nl.phhsnews.com


nl.phhsnews.com / Waarom u geen SMS moet gebruiken voor tweeledige verificatie (en wat u in plaats daarvan moet gebruiken)

Waarom u geen SMS moet gebruiken voor tweeledige verificatie (en wat u in plaats daarvan moet gebruiken)


Beveiligingsdeskundigen raden aan om verificatie met twee factoren te gebruiken om uw online accounts waar mogelijk te beveiligen. Veel services gebruiken standaard sms-verificatie, verzenden codes via sms naar je telefoon wanneer je probeert in te loggen. Maar sms-berichten hebben veel beveiligingsproblemen en zijn de minst veilige optie voor tweefactorauthenticatie.

First Things First : SMS is nog steeds beter dan helemaal geen twee-factorenauthenticatie!

GERELATEERD: Wat is twee-factorenauthenticatie en waarom heb ik het nodig?

Terwijl we de zaak tegen SMS hier, het is belangrijk dat we eerst één ding duidelijk maken: het gebruik van SMS is beter dan helemaal geen gebruik te maken van two-factor authenticatie.

Als u geen tweefactorauthenticatie gebruikt, heeft iemand alleen uw wachtwoord nodig om in te loggen op uw account . Wanneer u authenticatie met twee factoren met SMS gebruikt, moet iemand zowel uw wachtwoord verkrijgen als toegang krijgen tot uw tekstberichten om toegang te krijgen tot uw account. SMS is veel veiliger dan helemaal niets.

Gebruik SMS als sms je enige optie is. Als je echter wilt weten waarom beveiligingsdeskundigen aanbevelen om sms te vermijden en wat we in plaats daarvan aanbevelen, lees dan verder.

SIM-swaps Sta uw telefoonnummer toe aan aanvallers

Zo werkt sms-verificatie: wanneer u probeert te ondertekenen in, de service stuurt een sms-bericht naar het mobiele telefoonnummer dat u eerder hebt verstrekt. U krijgt die code op uw telefoon en voert deze in om in te loggen. Die code is alleen goed voor eenmalig gebruik.

Het klinkt redelijk veilig. Immers, alleen jij hebt je telefoonnummer en iemand moet je telefoon hebben om de code te zien, toch? Helaas, nee.

Als iemand uw telefoonnummer kent en toegang heeft tot persoonlijke gegevens zoals de laatste vier cijfers van uw sofinummer, is dit gemakkelijk te vinden dankzij de vele bedrijven en overheidsinstanties die klanten hebben gelekt gegevens: ze kunnen contact opnemen met uw telefoonbedrijf en uw telefoonnummer verplaatsen naar een nieuwe telefoon. Dit staat bekend als een "SIM-wissel" en is hetzelfde proces dat u uitvoert wanneer u een nieuw apparaat koopt en uw telefoonnummer daar naartoe verplaatst. De persoon zegt dat jij het bent, biedt de persoonlijke gegevens en je mobiele telefoonbedrijf stelt zijn telefoon in met je telefoonnummer. Ze sturen de sms-berichtcodes op hun telefoon naar uw telefoonnummer.

We hebben meldingen gezien van deze gebeurtenis in het Verenigd Koninkrijk, waar aanvallers het telefoonnummer van een slachtoffer hebben gestolen en hebben gebruikt om toegang te krijgen tot de bankrekening van het slachtoffer . De staat New York heeft ook gewaarschuwd voor deze zwendel.

In de kern is dit een aanval op social engineering die afhankelijk is van het bedriegen van uw mobiele telefoonbedrijf. Maar uw mobiele telefoonbedrijf zou iemand niet in de eerste plaats toegang moeten kunnen geven tot uw beveiligingscodes!

SMS-berichten kunnen op veel manieren worden onderschept

Het is ook mogelijk om op sms-berichten te snuffelen. Politieke dissidenten en journalisten in repressieve landen zullen voorzichtig willen zijn, omdat de regering sms-berichten kan kapen terwijl ze via het telefoonnetwerk worden verzonden. Dit is al gebeurd in Iran, waar Iraanse hackers naar verluidt een aantal Telegram-Messenger-accounts hebben gecompromitteerd door de sms-berichten te onderscheppen die toegang hebben verschaft tot die accounts.

Aanvallers hebben ook misbruik gemaakt van problemen in SS7, het verbindingssysteem dat wordt gebruikt voor roaming, om te onderscheppen SMS-berichten op het netwerk en route ze elders. Er zijn veel andere manieren om berichten te onderscheppen, onder meer door het gebruik van nep-gsm-torens. Sms-berichten zijn niet ontworpen voor beveiliging en mogen daar niet voor worden gebruikt.

Met andere woorden, een geavanceerde aanvaller met een beetje persoonlijke informatie kan uw telefoonnummer kapen om toegang te krijgen tot uw online accounts en die vervolgens gebruiken. accounts om te proberen uw bankrekeningen leeg te maken, bijvoorbeeld. Daarom is het National Institute of Standards and Technology niet langer voorstander van het gebruik van sms-berichten voor authenticatie met twee factoren.

Het alternatief: codes op uw apparaat genereren

GERELATEERD: Authy instellen voor authenticatie met twee factoren (en uw codes synchroniseren tussen apparaten)

Een tweevoudig verificatieschema dat niet afhankelijk is van sms is superieur, omdat het bedrijf van de mobiele telefoon iemand anders geen toegang tot uw codes kan geven. De meest populaire optie hiervoor is een app zoals Google Authenticator. Wij raden echter Authy aan, omdat het alles doet wat Google Authenticator doet en nog veel meer.

Apps zoals deze genereren codes op uw apparaat. Zelfs als een aanvaller je mobiele telefoonbedrijf in de val lokte om je telefoonnummer naar zijn telefoon te verplaatsen, zouden ze je beveiligingscodes niet kunnen krijgen. De gegevens die nodig zijn om deze codes te genereren, blijven veilig op uw telefoon.

VERBONDEN: Hoe u Google's nieuwe code-minder twee-factorenauthenticatie instelt

U hoeft ook geen codes te gebruiken. Diensten zoals Twitter, Google en Microsoft testen app-gebaseerde tweeledige verificatie waarmee u zich kunt aanmelden op een ander apparaat door de aanmelding in hun app op uw telefoon te autoriseren.

Er zijn ook fysieke hardwaretokens die u kunt gebruiken . Grote bedrijven zoals Google en Dropbox hebben al een nieuwe standaard geïmplementeerd voor op hardware gebaseerde twee-factor authenticatietokens met de naam U2F. Deze zijn allemaal veiliger dan te vertrouwen op uw mobiele telefoonbedrijf en het verouderde telefoonnetwerk.

Vermijd indien mogelijk sms-berichten voor authenticatie met twee factoren. Het is beter dan niets en lijkt handig, maar het is meestal het minst veilige twee-factorenauthenticatieschema dat u kunt kiezen.

Helaas zijn sommige services u dwingen om SMS te gebruiken. Als u zich hier zorgen over maakt, kunt u een Google Voice-telefoonnummer maken en deze geven aan services waarvoor sms-verificatie is vereist. U kunt zich vervolgens aanmelden bij uw Google-account, dat u kunt beveiligen met een veiligere tweefactorauthenticatiemethode, en de beveiligde berichten bekijken op de Google Voice-website of -app. Stuur gewoon geen berichten van Google Voice door naar uw huidige mobiele telefoonnummer.


Hoe u een willekeurige kaart toevoegt aan de iPhone Wallet-app, zelfs als deze niet wordt ondersteund door Apple

Hoe u een willekeurige kaart toevoegt aan de iPhone Wallet-app, zelfs als deze niet wordt ondersteund door Apple

Met de Wallet-app op de iPhone kunt u al uw klantenkaarten, instapkaarten, bioscoopkaartjes en meer recht op uw apparaat. Helaas ondersteunt het alleen officieel een handvol winkels en merken. Gelukkig is er een manier om iets met een streepjescode toe te voegen aan deze apps, ongeacht of deze officieel worden ondersteund of niet.

(how-top)

Hoe u uw Twitter-account kunt beveiligen

Hoe u uw Twitter-account kunt beveiligen

Accountbeveiliging is belangrijk, niet alleen voor online winkelen en bankrekeningen, maar ook voor uw sociale accounts. De schade die iemand kan aanrichten aan je persoonlijke en professionele leven kan verwoestend zijn. Net als elk ander belangrijk account moet je de juiste voorzorgsmaatregelen treffen om ervoor te zorgen dat jij de enige bent met toegang.

(how-top)