Modtagelse af en login -kode via SMS og e -mail er ikke sikker. Her er hvad du skal bruge i stedet

Når det kommer til personlig cybersikkerhed, du synes måske, at du har det godt. Måske har du konfigureret multifaktorgodkendelse på din telefon, så du skal indtaste en kode, der sendes til dig via SMS, før du kan logge ind på din e-mail eller bankkonto fra en ny enhed.

Hvad du måske ikke er klar over, er, at nye svindel har foretaget godkendelse ved hjælp af en kode, der er sendt via SMS -beskeder, e -mails eller taleopkald mindre sikre, end de plejer at være.

Multifaktorgodkendelse er angivet i Australian Cyber ​​Security Centers Essential Eight Maturity Model som en anbefalet sikkerhedsforanstaltning for virksomheder for at reducere deres risiko for cyberangreb.

Sidste måned, i en opdateret liste, godkendelse via SMS -beskeder, e -mails eller taleopkald blev nedgraderet, hvilket angiver, at de ikke længere betragtes som optimale for sikkerheden.

Her er hvad du skal gøre i stedet.

Hvad er multi-factor-godkendelse?

Når vi logger ind på en app eller enhed, vi bliver normalt bedt om en form for identitetskontrol. Dette er ofte noget, vi ved (som et kodeord), men det kan også være noget, vi har (som en sikkerhedsnøgle eller et adgangskort) eller noget, vi er (som et fingeraftryk).

Den sidste af disse foretrækkes ofte fordi, mens du kan glemme en adgangskode eller et kort, din biometriske signatur er altid med dig.

Multifaktorgodkendelse er, når mere end én identitetskontrol udføres via forskellige kanaler. For eksempel, det er almindeligt i disse dage at indtaste din adgangskode, og en ekstra godkendelseskode, du skal indtaste, sendes til din telefon via SMS -besked, e -mail eller telefonsvarer.

Masser af tjenester, såsom banker, tilbyder allerede denne funktion. Du har sendt en "engangskode" til din telefon for at bekræfte bemyndigelsen til at gennemføre en transaktion.

Det er godt, fordi:

• den bruger to separate kanaler
• koden genereres tilfældigt, så det kan ikke gisnes
• koden har en begrænset levetid

Hvordan kunne dette gå galt?

Antag, at en cyberkriminel har stjålet din telefon, men du har den låst via fingeraftryk. Hvis forbryderen ønsker at kompromittere din bankkonto og forsøger at logge ind, din bank sender en godkendelseskode til din telefon.

Afhængigt af hvordan dine telefonindstillinger er konfigureret, koden kan dukke op på din telefonskærm, også når den stadig er låst. Kriminelle kunne derefter indtaste koden og få adgang til din bankkonto. Bemærk, at indstillingerne for "ikke forstyrr" på din telefon ikke hjælper, da meddelelsen stadig vises, om end stille og roligt. For at undgå dette problem, du skal deaktivere forhåndsvisninger af beskeder helt i telefonens indstillinger.

Et mere detaljeret hack indebærer "SIM -bytte". Hvis en kriminel har nogle af dine identitetsoplysninger, de kan muligvis overbevise din telefonudbyder om, at de er dig og anmode om, at et nyt SIM -kort, der er knyttet til dit telefonnummer, sendes til dem. Den vej, når der sendes en godkendelseskode fra en af ​​dine konti, det vil gå til hackeren i stedet for dig.

Dette skete for en teknologijournalist i USA for et par år siden, der beskrev oplevelsen:"Omkring klokken 21 tirsdag, 22. august byttede en hacker sit eget SIM -kort ud med mit, formodentlig ved at ringe til T-Mobile. Det her, på tur, lukke netværkstjenester til min telefon og, øjeblikke senere, tilladt hackeren at ændre de fleste af mine Gmail -adgangskoder, min Facebook -adgangskode, og sms på mine vegne. Alle tofaktormeddelelser gik, som standard, til mit telefonnummer, så jeg modtog ingen af ​​dem, og på cirka to minutter var jeg låst ude af mit digitale liv. "

Så er der spørgsmålet, om du vil give dit telefonnummer til den tjeneste, du bruger. Facebook har været beskyttet i de seneste dage for at kræve, at brugerne oplyser deres telefonnummer for at sikre deres konti, men derefter lade andre søge efter deres profil via deres telefonnummer. De har også angiveligt brugt telefonnumre til at målrette mod brugere med annoncer.

Dette er ikke at sige, at opdeling af identitetstjek er en dårlig ting, det er bare det, at afsendelse af en del af et identitetstjek via en mindre sikker kanal fremmer en falsk følelse af sikkerhed, der kan være værre end slet ingen sikkerhed.

Multifaktorgodkendelse er vigtig-så længe du gør det via de rigtige kanaler.

Hvilke godkendelseskombinationer er bedst?

Lad os overveje nogle kombinationer af multifaktorgodkendelse, der har forskellige grader af brugervenlighed og sikkerhed.

Et oplagt førstevalg er noget, du ved, og noget du har, sig en adgangskode og et fysisk adgangskort. En cyberkriminel skal skaffe begge for at efterligne dig. Ikke umuligt, men svært.

En anden kombination er et kodeord og en stemmeprint. Et stemmeprintgenkendelsessystem registrerer, at du taler en bestemt adgangssætning og matcher derefter din stemme, når du skal godkende din identitet. Dette er attraktivt, fordi du ikke kan efterlade din stemme hjemme eller i bilen.

Men kunne din stemme blive smedet? Ved hjælp af digital software, det kan være muligt at tage en eksisterende optagelse af din stemme, pak den ud og sekventer den igen for at producere den nødvendige sætning. Dette er lidt udfordrende, men ikke umuligt.

En tredje kombination er et kort og en stemmeprint. Dette valg fjerner behovet for at huske en adgangskode, som kunne blive stjålet, og så længe du opbevarer det fysiske token (kortet eller nøglen), det er meget svært for en anden at efterligne dig.

Der er endnu ingen perfekte løsninger, og brug af den mest sikre version af godkendelse afhænger af, at den tilbydes af den service, du bruger, f.eks. din bank.

Cybersikkerhed handler om at styre risiko, så hvilken kombination af multifaktorgodkendelse, der passer til dine behov, afhænger af den balance, du accepterer mellem brugervenlighed og sikkerhed.

Denne artikel er genudgivet fra The Conversation under en Creative Commons -licens. Læs den originale artikel.