Per prima cosa: SMS è ancora meglio dell'autenticazione a due fattori a tutti!
Mentre presenteremo il caso contro SMS qui, è importante innanzitutto chiarire una cosa: usare SMS è meglio che non usare l'autenticazione a due fattori.
Quando non si utilizza l'autenticazione a due fattori, qualcuno ha solo bisogno della propria password per accedere al proprio account. Quando si utilizza l'autenticazione a due fattori con SMS, è necessario che entrambi acquisiscano la password e accedano ai messaggi di testo per accedere al proprio account. SMS è molto più sicuro di niente.
Se SMS è la tua unica opzione, per favore usa SMS. Tuttavia, se desideri sapere perché gli esperti di sicurezza consigliano di evitare gli SMS e cosa invece consigliamo, continua a leggere.
Scambia SIM Permetti agli aggressori di rubare il tuo numero di telefono
Ecco come funziona la verifica tramite SMS: quando tenti di accedere, il servizio invia un messaggio di testo al numero di cellulare che gli hai fornito in precedenza. Ottieni il codice sul telefono e inseriscilo per accedere. Tale codice è valido solo per un singolo utilizzo.
Se qualcuno conosce il tuo numero di telefono e può accedere a informazioni personali come le ultime quattro cifre del tuo numero di previdenza sociale, sfortunatamente questo è facile da trovare grazie alle molte società e agenzie governative che hanno trapelato i dati dei clienti: possono contattare il tuo telefono compagnia e sposta il tuo numero di telefono su un nuovo telefono. Questo è noto come "scambio SIM", ed è lo stesso processo che si esegue quando si acquista un nuovo dispositivo e si sposta il numero di telefono su di esso. La persona dice di essere te, fornisce i dati personali e la tua compagnia telefonica imposta il telefono con il tuo numero di telefono. Riceveranno i codici dei messaggi SMS inviati al tuo numero di telefono sul loro telefono.
Abbiamo visto resoconti di questo accadendo nel Regno Unito, dove gli aggressori hanno rubato il numero di telefono di una vittima e l'hanno usato per accedere al conto bancario della vittima. Lo Stato di New York ha anche avvertito di questa truffa.
Al suo centro, questo è un attacco di ingegneria sociale che si basa su ingannare la tua compagnia di telefonia cellulare. Ma la tua compagnia di telefoni cellulari non dovrebbe essere in grado di fornire a qualcuno l'accesso ai tuoi codici di sicurezza, in primo luogo!
I messaggi SMS possono essere intercettati in molti modi
Gli attaccanti hanno anche abusato dei problemi in SS7, il sistema di connessione utilizzato per il roaming, per intercettare i messaggi SMS sulla rete e instradarli altrove. Ci sono molti altri modi in cui i messaggi possono essere intercettati, anche attraverso l'uso di finte torri di telefoni cellulari. I messaggi SMS non sono stati progettati per la sicurezza e non dovrebbero essere utilizzati per questo.
In altre parole, un aggressore sofisticato con un po 'di informazioni personali potrebbe dirottare il tuo numero di telefono per accedere ai tuoi account online e quindi utilizzare tali account per tentare di svuotare i tuoi conti bancari, ad esempio. Ecco perché il National Institute of Standards and Technology non raccomanda più l'uso di messaggi SMS per l'autenticazione a due fattori.
L'alternativa: genera codici sul tuo dispositivo
Uno schema di autenticazione a due fattori che non si basa su SMS è superiore, in quanto la società di telefonia mobile non sarà in grado di fornire a qualcun altro l'accesso ai codici. L'opzione più popolare per questo è un'app come Google Authenticator. Tuttavia, consigliamo Authy, poiché fa tutto ciò che fa Google Authenticator e altro.
App come questo generano codici sul tuo dispositivo. Anche se un utente malintenzionato ingannasse la tua compagnia di telefonia mobile per spostare il tuo numero di telefono sul loro telefono, non sarebbe in grado di ottenere i tuoi codici di sicurezza. I dati necessari per generare quei codici rimarrebbero saldamente sul tuo telefono.
Esistono anche token hardware fisici che è possibile utilizzare. Grandi aziende come Google e Dropbox hanno già implementato un nuovo standard per i token di autenticazione a due fattori basati su hardware denominati U2F. Questi sono tutti più sicuri che fare affidamento sulla società di telefonia cellulare e la rete telefonica obsoleta.
Se possibile, evitare SMS per l'autenticazione a due fattori. È meglio di niente e sembra conveniente, ma di solito è lo schema di autenticazione a due fattori meno sicuro che puoi scegliere.
Sfortunatamente, alcuni servizi ti obbligano a usare SMS. Se sei preoccupato, puoi creare un numero di telefono di Google Voice e consegnarlo ai servizi che richiedono l'autenticazione via SMS. Puoi quindi accedere al tuo account Google, che puoi proteggere con un metodo di autenticazione a due fattori più sicuro, e vedere i messaggi protetti nel sito web o nell'app di Google Voice. Non inoltrare i messaggi di Google Voice al tuo numero di cellulare effettivo.