문자 메시지 및 이중 인증: 모든 기업이 알아야 할 사항

범죄자들이 사용자의 방어망을 뚫기 위해 더욱 부지런히 노력함에 따라 기업은 데이터 무결성을 유지하는 데 더욱 적극적으로 나서야 합니다.

마치 우편으로 보내는 것처럼 이메일을 보내는 데 더 익숙한 고객은 필요한 추가 단계에 불편하게 반응할 수 있습니다. 다행스럽게도 고객은 더 나은 정보를 얻고 프로세스는 점점 더 쉬워지고 있습니다.

목표는 최종 사용자가 이중 요소 식별을 가능한 한 쉽게 하는 동시에 악의적인 사용자가 이를 우회하기 어렵게 하는 것입니다.

무서운 소리? 안심하다! 이중 인증( 2FA )은 영리한 사기꾼과 싸우기 위해 진화하고 있습니다.

어떻게 작동합니까?

2FA는 인증 프로토콜에 추가 계층을 추가합니다. 다양한 형태로 나타날 수 있습니다. 때로는 음성, 지문, 망막 스캔 또는 기타 고유 항목이 혼합의 일부가 되어야 하는 생체 인식입니다.

여기에는 광범위한 기록 보관 및 PII(개인 식별 정보) 저장소가 필요하며, 이는 오버헤드를 크게 증가시킬 뿐만 아니라 저장소가 손상될 경우 추가적인 보안 문제를 일으킬 수 있습니다.

그러나 이러한 기술은 가능하지만 대부분의 경우 실용적이지 않습니다. 대신 은행과 같은 기관에서는 ATM(자동 입출금기)을 운영하기 위해 고유한 신분증을 발급합니다. 이러한 카드는 PIN(개인 식별 번호)이 없으면 쓸모가 없습니다.

이 보안은 특정 항목을 갖고 특정 지식과 결합하는 데 의존합니다. 은행 카드는 지갑을 도난당하거나 분실한 경우 분실될 수 있지만 PIN이 없으면 카드 자체는 쓸모가 없습니다.

2단계 인증은 기존의 '사용자 이름' 및 '암호' 패러다임을 확장합니다.

이중 인증의 이점

조직된 갱단이나 심지어 1인용 범죄자는 똑똑한 사람들이 낯선 사람에게 보안 액세스 권한을 부여하거나 암호를 공유하는 것과 같이 놀랍도록 잘못된 결정을 내리도록 속이는 전략을 찾아냈습니다.

SMS를 통한 2FA는 우리 대부분이 관심을 끌기에는 너무 관심이 없는 범죄자들에게 프로세스를 충분히 어렵게 만듭니다.

단계 제거

IoT (사물 인터넷)는 인류에게 큰 도움이 되었습니다(경우에 따라 골칫거리이기도 함). 이는 현재 50억 대의 스마트폰이 사용 중이며 SMS 메시지를 수신할 수 있는 수많은 다른 장치가 사용 중임을 의미합니다.

현재 추정에 따르면 21/20억의 지구인은 (다른 모든 장치를 제외하고) 최소한 하나의 스마트폰을 가지고 있습니다.

그것은 거의 항상 우리와 함께 있고 쉽게 접근할 수 있으며 우리는 그것에 상당히 의존하게 되었습니다.

2FA 서비스는 신중한 식별 도구를 발행할 필요가 없습니다. 개인에 대한 불필요한 정보를 저장할 필요도 없습니다.

우리는 여전히 이름과 비밀번호를 가질 수 있지만, 이제 자신을 식별한 서비스는 SMS 인증을 사용하여 1~2분 안에 만료되는 임시 PIN이 포함된 문자 메시지를 보낼 수 있습니다.

이제 무언가(이름 및 암호) 를 알고 있고 무언가(휴대전화)가 있으므로 계속 진행할 수 있습니다. 무엇이 더 쉬울 수 있습니까?

두려움을 없애고 고객이 사용할 것입니다.

일부 회사는 고객이 반항하고 비즈니스를 다른 곳으로 가져갈 것이라고 생각합니다. 증거로 Gmail 사용자의 10%만이 2FA를 사용 설정하고, 특히 90%는 사용하지 않는다는 사실을 지적합니다.

2FA를 사용하는 것은 의심할 여지 없이 좋은 생각이지만 여기에서 작동하는 패러다임을 알고 있어야 합니다. 사람들은 종종 '중요한' 메일에 보안 회사 또는 사설 ISP 이메일 서비스를 사용하고 Gmail을 사용하여 스팸을 흡수하고 신뢰할 수 없는 웹사이트와의 통신을 제공합니다.

'모든 것'에 그것을 사용하는 사람들은 더 많은 관심을 기울이는 경향이 있습니다. 나머지는 추가 노력을 기울일 가치가 없습니다.

고객은 이제 금융 거래에 2FA를 요구하고 있습니다.

반면에 돈 을 옮길 때 고객은 훨씬 더 구체적이고 추가 보안 조치를 이용하는 경향이 있습니다.

SMS 인증 서비스를 제공 하지 않으면 다른 제공업체 로 이동합니다. Amazon, LinkedIn, PayPal 및 DropBox와 같은 인기 있는 웹사이트는 알 수 없는 장치에서 금융 거래를 하거나 PII를 교환할 때 2FA가 필요합니다.

편의를 위해 '이 장치를 신뢰하십시오'라는 작은 확인란을 자주 찾을 수 있습니다. 이는 해당 장치를 통한 향후 거래가 자동으로 신뢰됨을 의미합니다.

친구의 태블릿을 빌려 은행 계좌에 로그인하는 경우 1회 및 시간 제한이 있는 인증 코드를 받아야 하지만 등록된 기기에서는 평소 사용하는 비밀번호와 이름만 사용하면 됩니다.

일부 사이트에서는 장치를 한 번만 인증해야 합니다. 다른 사람은 매월 또는 매년. 보안 수준이 높은 사이트는 로그인할 때마다 2FA가 필요합니다.

이중 인증의 과제

전문 해커가 SMS 가로채기 및 즉시 착신 전환을 수행하여 결과 코드를 다른 곳으로 보낼 수 있기 때문에 2FA는 만병 통치약이 아닙니다.

그러나 Douglas Noel Adams가 한 번 우리에게 조언한 것처럼 '당황하지 마십시오!'. 엄청난 양의 작업이 필요하며 일반적으로 이러한 악용 기회를 만들기 위해 GSM 서비스 제공업체 내의 부정직한 직원으로 제한됩니다.

얻을 수 있는 상당한 이득이 있을 때 사기꾼은 기꺼이 더 많은 노력을 기울입니다.

수만 또는 수백만(또는 유명인의 경우 모든 누드 사진)을 전송하는 사람들은 추가 예방 조치를 취해야 하지만 대다수의 인구와 관련이 있는 것은 아닙니다.

일부 시스템은 본질적으로 취약하거나 비밀번호 재설정을 너무 두려워하는 고객 서비스 담당자가 보호합니다. 유명 브랜드 서비스를 사용하여 평판이 좋은 회사를 유지하는 것이 가장 좋습니다.

물론 2FA는 매년 새 스마트폰을 사야 한다고 느끼는 사람들에게 문제가 될 수 있습니다. 원활하게 액세스하려면 먼저 새 장치를 식별하여 모든 계정을 업데이트해야 합니다(새 권한 추가 및 이전 권한 삭제). 항상 최신 기술을 유지하는 데 드는 비용입니다.

2FA를 위한 추가 도구

더 나은 도구가 있다고 생각할 수도 있습니다. 'SMS 가로채기'에 대한 증거인 Google Authenticator(여기에서 작동 테스트 예 참조)와 같은 앱 도구가 있으며, Apple 팬이라면 SMS 시스템을 사용하지 않는 PUSH 알림도 있습니다.

그런 것이 마음에 들면 사용할 수 있습니다. 보안 수준이 높은 환경에는 더 강력한 도구가 있으며 필요할 때 자주 사용됩니다.

예를 들어, 요청 시 임의의 암호를 생성하는 USB와 같은 열쇠 고리 장치에 대해 들어본 적이 있을 것입니다. 이는 조직에 유용하지만 수천 명의 일반 대중을 상대하는 경우에는 그다지 유용하지 않습니다.

테이크아웃

이들 모두는 훌륭한 시스템이며 SMS 기반 2FA의 인식된 약점을 극복합니다. 그러나 진실은 이러한 약점이 사소하고 반드시 본질적인 것은 아니라는 것입니다. 책임은 거의 항상 개별 통신 회사의 프로토콜 구현에 있습니다.

이러한 결함은 SS7(다른 전화 네트워크에서 로밍을 활성화하는 데 사용됨)과 같은 악용된 프로토콜의 취약점을 제거하는 방향으로 이동함에 따라 시간이 지나면서 학술적으로 될 것입니다.

SMS는 사람들이 이미 잘 이해하고 있고 어디에나 있으며 해커의 삶을 복잡하게 만들기 때문에 훌륭한 옵션입니다.

고객 정보를 비공개로 유지하기 위해 SMS 2FA 보안에 의존하는 웹 및 소프트웨어 개발 기관인 Cloud Data Service에 대해 수행한 것처럼 자신과 고객을 보호하십시오.

고객을 위한 안정적이고 안전한 통신 채널을 원하시면 온라인 문의 양식을 통해 TextMagic 전문가에게 문의하거나 무료 평가판에 등록하여 어떻게 작동하는지 직접 확인하십시오!