Google, Facebook og endda regeringen.
Dette blev introduceret bare for at sikre, at hackere skulle have brug for både deres adgangskoder og mobiltelefon for at hacke kontiene. Det er blevet en standardpraksis i disse dage på grund af dets ekstra fordele. Men fra nu af vil det ikke være tilgængeligt for brugere.
SMS-baseret tofaktorautentificering er død:
Dette ekstra beskyttelseslag er blevet erklæret, og meget snart bliver det fortid. US National Institute of Standards and Technology (NIST) har udgivet et nyt udkast til sin retningslinje for digital godkendelse, der siger, at SMS-baseret tofaktorautentificering skal forbydes i fremtiden på grund af sikkerhedsproblemer.
I henhold til dette udkast
“Hvis verifikation uden for bånd skal foretages ved hjælp af en SMS-besked på et offentligt mobiltelefonnetværk, SKAL verifikatoren kontrollere, at det præregistrerede telefonnummer, der bruges, faktisk er knyttet til et mobilnetværk og ikke til et VoIP (eller andet software-baseret) service. Derefter sender den SMS-beskeden til det præregistrerede telefonnummer. Ændring af det forudregistrerede telefonnummer SKAL IKKE være muligt uden tofaktorautentificering på tidspunktet for ændringen. OOB [Bekræftelse uden for bånd] ved hjælp af SMS er udfaset og vil ikke længere være tilladt i fremtidige udgivelser af denne vejledning. ”
Hvordan SMS-baseret tofaktorautentificering er usikker?
- NIST (National Institue Of Standards And Technology) angiver SMS-baseret tofaktorautentificering som en usikker proces på grund af følgende årsager:
- Webstedsoperatøren har ingen måde at kontrollere, om den person, der modtager 2FA-koden, er den rigtige modtager eller ej. Så din konto falder under risikoen, når nogen stjæler din mobil.
- Der er meget plads til kapring, hvis den enkelte bruger en voice-over-internet-protokol (VoIP) -tjeneste, da den leverer telefonopkaldstjeneste via en bredbåndsinternetforbindelse i stedet for et traditionelt netværk.
- Ved hjælp af VOIP-tjenesten kunne hackere stadig få adgang til dine konti beskyttet med SMS-baseret tofaktorautentificering.
- Nogle enheder viser 2FA-koden selv på låseskærmen.
- Hackere kan modtage din OTP ved at omdirigere SMS'en, der indeholder koden, til deres egen enhed. De kan også nulstille dine Facebook- eller Gmail-konti ved at modtage nulstillingskode. Dette skyldes designfejlene i SS7 (signalsystem nummer 7).
BIOMETRIC skal erstatte 2FA:
NIST foreslår at bruge Biometri (Fingeraftryksscanner), da den er mere sikker end 2FA. Med hensyn til dette lyder DAG-udkast:
"Derfor understøttes brugen af biometri til godkendelse med følgende krav og retningslinjer: Biometri SKAL bruges med en anden godkendelsesfaktor (noget du kender eller noget du har)."
Hold biometrisk til side, mange teknologivirksomheder som Facebook og Google tilbyderappkodegenerator som en alternativ løsning til 2FA, da denne appkodegenerator ikke er afhængig af SMS eller netværksoperatør.
For nylig har Google også gjort sin tofaktorautentificering meget nemmere og hurtigere ved at introducere en ny metode kaldet Google Prompt. Det bruger en simpel push-underretning, hvor du skal godkende anmodninger med et enkelt tryk. Disse grunde modvirker samlet for afslutningen af SMS-baseret tofaktorautentificering. Så brugerne bør være mere forsigtige med deres konti.
Skal læses: Hvordan hackere istrerer at omgå Googles tofaktorautentificering
