pt.phhsnews.com


pt.phhsnews.com / Por que você não deve usar o SMS para autenticação de dois fatores (e o que usar)

Por que você não deve usar o SMS para autenticação de dois fatores (e o que usar)


Especialistas em segurança recomendam o uso de autenticação de dois fatores para proteger suas contas online sempre que possível. Muitos serviços padrão para a verificação de SMS, enviando códigos via mensagem de texto para o seu telefone quando você tenta entrar. Mas as mensagens SMS têm muitos problemas de segurança, e são a opção menos segura para a autenticação de dois fatores. : SMS ainda é melhor do que nenhuma autenticação de dois fatores!

RELATED:

O que é autenticação de dois fatores e por que eu preciso? Enquanto vamos apresentar o caso contra SMS aqui, é importante esclarecer uma coisa: Usar o SMS é melhor do que não usar a autenticação de dois fatores.

Quando você não usa autenticação de dois fatores, alguém só precisa da sua senha para entrar na sua conta. . Quando você usa a autenticação de dois fatores com o SMS, alguém precisará adquirir sua senha e obter acesso às suas mensagens de texto para obter acesso à sua conta. O SMS é muito mais seguro do que nada.

Se o SMS for sua única opção, use o SMS. No entanto, se você quiser saber por que os especialistas em segurança recomendam evitar o SMS eo que recomendamos, leia.

Troca de SIM permite que invasores roubem seu telefone

Veja como a verificação de SMS funciona: Quando você tenta assinar em, o serviço envia uma mensagem de texto para o número de telefone celular que você forneceu anteriormente. Você obtém esse código em seu telefone e insere-o para entrar. Esse código só é bom para um único uso.

Parece razoavelmente seguro. Afinal, só você tem o seu número de telefone e alguém tem que ter o seu celular para ver o código certo? Infelizmente, não.

Se alguém souber o seu número de telefone e puder ter acesso a informações pessoais como os últimos quatro dígitos do seu número de seguro social, infelizmente, isso será fácil de encontrar graças às muitas corporações e agências governamentais que vazaram clientes dados - eles podem entrar em contato com sua empresa de telefonia e mover seu número de telefone para um novo telefone. Isso é conhecido como "troca SIM" e é o mesmo processo que você realiza quando compra um novo dispositivo e transfere seu número de telefone para ele. A pessoa diz que é você, fornece os dados pessoais e sua empresa de telefonia celular configura o telefone com o número do telefone. Eles receberão os códigos de mensagem SMS enviados para o seu número de telefone no telefone.

Vimos relatos disso acontecendo no Reino Unido, onde invasores roubaram o número de telefone da vítima e o usaram para obter acesso à conta bancária da vítima. . O estado de Nova York também alertou sobre esse golpe.

Em essência, esse é um ataque de engenharia social que depende de enganar sua empresa de telefonia celular. Mas sua empresa de telefonia celular não deve ser capaz de fornecer acesso a seus códigos de segurança a alguém!

Mensagens SMS podem ser interceptadas de várias formas

Também é possível bisbilhotar mensagens SMS. Dissidentes políticos e jornalistas em países repressivos vão querer ser cuidadosos, já que o governo poderia roubar mensagens SMS quando forem enviadas pela rede telefônica. Isso já aconteceu no Irã, onde hackers iranianos supostamente comprometeram várias contas de mensageiro Telegram interceptando as mensagens SMS que forneciam acesso a essas contas.

Os invasores também abusaram de problemas no SS7, o sistema de conexão usado para roaming, para interceptar Mensagens SMS na rede e encaminhá-las para outro local. Existem muitas outras maneiras pelas quais as mensagens podem ser interceptadas, inclusive através do uso de torres falsas de telefone celular. As mensagens SMS não foram projetadas para segurança e não devem ser usadas para isso.

Em outras palavras, um invasor sofisticado com um pouco de informações pessoais pode seqüestrar seu número de telefone para acessar suas contas on-line e usá-las. contas para tentar drenar suas contas bancárias, por exemplo. É por isso que o Instituto Nacional de Padrões e Tecnologia não está mais recomendando o uso de mensagens SMS para autenticação de dois fatores.

A alternativa: gerar códigos no seu dispositivo

RELACIONADOS:

Como configurar o Authy para autenticação de dois fatores (e sincronizar seus códigos entre dispositivos) Um esquema de autenticação de dois fatores que não depende do SMS é superior, porque a empresa de telefonia celular não poderá conceder a outra pessoa acesso aos seus códigos. A opção mais popular para isso é um aplicativo como o Google Authenticator. No entanto, recomendamos Authy, pois faz tudo o que o Google Authenticator faz e muito mais.

Aplicativos como esse geram códigos no seu dispositivo. Mesmo que um invasor tenha enganado sua empresa de telefonia celular a transferir seu número de telefone para o celular, ele não conseguiria seus códigos de segurança. Os dados necessários para gerar esses códigos permanecerão seguros no seu telefone.

RELACIONADOS:

Como configurar a nova autenticação de dois fatores sem código do Google Você também não precisa usar os códigos. Serviços como Twitter, Google e Microsoft estão testando a autenticação de dois fatores baseada em aplicativo que permite que você faça login em outro dispositivo autorizando o login em seu aplicativo no telefone.

Há também tokens de hardware físico que você pode usar . Grandes empresas como o Google e o Dropbox já implementaram um novo padrão para tokens de autenticação de dois fatores baseados em hardware chamado U2F. Tudo isso é mais seguro do que confiar em sua empresa de telefonia celular e na rede telefônica desatualizada.

Se possível, evite o SMS para autenticação de dois fatores. É melhor que nada e parece conveniente, mas geralmente é o esquema de autenticação de dois fatores menos seguro que você pode escolher.

Infelizmente, alguns serviços forçam você a usar o SMS. Se estiver preocupado com isso, você pode criar um número de telefone do Google Voice e fornecê-lo a serviços que exijam autenticação por SMS. Você pode fazer login na sua conta do Google, que pode ser protegida com um método de autenticação de dois fatores mais seguro, e ver as mensagens seguras no site ou no aplicativo do Google Voice. Apenas não encaminhe mensagens do Google Voice para o número real do seu celular.


Os usuários do iPhone, o Apple Maps está bem agora

Os usuários do iPhone, o Apple Maps está bem agora

Estou de volta de uma viagem pelo sul da Califórnia. Durante seis dias, visitei San Diego, Joshua Tree, Los Angeles e San Diego novamente. Foram cerca de vinte horas de condução no total, ao longo de tudo, desde auto-estradas abertas, estradas estreitas, e o caos que é o tráfego de Los Angeles. O tempo todo, eu estava confiando na Apple Maps para me levar onde eu precisava estar .

(how-top)

O que é o Nest aware e você deve pagar por uma assinatura?

O que é o Nest aware e você deve pagar por uma assinatura?

Se você quiser que o seu Nest Cam armazene gravações de vídeo na nuvem para que você possa recuperá-las mais tarde, é necessário inscreva-se no serviço de assinatura Nest Aware da empresa. Mas vale a pena comprar a longo prazo? O que é o Nest Aware? RELATED: Como configurar o Nest Cam O Nest Aware é o serviço de assinatura da Nest para usuários Nest Cam que permite armazenar gravações de vídeo na nuvem por até 30 dias, entre outros recursos.

(how-top)