfor du ikke bør bruke SMS for tofaktorautentisering (og hva som skal brukes i stedet)

Hvorfor du ikke bør bruke SMS for tofaktorautentisering (og hva som skal brukes i stedet)


Sikkerhetseksperter anbefaler at du bruker tofaktorsautentisering for å sikre dine online-kontoer, hvor det er mulig. Mange tjenester som standard til SMS-bekreftelse, sender koder via tekstmelding til telefonen når du prøver å logge på. Men SMS-meldinger har mange sikkerhetsproblemer, og er det minst sikre alternativet for tofaktorautentisering.

Første ting først : SMS er fortsatt bedre enn ingen tofaktorautentisering i det hele tatt!

RELATERT: Hva er tofaktorautentisering, og hvorfor trenger jeg det?

Mens vi skal legge ut saken mot SMS her, det er viktig at vi først gjør en ting klar: Bruke SMS er bedre enn ikke å bruke tofaktorautentisering i det hele tatt.

Når du ikke bruker tofaktorautentisering, trenger noen bare passordet ditt for å logge på kontoen din . Når du bruker tofaktorautentisering med SMS, må noen få både passordet ditt og få tilgang til tekstmeldingene dine for å få tilgang til kontoen din. SMS er mye sikrere enn ingenting i det hele tatt.

Hvis SMS er ditt eneste alternativ, vennligst bruk SMS. Men hvis du vil lære hvorfor sikkerhetseksperter anbefaler å unngå sms og hva vi anbefaler i stedet, les videre.

SIM-swaps tillater angripere å stjele ditt telefonnummer

Slik fungerer SMS-verifisering: Når du prøver å signere i, sender tjenesten en tekstmelding til mobilnummeret du tidligere har gitt dem. Du får den koden på telefonen din og skriver den inn for å logge på. Den koden er bare bra for en enkelt bruk.

Det høres rimelig sikkert ut. Tross alt, har du bare telefonnummeret ditt, og noen må ha telefonen til å se koden - ikke sant? Dessverre, nr.

Hvis noen vet telefonnummeret ditt og kan få tilgang til personlig informasjon som de fire siste sifrene i personnummeret ditt, er dette lett å finne takket være de mange selskapene og myndighetene som har lekket kunden data-de kan kontakte telefonselskapet ditt og flytte telefonnummeret ditt til en ny telefon. Dette kalles en "SIM swap", og er den samme prosessen du utfører når du kjøper en ny enhet og flytter telefonnummeret ditt til det. Personen sier at de er deg, gir de personlige dataene, og mobiltelefonfirmaet setter opp telefonen med telefonnummeret ditt. De vil få SMS-meldingskoder sendt til telefonnummeret ditt på telefonen.

Vi har sett rapporter om dette i Storbritannia, hvor angriperne stjal et offers telefonnummer og brukte det til å få tilgang til offerets bankkonto . New York State har også advart om denne svindelen.

Kjernen er dette et sosialteknisk angrep som er avhengig av å lure mobiltelefonfirmaet ditt. Men mobilselskapet bør ikke kunne gi noen tilgang til sikkerhetskoder i utgangspunktet!

SMS-meldinger kan bli avlyst på mange måter

Det er også mulig å snike på SMS-meldinger. Politiske dissidenter og journalister i repressive land vil være forsiktige, da regjeringen kan kapre SMS-meldinger ettersom de sendes via telefonnettverket. Dette har allerede skjedd i Iran, der iranske hackere i ferd med å ha kompromittert en rekke telegram-messenger-kontoer ved å fange SMS-meldingene som ga tilgang til disse kontoene.

Angrepere har også misbrukt problemer i SS7, tilkoblingssystemet som brukes til roaming, å fange opp SMS-meldinger på nettverket og rute dem andre steder. Det er mange andre måter meldinger kan skilles, blant annet ved bruk av falske mobiltelefontårn. SMS-meldinger ble ikke designet for sikkerhet, og bør ikke brukes til det.

Med andre ord kan en sofistikert angriper med litt personlig informasjon kapre telefonnummeret ditt for å få tilgang til dine elektroniske kontoer og deretter bruke de kontoer for å forsøke å tømme bankkontiene dine, for eksempel. Derfor anbefaler Statens institutt for standarder og teknologi ikke lenger bruk av SMS-meldinger for tofaktorautentisering.

Alternativet: Generer koder på enheten din

RELATERT: Slik konfigurerer du autofaktor for tofaktorautentisering (og synkroniser koder mellom enheter)

En tofaktorautentiseringsordning som ikke stole på SMS er overlegen, fordi mobiltelefonfirmaet ikke vil kunne gi noen andre tilgang til kodene dine. Det mest populære alternativet for dette er en app som Google Authenticator. Vi anbefaler imidlertid Authy, siden det gjør alt Google Authenticator og mer.

Apper som dette genererer koder på enheten din. Selv om en angriper lurte mobilselskapet ditt om å flytte telefonnummeret ditt til telefonen, ville de ikke kunne få sikkerhetskoder. Dataene som trengs for å generere disse kodene, forblir trygt på telefonen.

RELATED: Slik setter du opp Googles nye kode-mindre tofaktorautentisering

Du trenger heller ikke å bruke koder. Tjenester som Twitter, Google og Microsoft tester appbasert tofaktorautentisering som lar deg logge på en annen enhet ved å godkjenne påloggingen i appen sin på telefonen.

Det finnes også fysiske maskinvareteknikker du kan bruke . Store selskaper som Google og Dropbox har allerede implementert en ny standard for maskinvarebaserte tofaktorautentiseringstegn med navnet U2F. Disse er alle sikrere enn å stole på mobilselskapet ditt og det utdaterte telefonnettet.

Hvis mulig, unngå SMS for tofaktorautentisering. Det er bedre enn ingenting, og synes praktisk, men det er vanligvis den minst sikre tofaktorautentiseringsplanen du kan velge.

Dessverre krever noen tjenester deg å bruke SMS. Hvis du er bekymret for dette, kan du opprette et Google Voice-telefonnummer og gi det til tjenester som krever SMS-godkjenning. Du kan deretter logge deg på Google-kontoen din, som du kan beskytte med en sikrere tofaktorautentiseringsmetode, og se de sikre meldingene på Google Voice-nettstedet eller -appen. Bare send ikke meldinger fra Google Voice til ditt faktiske mobilnummer.


Slik stopper du Macen din automatisk frakobling til et Wi-Fi-nettverk

Slik stopper du Macen din automatisk frakobling til et Wi-Fi-nettverk

Macen kobler seg automatisk til Wi-Fi-nettverk du tidligere har koblet til. Med MacOS High Sierra kan du nå fortelle at Mac ikke automatisk kobler til bestemte Wi-Fi-nettverk. Macen din vil huske Wi-Fi-nettverket passordfrase og andre tilkoblingsdetaljer, men kobler ikke sammen med mindre du forteller det.

(how-top)

Når du tar et bilde med din smarttelefon (eller et moderne digitalkamera), logger det bildeens GPS koordinater og plasserer det i bildet. metadata eller EXIF. Slik kan telefonen din vise en kartvisning av fotobiblioteket ditt.

Når du tar et bilde med din smarttelefon (eller et moderne digitalkamera), logger det bildeens GPS koordinater og plasserer det i bildet. metadata eller EXIF. Slik kan telefonen din vise en kartvisning av fotobiblioteket ditt.

Direkte deling av bilder via e-post, tekstmeldinger eller andre midler Hvis du direkte deler en bildefil med noen, inkluderer du også de innebygde metadataene . Dette betyr at hvis du sender det til dem, skriver det til dem eller bruker en delt mappe i en tjeneste som Dropbox eller Google Drive, får de GPS-koordinatene der du tok det.

(how-top)