テキスト メッセージと 2 要素認証: すべてのビジネスが知っておくべきこと

公開: 2022-10-12
ラップトップ PC とスマートフォンを使用するビジネスマン。

犯罪者がユーザーの防御に侵入しようとする努力がより熱心になるにつれて、企業はデータの整合性を維持するために、より積極的にならなければなりません。

郵送のように電子メールを送信することに慣れている顧客は、追加の手順が必要になると不快な反応を示す可能性があります。 幸いなことに、顧客はより多くの情報を得るようになり、プロセスはより簡単になっています。

目的は、エンド ユーザーにとって 2 要素識別をできる限り簡単にすると同時に、悪意のある人物が 2 要素識別を回避するのを困難にすることです。

手ごわいですね? リラックス! 2 要素認証 ( 2FA ) は、これらの巧妙な詐欺師と戦うために進化してきました。

それはどのように機能しますか?

2FA は、認証プロトコルに追加のレイヤーを追加します。 それは多くの形で来ることができます。 場合によっては生体認証であり、声、指紋、網膜スキャン、またはその他の固有のアイテムがミックスの一部である必要があります。

これらには、大規模な記録保持と PII (個人を特定できる情報) ストレージが必要であり、オーバーヘッドが大幅に増加する可能性があり、そのストレージが危険にさらされた場合に、追加のセキュリティ上の懸念が生じる可能性があります。

ただし、このような手法は可能ですが、ほとんどの場合、実用的ではありません。 代わりに、銀行などの機関は、(たとえば) 現金自動預け払い機 (ATM) を操作するために固有の ID カードを発行します。 このようなカードは、PIN (個人識別番号) がなければ役に立ちません。

このセキュリティは、特定のアイテムを持ち、それを特定の知識と組み合わせることに依存しています。 銀行カードは、財布が盗まれたり置き忘れられたりすると紛失する可能性がありますが、PIN がなければカード自体は役に立ちません。

2 要素認証は、従来の「ユーザー名」と「パスワード」のパラダイムを強化します。

二要素認証の利点

二要素認証の画像

組織化されたギャング、または単独の犯罪者でさえ、見知らぬ人に安全なアクセスを許可したり、パスワードを共有したりするなど、他の点では賢い人々をだまして、驚くほど悪い決定を下させる戦略を見つけました。

SMS を介した 2FA は、犯罪者にとってプロセスを非常に困難なものにします。

ステップの削除

IoT 、またはモノのインターネットは、人類に大きな恩恵をもたらしてきました (場合によっては、悩みの種でもあります)。 これは、現在 50 億台のスマートフォンと、SMS メッセージを受信できるその他の無数のデバイスが使用されていることを意味します。

現在の推定によると、21/2 億の地球人が少なくとも 1 台のスマートフォンを携帯しています (他のすべてのデバイスは別として)。

それはほとんど常に私たちと一緒にあり、簡単に手の届くところにあり、私たちはそれにかなり依存するようになりました.

2FA サービスは、個別の識別ツールを発行する必要はありません。 また、個人に関する不要な情報を保存する必要もありません。

名前とパスワードは引き続き使用できますが、このように自分自身を識別した後、サービスは SMS 認証を使用して、1、2 分で期限切れになる一時的な PIN を含むテキスト メッセージを送信できます。

何か (名前とパスワード) を知っていて、何か (電話) を持っているので、先に進むことができます。 もっと簡単なことは何ですか?

恐れをなくし、顧客はそれを使用します

一部の企業は、顧客が反抗し、ビジネスを別の場所に移すと考えています。 証拠として、Gmail ユーザーの 10% だけが 2FA を有効にしているという事実を指摘することが多く、特に90% は有効にしていません。

2FA を使用することは間違いなく良い考えですが、ここで機能しているパラダイムに注意する必要があります。 セキュリティ会社やプライベート ISP の電子メール サービスを「重要な」メールに使用し、Gmail を使用してスパムを吸収し、信頼できない Web サイトとの通信を提供することがよくあります。

それを「すべて」に使用する人は、より注意を払う傾向があります。 残りの部分については、余分な努力をする価値はありません。

顧客は現在、金融取引に 2FA を要求しています

一方、お金の移動に関して言えば、顧客はより細心の注意を払い、追加のセキュリティ対策を利用する傾向があります。

SMS 認証サービスを提供しない場合は、別のプロバイダー移行します。 Amazon、LinkedIn、PayPal、DropBox などの人気のある Web サイトでは、不明なデバイスからの金融取引や PII の交換に 2FA が必要です。

便宜上、「このデバイスを信頼する」という小さなチェックボックスが頻繁に表示されます。これは、そのデバイスを介した今後のトランザクションが自動的に信頼されることを意味します。

友人のタブレットを借りて銀行口座にログインする場合は、1 回限りの期限付​​きの認証コードを取得する必要がありますが、登録済みのデバイスでは、通常のパスワードと名前を使用するだけで済みます。

一部のサイトでは、デバイスの認定を 1 回だけ行う必要があります。 その他は毎月、または毎年。 高セキュリティ サイトでは、ログインごとに 2FA が必要です。

二要素認証の課題

2FA は万能薬ではありません。熟練したハッカーは、SMS の傍受と即時の着信転送を行うことができます。これらはすべて、結果のコードを別の場所に送信するためのものです。

ただし、ダグラス・ノエル・アダムスがかつて私たちにアドバイスしたように、「パニックにならないでください!」。 これらのエクスプロイトの機会を作成するには、膨大な量の作業が必要であり、通常、GSM サービス プロバイダー内の不正な従業員に限定されています。

大きな利益が得られる場合、詐欺師はより多くの労力を費やすことを厭いません。

数万枚または数百万枚 (または有名人の場合はすべてのヌード写真) を転送する人は、追加の予防措置を講じる必要がありますが、それは人口の大部分には関係ありません。

一部のシステムは本質的に脆弱であるか、パスワードをリセットすることを非常に心配している顧客サービス担当者によって保護されています. 有名ブランドのサービスを利用している評判の良い会社に固執するのが最善でしょう。

もちろん、2FA は、毎年新しいスマートフォンを入手しなければならないと感じている人にとっては問題になる可能性があります。 シームレスにアクセスできるようにするには、すべてのアカウントを更新し、新しいデバイスを識別して (新しいアクセス許可を追加し、古いアクセス許可を削除する) 必要があります。 これは、常に最新のテクノロジーを使用するためのコストです...

2FA 用のその他のツール

もっと良いツールがあると思うかもしれません。 「SMS 傍受」に対して証明されている Google Authenticator (実際のテスト例はこちら) などのアプリ ツールや、Apple ファンの場合は SMS システムを使用しない PUSH 通知もあります。

それがあなたにアピールするなら、あなたはそのようなものを使うことができます. 高度なセキュリティ環境では、さらに強力なツールが存在し、必要に応じて頻繁に使用されます。

たとえば、要求に応じてランダムなパスワードを生成する USB のようなキーフォブ デバイスについて聞いたことがあるかもしれません。 これは組織にとっては便利ですが、何千人もの一般市民を扱う場合にはあまり役に立ちません。

お持ち帰り

これらはすべて優れたシステムであり、SMS 主導の 2FA の弱点を克服しています。 しかし、真実は、上記の弱点はマイナーであり、必ずしも本質的ではないということです. 責任は、ほとんどの場合、個々の通信会社によるプロトコルの実装にあります。

これらの欠陥は、SS7 (さまざまな電話ネットワークでのローミングを可能にするために使用される) などの悪用されたプロトコルの脆弱性を排除する方向に進むにつれて、学術的なものになるでしょう。

SMS は優れたオプションです。なぜなら、人々は SMS をよく理解しており、どこにでもあり、ハッカーの生活を複雑にしています。

SMS 2FA セキュリティに依存してクライアントの情報が非公開であることを確認する Web およびソフトウェア開発機関である Cloud Data Service に対して行ったように、自分自身とクライアントを保護してください。

クライアントのために信頼できる安全なコミュニケーション チャネルが必要な場合は、オンラインお問い合わせフォームから TextMagic の専門家に連絡するか、無料トライアルに登録して、その仕組みをご自身で確認してください。