Wysyłanie SMS-ów i uwierzytelnianie dwuetapowe: co każda firma powinna wiedzieć

W miarę jak przestępcy coraz bardziej starają się przeniknąć zabezpieczenia użytkowników, firmy muszą stać się bardziej aktywne w utrzymywaniu integralności danych.

Klienci, bardziej przyzwyczajeni do wysyłania wiadomości e-mail tak, jakby były wysyłane pocztą, mogą zareagować niekomfortowo na dodatkowe wymagane kroki. Na szczęście klienci są coraz lepiej poinformowani, a proces jest coraz łatwiejszy.

Celem jest uczynienie identyfikacji dwuskładnikowej możliwie najłatwiejszą dla użytkowników końcowych, przy jednoczesnym zapewnieniu, że łotrom trudno będzie ją ominąć.

Brzmi groźnie? Zrelaksować się! Uwierzytelnianie dwuskładnikowe ( 2FA ) ewoluowało w celu zwalczania tych sprytnych oszustów.

Jak to działa?

2FA dodaje dodatkową warstwę do protokołów uwierzytelniania. Może przybierać różne formy. Czasami jest to biometria, wymagająca, aby częścią miksu był głos, odcisk palca, skan siatkówki lub inny unikalny przedmiot.

Wymagają one obszernego przechowywania dokumentacji i przechowywania informacji umożliwiających identyfikację użytkownika, co może znacznie zwiększyć koszty ogólne, a także spowodować dodatkowe obawy dotyczące bezpieczeństwa w przypadku naruszenia bezpieczeństwa pamięci masowej.

Jednak chociaż takie techniki są możliwe, w większości przypadków nie są praktyczne. Zamiast tego instytucje, takie jak banki, wydają unikalne dowody tożsamości, aby (na przykład) obsługiwać bankomat (ATM). Takie karty bez kodu PIN (osobisty numer identyfikacyjny) są bezużyteczne.

To bezpieczeństwo polega na posiadaniu określonego przedmiotu i połączeniu go z określoną wiedzą. Karty bankowe można zgubić, gdy portfel zostanie skradziony lub zgubiony, ale same karty są bezużyteczne bez kodu PIN.

Uwierzytelnianie dwuskładnikowe rozszerza tradycyjny paradygmat „nazwy użytkownika” i „hasła”.

Korzyści z uwierzytelniania dwuskładnikowego

Zorganizowane gangi, a nawet samotni przestępcy, opracowali strategie nakłaniania inteligentnych ludzi do podejmowania uderzająco złych decyzji, takich jak udzielanie bezpiecznego dostępu nieznajomym lub udostępnianie haseł.

2FA przez SMS sprawia, że ​​proces jest wystarczająco trudny dla przestępców, że większość z nas jest zbyt nieciekawa, aby zwrócić na siebie uwagę.

Eliminowanie kroku

IoT , czyli Internet Rzeczy, był wielkim dobrodziejstwem dla ludzkości (a w niektórych przypadkach także zmorą). Oznacza to, że obecnie w użyciu jest 5 miliardów smartfonów oraz niezliczona ilość innych urządzeń, które mogą odbierać wiadomości SMS.

Według aktualnych szacunków 21/2 miliarda Ziemian nosi co najmniej jeden smartfon (oprócz wszystkich innych naszych urządzeń).

Jest z nami prawie przez cały czas, w zasięgu ręki i staliśmy się na nim całkowicie uzależnieni.

Usługi 2FA nie muszą wydawać dyskretnych narzędzi identyfikacyjnych; nie muszą też przechowywać niepotrzebnych informacji o osobach.

Nadal możemy mieć nazwy i hasła, ale teraz, po zidentyfikowaniu się w ten sposób, usługa może użyć uwierzytelniania SMS, aby wysłać nam wiadomość tekstową z tymczasowym kodem PIN, który wygasa za minutę lub dwie.

Teraz już coś wiesz (imię i hasło) i masz coś (swój telefon), więc możesz kontynuować. Co może być prostsze?

Boi się, klienci będą go używać

Niektóre firmy sądzą, że klienci zbuntują się i przeniosą swoją działalność gdzie indziej. Jako dowód często wskazują, że tylko 10% użytkowników Gmaila włącza funkcję 2FA – a dokładniej 90% nie .

Chociaż korzystanie z 2FA jest niewątpliwie dobrym pomysłem, musisz zdawać sobie sprawę z paradygmatu, który tutaj działa. Ludzie często korzystają z usług poczty e-mail firmy ochroniarskiej lub prywatnego dostawcy usług internetowych w celu uzyskania „ważnej” poczty, a Gmaila do pochłaniania spamu i zapewniania komunikacji z niezaufanymi witrynami internetowymi.

Ci, którzy używają go do „wszystkiego”, mają tendencję do większej ostrożności; dla reszty nie jest to warte dodatkowego wysiłku.

Klienci wymagają teraz 2FA dla transakcji finansowych

Z drugiej strony, jeśli chodzi o przemieszczanie pieniędzy , klienci są bardziej ostrożni i korzystają z dodatkowych środków bezpieczeństwa.

Jeśli nie oferujesz usług uwierzytelniania SMS, zostaną one przeniesione do innego dostawcy. Popularne strony internetowe, takie jak Amazon, LinkedIn, PayPal i DropBox, wymagają 2FA do transakcji finansowych z nieznanych urządzeń lub do wymiany danych osobowych.

Dla wygody często znajdziesz małe pola wyboru z napisem „Zaufaj temu urządzeniu”, co oznacza, że ​​przyszłe transakcje za pośrednictwem tego urządzenia są automatycznie zaufane.

Jeśli pożyczysz tablet znajomego, aby zalogować się na swoje konto bankowe, będziesz musiał uzyskać jednorazowy i ograniczony czasowo kod uwierzytelniający, ale na zarejestrowanym urządzeniu będzie to tylko kwestia użycia zwykłego hasła i nazwy.

Niektóre witryny wymagają jednorazowej certyfikacji urządzenia; inne co miesiąc lub co rok. Witryny o wysokim poziomie bezpieczeństwa wymagają 2FA przy każdym logowaniu.

Wyzwania uwierzytelniania dwuskładnikowego

2FA nie jest panaceum, ponieważ doświadczeni hakerzy mogą przechwytywać SMS-y i natychmiastowo przekierowywać połączenia – wszystko po to, aby wysłać otrzymany kod gdzie indziej.

Jednak „nie panikuj!”, jak kiedyś radził nam Douglas Noel Adams. Stworzenie tych możliwości wykorzystania wymaga ogromnej ilości pracy i zwykle ogranicza się do nieuczciwych pracowników dostawcy usług GSM.

Kiedy można uzyskać znaczne korzyści, oszuści są skłonni do większego wysiłku.

Ci, którzy przenoszą dziesiątki tysięcy lub miliony (lub w przypadku celebrytów, wszystkie ich nagie zdjęcia) muszą podjąć dodatkowe środki ostrożności, ale to nie dotyczy większości populacji.

Niektóre systemy są z natury słabe lub strzeżone przez przedstawicieli obsługi klienta, którzy zbytnio chcą zresetować hasła. Prawdopodobnie najlepiej będzie trzymać się renomowanych firm korzystających z usług marki.

Oczywiście 2FA może być problematyczne dla osób, które czują się zobowiązane do zakupu nowego smartfona co roku. Muszą zaktualizować wszystkie swoje konta, identyfikując nowe urządzenie (dodając nowe i usuwając stare uprawnienia), zanim będą mogli bezproblemowo uzyskać do nich dostęp. Taki jest koszt posiadania zawsze najnowszej technologii…

Więcej narzędzi do 2FA

Możesz pomyśleć, że są lepsze narzędzia. Istnieją narzędzia aplikacji, takie jak Google Authenticator (zobacz działający przykład testowy tutaj), które są odporne na „przechwycenie SMS-ów” lub, jeśli jesteś fanem Apple, powiadomienia PUSH, które również nie korzystają z systemu SMS.

Możesz użyć czegoś takiego, jeśli ci się to podoba. W środowiskach o wysokim poziomie bezpieczeństwa istnieją jeszcze silniejsze narzędzia, które w razie potrzeby są często używane.

Być może słyszałeś na przykład o podobnym do USB breloczku, który na żądanie generuje losowe hasło. Jest to przydatne dla organizacji, ale znacznie mniej w kontaktach z tysiącami członków ogółu społeczeństwa.

Na wynos

Wszystko to są świetne systemy i przezwyciężają wszelkie dostrzeżone słabości 2FA opartego na SMS-ach. Prawda jest jednak taka, że ​​wspomniane słabości są drobne i niekoniecznie wewnętrzne. Wina prawie zawsze leży po stronie implementacji protokołów przez poszczególne firmy telekomunikacyjne.

Wady te z czasem staną się akademickie, gdy będziemy dążyć do wyeliminowania luk w wykorzystywanych protokołach, takich jak SS7 (używane do włączania roamingu w różnych sieciach telefonicznych).

SMS to doskonała opcja, ponieważ ludzie już go bardzo dobrze rozumieją, jest wszechobecny i komplikuje życie hakerom.

Chroń siebie i swoich klientów, tak jak zrobiliśmy to w przypadku Cloud Data Service, agencji zajmującej się tworzeniem stron internetowych i oprogramowania, która polega na bezpieczeństwie SMS 2FA, aby zapewnić prywatność informacji swoich klientów.

Jeśli potrzebujesz niezawodnego i bezpiecznego kanału komunikacji dla swoich klientów, połącz się z jednym z naszych ekspertów TextMagic za pośrednictwem naszego formularza kontaktowego online lub zarejestruj się na bezpłatną wersję próbną, aby przekonać się, jak to działa!