Dlaczego nie należy używać haseł jednorazowych przesyłanych SMS-em

Jednym z najwygodniejszych sposobów logowania się do aplikacji dla użytkowników mobilnych – i metodą, z której korzysta wiele firm w celu zapewnienia dostępu – jest hasło jednorazowe, czyli hasło jednorazowe, które często jest udostępniane za pośrednictwem wiadomości tekstowych. Wśród ekspertów ds. cyberbezpieczeństwa panuje jednak coraz większa zgoda co do tego, że hasła jednorazowe, podobnie jak hasła tradycyjne, powinny zostać wycofywane, chociaż eksperci twierdzą, że wątpliwe jest, aby miało to nastąpić w najbliższej przyszłości.

Konsumentów wzywa się do zwrócenia uwagi na różne typy haseł jednorazowych oraz względne ryzyko bezpieczeństwa w porównaniu z korzyściami, jakie każde z nich zapewnia. Doświadczenie pokazuje, że zawsze można obejść uwierzytelnianie, ale niektóre metody są skuteczniejsze od innych, twierdzi Ant Allan, wiceprezes analityk w Gartner Research. „Nie ma niezawodnych metod uwierzytelniania” – powiedział Alan.

Oto, co konsumenci powinni wiedzieć o hasłach jednorazowych (OTP) i bezpieczeństwie w Internecie:

Karty OTP są podatne na oszustwa internetowe

Hasła jednorazowe (OTP) wysyłane SMS-em lub SMS-em są bardziej podatne na ataki oszustów przy użyciu różnych środków, takich jak ataki typu phishing, fałszowanie i fałszywe zabezpieczenia w firmie Javelin Strategy & Research, stwierdziła Tracy C. Kitten, dyrektor ds. oszustw i bezpieczeństwo karty SIM Javelin Strategy & Research i przechwytywanie wiadomości, nawet jeśli masz telefon przy sobie.

Problem pogłębia fakt, że w przypadku przejęcia konta mobilnego lub witryny internetowej możesz nie od razu zdawać sobie z tego sprawę. „Możesz na przykład poprosić bank o wysłanie wiadomości tekstowej, a następnie odesłanie jej, nie zdając sobie sprawy, że otrzymała ją inna osoba” – mówi Keaten. „Może minąć 45 minut, zanim zorientujesz się, że coś jest nie tak Wskaż, że jest już za późno.

Skorzystaj z aplikacji uwierzytelniającej firm Google i Microsoft

Najlepszą opcją, choć nie jest złotym rozwiązaniem, jest pobranie aplikacji uwierzytelniającej, takiej jak Google Authenticator lub Microsoft Authenticator, na urządzenie mobilne, twierdzą eksperci ds. bezpieczeństwa. Allan powiedział, że aplikacje uwierzytelniające są nadal podatne na niektóre rodzaje ataków typu „wróg pośrodku”, ale nadal są bezpieczniejsze niż SMS-y.

READ  Świeże rendery Galaxy S23 Ultra pokazują płaski ekran

Dzięki aplikacji uwierzytelniającej użytkownicy otrzymują unikalny kod przy każdym logowaniu, a kod traci ważność, zwykle po 30–60 sekundach. Na numer telefonu nic nie jest wysyłane. Aplikacja uwierzytelniająca znajduje się na Twoim urządzeniu mobilnym, więc jeśli telefon jest chroniony hasłem i włączysz funkcję rozpoznawania twarzy, znacznie zmniejsza to ryzyko, że ktoś będzie mógł uzyskać dostęp do tych kodów, powiedział Kitten.

Nadal istnieją potencjalne luki w zabezpieczeniach wymagające wprowadzenia kodu, mówi Cédric Thevenet, wiceprezes i dyrektor ds. sprzedaży i rozwiązań cybernetycznych w Capgemini Americas. Załóżmy na przykład, że ktoś otrzymuje wiadomość e-mail, która wydaje się pochodzić od firmy lub dostawcy, z którym współpracuje na co dzień, ale w rzeczywistości stanowi dobrze zamaskowaną próbę wyłudzenia informacji. Thevenet twierdzi, że dzięki sztucznej inteligencji tego typu e-maile phishingowe stały się trudniejsze do wykrycia.

Jeśli nieuważny użytkownik kliknie łącze, może zostać przekierowany do witryny internetowej, która wygląda na wiarygodną, ​​ale nią nie jest. Osoba wprowadza swoją nazwę użytkownika i hasło na stronie internetowej hakera, myśląc, że jest to witryna usługodawcy, a następnie, zapytana o kod uwierzytelniający, również go wpisuje. Teraz, jak wyjaśnił Thevenet, haker ma dostęp do konta danej osoby.

Rozważ płacenie za aplikacje mobilne, aby zapewnić lepszą ochronę

Istnieje bezpieczniejsza opcja uwierzytelniania, która działa w połączeniu z aplikacjami mobilnymi na telefonie użytkownika. Kiedy użytkownicy logują się na stronie internetowej swojego banku lub innego usługodawcy, otrzymują powiadomienie w odpowiedniej aplikacji na swoim telefonie z prośbą o zweryfikowanie swojej tożsamości za pomocą tego powiadomienia.

Ta metoda weryfikacji jest niezależna od urządzenia, z którego się logujesz i jest lepsza niż SMS-y lub hasła jednorazowe do uwierzytelnienia, ale istnieją ataki, które mogą również działać przeciwko tej metodzie, powiedział Alan. Haker może wielokrotnie próbować zalogować się na czyjeś konto przy użyciu skradzionego hasła, a użytkownik otrzyma na swój telefon wiele wiadomości w celu weryfikacji. Jeśli dana osoba nie zwraca szczególnej uwagi lub po prostu chce przestać irytować, może kliknąć, aby zweryfikować i tym samym dać hakerowi dostęp do konta.

READ  Apple wyda aktualizację oprogramowania iPhone'a 12 we Francji, aby rozwiązać problemy związane z promieniowaniem

Jeśli to możliwe, wybierz sprzętowy klucz bezpieczeństwa

Lepszą opcją jest użycie fizycznego klucza bezpieczeństwa, takiego jak Yubico. Jednego klucza można używać z wieloma aplikacjami i usługami. Alan powiedział, że z punktu widzenia bezpieczeństwa jest to lepsze niż SMS-y czy aplikacja uwierzytelniająca. Ale jest inwestycja. Klucz może kosztować od 20 do 60 dolarów lub więcej i ludzie muszą uważać, aby go nie zgubić.

Nie jest to również praktyczne we wszystkich sytuacjach. Thevenet powiedział, że sprzedawca internetowy nie udostępni kluczy każdemu ze swoich klientów ze względu na koszty i praktyczność.

Usuń hasła z równania za pomocą kluczy dostępu do wielu urządzeń

Chociaż używanie kluczy dostępu do wielu urządzeń, które zastępują konieczność stosowania haseł, niekoniecznie zastępuje hasło jednorazowe, utrudnia osobie atakującej włamanie się na Twoje konta. Według FIDO Alliance, otwartego konsorcjum skupionego na ograniczaniu uzależnienia świata od haseł, klucze składają się z „klucza prywatnego” przechowywanego na komputerze lub telefonie użytkownika oraz szyfrowanego klucza publicznego.

Oprócz eliminacji niektórych niedogodności związanych z hasłami, hasła chronią użytkowników przed atakami typu phishing, ponieważ działają tylko w witrynach i aplikacjach, w których są zarejestrowani. Istnieją pewne obawy związane z bezpieczeństwem, ale przynajmniej „usuwa hasła z równania, co przede wszystkim utrudnia atakującemu rozpoczęcie pracy” – powiedział Allan.

Z prawnego punktu widzenia hasła mogą nie kwalifikować się jako uwierzytelnianie wieloskładnikowe, ale mogą być bezpieczniejsze niż użycie hasła i SMS-ów, powiedział Allan.

Należy się spodziewać, że jednorazowe hasła SMS (OTP) będą nadal w użyciu, a istnieje ryzyko

Użytkownicy mają do dyspozycji szeroką gamę opcji zarządzania logowaniami online, ze szczególnym naciskiem na bezpieczeństwo, w tym menedżery haseł, ale wszystkie wiążą się z ryzykiem i w pewnym stopniu konsumenci są ograniczeni do metod uwierzytelniania oferowanych przez różnych dostawców.

READ  Nowy obiektyw zmiennoogniskowy Sony pokazuje, że nadal ma przewagę nad Canonem i Nikonem

Dyrektor zarządzająca Protiviti Dusty Anderson, która kieruje praktyką tożsamości cyfrowej firmy, twierdzi, że jeden z jej klientów wydaje dziesiątki tysięcy dolarów miesięcznie na wysyłanie jednorazowych haseł za pośrednictwem wiadomości SMS. Pomimo obaw związanych z bezpieczeństwem klient nie stoi na stanowisku, bo boi się sprawić problemy, zwłaszcza klientom, którzy nie są zaznajomieni z technologią i mogą niechętnie korzystać z innego rodzaju narzędzia uwierzytelniającego.

Thevenet stwierdził, że z innych powodów hasła tymczasowe prawdopodobnie pozostaną dostępne w jakiejś formie w dającej się przewidzieć przyszłości. Thevenet dodał, że najpopularniejsze opcje są tanie i łatwe w użyciu i pomimo pewnych zagrożeń metody te są nadal lepsze niż samo hasło. „Czy wysłanie hasła tymczasowego SMS-em jest najlepszym rozwiązaniem w historii? Nie. Czy jest lepsze niż samo hasło? Tak.”

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *