it.phhsnews.com


it.phhsnews.com / Perché non utilizzare SMS per l'autenticazione a due fattori (e cosa usare invece)

Perché non utilizzare SMS per l'autenticazione a due fattori (e cosa usare invece)


Gli esperti di sicurezza consigliano di utilizzare l'autenticazione a due fattori per proteggere i propri account online laddove possibile. Molti servizi hanno come impostazione predefinita la verifica tramite SMS, l'invio di codici tramite SMS al telefono quando si tenta di accedere. Tuttavia, gli SMS hanno molti problemi di sicurezza e sono l'opzione meno sicura per l'autenticazione a due fattori.

First Things First : SMS è ancora meglio dell'autenticazione a due fattori a tutti!

CORRELATI: Che cos'è l'autenticazione a due fattori e perché ne ho bisogno?

Mentre stiamo per definire il caso SMS qui, è importante innanzitutto chiarire una cosa: usare SMS è meglio che non usare affatto l'autenticazione a due fattori.

Quando non usi l'autenticazione a due fattori, qualcuno ha solo bisogno della tua password per accedere al tuo account . Quando si utilizza l'autenticazione a due fattori con SMS, è necessario che entrambi acquisiscano la password e accedano ai messaggi di testo per accedere al proprio account. SMS è molto più sicuro di niente.

Se SMS è la tua unica opzione, per favore usa SMS. Tuttavia, se desideri sapere perché gli esperti di sicurezza consigliano di evitare gli SMS e cosa invece consigliamo, continua a leggere.

SIM Swap Consenti agli aggressori di rubare il tuo numero di telefono

Ecco come funziona la verifica SMS: quando provi a firmare in, il servizio invia un messaggio di testo al numero di cellulare che gli hai fornito in precedenza. Ottieni il codice sul tuo telefono e inseriscilo per accedere. Quel codice è valido solo per un singolo uso.

Sembra abbastanza sicuro. Dopotutto, solo tu hai il tuo numero di telefono e qualcuno deve avere il tuo telefono per vedere il codice giusto? Sfortunatamente,

Se qualcuno conosce il tuo numero di telefono e può accedere a informazioni personali come le ultime quattro cifre del tuo numero di previdenza sociale, sfortunatamente questo è facile da trovare grazie alle molte società e agenzie governative che hanno fatto trapelare il cliente dati: possono contattare la compagnia telefonica e spostare il numero di telefono su un nuovo telefono. Questo è noto come "scambio SIM", ed è lo stesso processo che si esegue quando si acquista un nuovo dispositivo e si sposta il numero di telefono su di esso. La persona dice di essere te, fornisce i dati personali e la tua compagnia telefonica imposta il telefono con il tuo numero di telefono. Riceveranno i codici dei messaggi SMS inviati al tuo numero di telefono sul loro telefono.

Abbiamo visto rapporti di questo accadendo nel Regno Unito, dove gli aggressori hanno rubato il numero di telefono di una vittima e l'hanno usato per accedere al conto bancario della vittima . Lo Stato di New York ha anche avvertito di questa truffa.

Al suo centro, questo è un attacco di ingegneria sociale che si basa sull'ingannare la tua compagnia di telefonia mobile. Ma la tua compagnia di telefonia mobile non dovrebbe essere in grado di fornire a qualcuno l'accesso ai tuoi codici di sicurezza in un primo momento!

I messaggi SMS possono essere intercettati in molti modi

È anche possibile curiosare su messaggi SMS. Dissidenti politici e giornalisti in paesi repressivi vorranno stare attenti, poiché il governo potrebbe dirottare i messaggi SMS mentre vengono inviati attraverso la rete telefonica. Ciò è già accaduto in Iran, dove gli hacker iraniani avrebbero compromesso un certo numero di account di messaggistica di Telegram intercettando i messaggi SMS che fornivano l'accesso a tali account.

Gli attaccanti hanno anche abusato dei problemi in SS7, il sistema di connessione utilizzato per il roaming, per intercettare Messaggi SMS sulla rete e indirizzarli altrove. Ci sono molti altri modi in cui i messaggi possono essere intercettati, anche attraverso l'uso di finte torri di telefoni cellulari. I messaggi SMS non sono stati progettati per la sicurezza e non dovrebbero essere utilizzati per questo.

In altre parole, un aggressore sofisticato con un po 'di informazioni personali potrebbe dirottare il tuo numero di telefono per accedere ai tuoi account online e utilizzarli account per tentare di svuotare i tuoi conti bancari, per esempio. Ecco perché il National Institute of Standards and Technology non raccomanda più l'uso di messaggi SMS per l'autenticazione a due fattori.

L'alternativa: genera codici sul dispositivo

CORRELATI: Come impostare Authy per l'autenticazione a due fattori (e sincronizzare i codici tra dispositivi)

Uno schema di autenticazione a due fattori che non si basa su SMS è superiore, perché la compagnia di telefonia mobile non sarà in grado di fornire a qualcun altro l'accesso ai tuoi codici. L'opzione più popolare per questo è un'app come Google Authenticator. Tuttavia, consigliamo Authy, poiché fa tutto ciò che fa Google Authenticator e altro.

App come questo generano codici sul tuo dispositivo. Anche se un utente malintenzionato ingannasse la tua compagnia di telefonia mobile per spostare il tuo numero di telefono sul loro telefono, non sarebbe in grado di ottenere i tuoi codici di sicurezza. I dati necessari per generare quei codici rimarrebbero sicuri sul tuo telefono.

CORRELATO: Come impostare la nuova autenticazione a due fattori meno codice di Google

Non devi nemmeno usare i codici. Servizi come Twitter, Google e Microsoft stanno testando l'autenticazione a due fattori basata su app che consente di accedere su un altro dispositivo autorizzando l'accesso nella propria app sul telefono.

Esistono anche token hardware fisici che è possibile utilizzare . Grandi aziende come Google e Dropbox hanno già implementato un nuovo standard per i token di autenticazione a due fattori basati su hardware denominati U2F. Questi sono tutti più sicuri che fare affidamento sulla società di telefonia cellulare e sulla rete telefonica obsoleta.

Se possibile, evita gli SMS per l'autenticazione a due fattori. È meglio di niente e sembra conveniente, ma di solito è lo schema di autenticazione a due fattori meno sicuro che puoi scegliere.

Sfortunatamente, alcuni servizi ti obbligano a usare SMS. Se sei preoccupato, puoi creare un numero di telefono di Google Voice e consegnarlo ai servizi che richiedono l'autenticazione via SMS. Puoi quindi accedere al tuo account Google, che puoi proteggere con un metodo di autenticazione a due fattori più sicuro, e vedere i messaggi protetti nel sito web o nell'app di Google Voice. Non inoltrare i messaggi di Google Voice al tuo numero di cellulare effettivo.


Come ottenere il massimo dal tuo Android TV

Come ottenere il massimo dal tuo Android TV

Se sei un utente Android, Android TV è un ottimo modo per portare il tuo sistema operativo mobile (e le tue app preferite) al grande schermo. E se stai cercando di ottenere di più dal tuo box Android TV, questa è una raccolta di alcuni trucchi e suggerimenti per aiutare a potenziare la tua esperienza.

(how-top)

Disattivazione del riempimento automatico nel gestore delle password

Disattivazione del riempimento automatico nel gestore delle password

Gli inserzionisti hanno trovato un nuovo modo per rintracciarti. Secondo Freedom to Tinker, alcune reti pubblicitarie stanno ora abusando di script di tracciamento per acquisire gli indirizzi email che il tuo gestore di password riempie automaticamente sui siti Web. Ma peggiora: potrebbero usare quella tecnologia per acquisire anche le tue password, se essi volevano.

(how-top)