ホームページ » の仕方 » 二要素認証にSMSを使用しない理由(および代わりに何を使用するか)

    二要素認証にSMSを使用しない理由(および代わりに何を使用するか)

    セキュリティ専門家は、可能な限りオンラインアカウントを保護するために2要素認証を使用することをお勧めします。多くのサービスでは、デフォルトでSMSの検証が行われ、サインインしようとするとテキストメッセージで携帯電話にコードが送信されます。ただし、SMSメッセージにはセキュリティ上の問題が多く、2要素認証では最も安全性の低いオプションです。.

    まず第一に:SMSは、二要素認証をまったく行わないよりも優れています。!

    ここではSMSに対する訴訟を取り上げる予定ですが、最初に明確にすることが重要です。SMSを使用することは、2要素認証をまったく使用しないことよりも優れています。.

    二要素認証を使用しない場合、誰かがあなたのアカウントにサインインするために必要なのはあなたのパスワードだけです。 SMSで2要素認証を使用する場合、アカウントにアクセスするには、誰かがパスワードを取得し、テキストメッセージにアクセスする必要があります。 SMSはまったく何もないよりはるかに安全です.

    SMSが唯一の選択肢である場合は、SMSを使用してください。ただし、セキュリティの専門家がSMSを回避することを推奨している理由と、その推奨事項を知りたい場合は、以下をお読みください。.

    SIMスワップにより、攻撃者はあなたの電話番号を盗むことができます

    SMS認証の仕組みは次のとおりです。サインインしようとすると、サービスは以前に通知した携帯電話番号にテキストメッセージを送信します。あなたはあなたの携帯電話でそのコードを入手してサインインするためにそれを入力します。そのコードは使い捨てにのみ有効です.

    それはかなり安全ですね。結局のところ、あなただけがあなたの電話番号を持っていて、誰かがコード権を見るためにあなたの電話を持っていなければなりませんか?残念だけど違う.

    誰かがあなたの電話番号を知っていて、社会保障番号の下4桁のような個人情報にアクセスできる場合 - 残念ながら、これは顧客データを漏らした多くの企業や政府機関のおかげで見つけるのは簡単です。会社と電話番号を新しい電話に移動します。これは「SIMスワップ」と呼ばれ、新しいデバイスを購入して電話番号を移動するときに実行するプロセスと同じです。その人は彼らがあなたであると言って、個人データを提供し、そしてあなたの携帯電話会社はあなたの電話番号で彼らの電話を設定します。彼らは彼らの電話のあなたの電話番号に送られたSMSメッセージコードを得るでしょう.

    攻撃者が被害者の電話番号を盗み出し、被害者の銀行口座にアクセスするためにそれを使用したイギリスで、これが起きたという報告を私たちは見てきました。ニューヨーク州もこの詐欺について警告しています.

    根本的に、これはあなたの携帯電話会社をだますことに頼るソーシャルエンジニアリング攻撃です。しかし、あなたの携帯電話会社は、そもそも誰かにあなたのセキュリティコードへのアクセスを提供することができないはずです。!

    SMSメッセージはさまざまな方法で傍受される可能性があります

    SMSメッセージをスヌープすることも可能です。抑圧的な国の政治的な反対者やジャーナリストは、電話ネットワークを介して送信されるときに政府がSMSメッセージを乗っ取る可能性があるため、注意が必要です。イランではすでにこれが起きています。イランのハッカーが、これらのアカウントへのアクセスを提供するSMSメッセージを傍受して、多数のTelegramメッセンジャーアカウントを侵害したと伝えられています。.

    攻撃者はまた、ローミングに使用される接続システムであるSS7の問題を悪用し、ネットワーク上のSMSメッセージを傍受して他の場所にルーティングします。偽の携帯電話の塔を使用するなど、他の方法でメッセージを傍受することができます。 SMSメッセージはセキュリティ用に設計されていないため、使用しないでください.

    つまり、ちょっとした個人情報を持った巧妙な攻撃者があなたの電話番号を乗っ取ってあなたのオンラインアカウントにアクセスし、その後それらのアカウントを使ってあなたの銀行口座を流出させることができます。そのため、米国標準技術局が2要素認証にSMSメッセージの使用を推奨しなくなっています。.

    代替手段:あなたのデバイスでコードを生成する

    携帯電話会社が他の人にあなたのコードへのアクセスを許可することはできないので、SMSに依存しない2要素認証方式が優れています。このための最も人気のある選択肢は、Google Authenticatorのようなアプリです。ただし、Google Authenticatorが実行するすべての処理を実行できるので、Authyをお勧めします。.

    このようなアプリはあなたのデバイス上でコードを生成します。攻撃者があなたの携帯電話会社をだましてあなたの電話番号を彼らの電話に移動させようとしても、彼らはあなたのセキュリティコードを入手することができないでしょう。これらのコードを生成するのに必要なデータはあなたの電話に安全に残るでしょう.

     

    コードを使う必要もありません。 Twitter、Google、Microsoftなどのサービスでは、携帯電話のアプリでサインインを承認することで、他のデバイスにサインインできるようにする、アプリベースの2要素認証をテストしています。.

    使用できる物理ハードウェアトークンもあります。 GoogleやDropboxのような大企業は、U2Fという名前のハードウェアベースの2要素認証トークンの新しい標準をすでに実装しています。これらはすべてあなたの携帯電話会社と時代遅れの電話網に頼るよりも安全です。.

    可能であれば、2要素認証ではSMSを避けてください。それは何もないよりも優れていて便利に思えますが、通常は最も安全性の低い2要素認証方式を選択できます。.

    残念ながら、サービスによってはSMSの使用を強制しています。これが心配な場合は、Google Voiceの電話番号を作成し、それをSMS認証を必要とするサービスに渡すことができます。その後、Googleアカウントにサインインできます。これは、より安全な2要素認証方法で保護できます。GoogleVoiceのWebサイトまたはアプリで安全なメッセージを確認できます。 Google Voiceから実際の携帯電話番号にメッセージを転送しないでください.