Mengapa anda tidak boleh menggunakan SMS untuk pengesahan dua faktor dan apakah alternatifnya?

Pengesahan dua faktor (2FA) menambah lapisan keselamatan yang penting pada akaun dalam talian anda, tetapi malangnya, tidak semua kaedah dicipta sama. Ramai orang bergantung pada 2FA berasaskan SMS, mempercayai ia sebagai pilihan yang selamat. Malangnya, SMS bukanlah kaedah yang sempurna. Inilah sebabnya anda harus berhenti menggunakan SMS untuk 2FA dan perkara yang boleh anda gunakan sebaliknya…

Pertukaran SIM Membolehkan Penggodam Mencuri Nombor Telefon Anda

Salah satu risiko yang paling membimbangkan apabila menggunakan SMS untuk 2FA ialah pertukaran SIM, teknik di mana penyerang memperdaya penyedia mudah alih anda untuk mengalihkan nombor telefon anda ke kad SIM baharu. Setelah mereka mengawal nombor anda, mereka boleh menyekat sebarang mesej SMS yang dihantar ke nombor itu.

Begini cara ia berfungsi: Penyerang menghubungi pembawa mudah alih anda, berpura-pura menjadi anda. Menggunakan maklumat peribadi yang dicuri — seperti alamat anda atau empat digit terakhir nombor Keselamatan Sosial anda — mereka meyakinkan pembawa untuk memindahkan nombor telefon anda ke kad SIM mereka. Setelah peralihan ini selesai, penyerang akan memintas mesej teks yang dihantar ke nombor anda, termasuk kod 2FA yang bertujuan untuk melindungi akaun anda.

Kerosakan tidak berhenti di situ. Ramai di antara kita memautkan nombor telefon kita kepada berbilang akaun, daripada e-mel ke media sosial kepada apl perbankan. Pertukaran SIM yang berjaya boleh memberikan akses kepada penyerang kepada banyak akaun yang dikaitkan dengan nombor telefon anda, daripada e-mel kepada apl perbankan. Panduan terdahulu Quantrimang.com tentang pertukaran kad SIM dan cara melindungi diri anda boleh membantu anda mengelakkan penipuan yang semakin biasa ini.

Mesej SMS boleh dipintas

Walaupun anda mengelakkan pertukaran SIM, mesej SMS itu sendiri masih tidak selamat. Mereka mengembara melalui rangkaian yang boleh dipintas dengan mudah. Penggodam boleh mengeksploitasi kelemahan dalam Sistem Isyarat No. 7 (SS7), protokol telekomunikasi global yang membolehkan pembawa menghalakan panggilan dan mesej. Dengan mengeksploitasi SS7, penyerang boleh memintas mesej SMS tanpa mempunyai akses kepada telefon sebenar anda.

Ini bukan sekadar teori; Penggodaman SIM adalah masalah yang telah wujud sejak sekian lama. Penjenayah siber dan juga beberapa kumpulan tajaan kerajaan telah menggunakan kerentanan SS7 untuk mengintip komunikasi dan mencuri maklumat sensitif. Memandangkan SMS tidak disulitkan, kandungan mesej, termasuk kod laluan sekali, akan didedahkan semasa penghantaran.

Satu lagi cara mesej boleh dikompromi adalah melalui apl hasad atau perisian pengintip yang dipasang pada peranti anda. Program ini boleh memantau mesej SMS masuk anda dan memajukan kod 2FA kepada penyerang tanpa pengetahuan anda.

SMS dipautkan ke nombor telefon anda

Satu lagi kelemahan ketara 2FA berasaskan SMS ialah ia bergantung pada nombor telefon anda. Keupayaan untuk menerima kod dipautkan terus ke perkhidmatan mudah alih anda. Jika anda berada di kawasan dengan isyarat lemah, 2FA berasaskan SMS akan menjadi tidak berguna sama sekali, walaupun dengan Wi-Fi . Tidak seperti kaedah pengesahan lain yang boleh berfungsi melalui sambungan Internet, SMS memerlukan isyarat selular yang stabil.

Kebergantungan ini boleh menyebabkan anda terperangkap dalam situasi di mana anda perlu mengakses akaun anda tetapi tidak boleh mendapatkan kod tersebut. Sama ada anda melancong ke lokasi terpencil atau hanya di dalam bangunan dengan penerimaan yang lemah, pengehadan ini menjadikan SMS kurang dipercayai berbanding kaedah alternatif.

Alternatif: Apl Pengesah

Daripada bergantung pada SMS untuk pengesahan 2FA, beralih kepada apl pengesah 2FA. Apl seperti Google Authenticator, Microsoft Authenticator dan Authy menjana kata laluan sekali masa (TOTP) secara langsung pada peranti anda, memberikan alternatif yang lebih selamat dan boleh dipercayai kepada SMS.

Kelebihan besar pertama apl pengesah ialah keselamatan. Tidak seperti SMS, apl ini menjana kod secara setempat pada telefon anda, bermakna ia tidak dihantar melalui rangkaian yang boleh dipintas atau dieksploitasi. Ia juga dilindungi dengan lapisan keselamatan tambahan — banyak apl memerlukan kod laluan, cap jari atau imbasan muka untuk mengakses kod tersebut.

Sebab lain mengapa orang suka apl pengesah ialah kefungsian luar talian mereka. Memandangkan kod dijana terus pada peranti, anda tidak memerlukan sambungan mudah alih untuk menggunakannya. Sama ada anda berada di kawasan terpencil tanpa perkhidmatan atau hanya di dalam rumah dengan penerimaan yang lemah, anda masih boleh mengakses kod anda selagi anda mempunyai peranti.

Orang lebih suka Authy berbanding apl pengesah lain kerana ia menawarkan sandaran awan, menjadikannya mudah untuk memulihkan akaun anda jika anda kehilangan telefon anda. Pada masa yang sama, ia menjamin sandaran ini dengan penyulitan, memastikan hanya anda boleh mengaksesnya. Google Authenticator ialah satu lagi pilihan popular. Kedua-dua pilihan adalah percuma, disokong secara meluas dan mudah disediakan.

Menggunakan apl pengesah adalah sangat mudah. Sebaik sahaja disediakan, biasanya dengan mengimbas kod QR yang disediakan oleh tapak web semasa proses persediaan 2FA, anda hanya membuka aplikasi untuk mengakses kod itu apabila anda log masuk. Kod itu dimuat semula setiap 30 saat, jadi walaupun seseorang mencuri kod, ia menjadi tidak berguna serta-merta.

Pengesahan dua faktor adalah penting untuk memastikan akaun anda selamat, tetapi kaedah yang anda gunakan penting. Walaupun 2FA berasaskan SMS mungkin kelihatan mudah, ia penuh dengan kelemahan — daripada pertukaran SIM kepada kaedah pemintasan dan juga isu praktikal seperti liputan sel yang lemah. Risiko ini menjadikan SMS sebagai perlindungan yang tidak boleh dipercayai untuk keselamatan dalam talian anda.