2段階のテキスト認証は、アカウントを安全に保つのに十分ではありません


先週、Instagram確認されたレポートアカウントセキュリティのセットアップを変更して、テキストベースのコードの代わりに、Google Authenticatorなどのセキュリティアプリからのパスコードでユーザーがログインできるようにしています。これは最もセクシーなニュースではありませんが、この練習が人気が高まっているのを見るのは素晴らしいことです。テキストメッセージではなく、他のアプリやサービスに認証するトークンベースのアプリを使用することです。

可能な限りこれを行う必要があります(そして、他の選択肢がない場合は、少しでも2段階の認証と何も使用しないでください)。ハッカーが携帯電話会社を呼び出し、疑いを持たないカスタマーサービスエージェントを見つけ、彼らがあなたであるふりをするのがどれほど簡単かを示している多くのレポートがあります。ビットコイン交換Kraken(ユーモラスに)2016年のブログ投稿でプロセスについて説明しました。

どういうわけか、大衆は、電話番号がアイデンティティに密接に結びついているため、適切な認証ツールを作成すると信じるように導かれました。 KrakenがSMSベースの認証をサポートしたことがない理由があります。痛みを伴う現実は、Telcoがサードレートのコートチェックのセキュリティレベルで動作することです。これが相互作用の例です。

ハッカー:

ジャケットはありますか?

Telco:

確かに、私はあなたのチケットを持っていますか?

ハッカー:

私はそれを失いました。

Telco:

番号を覚えていますか?

ハッカー:

いいえ、しかしそれはそこにあるものです。

Telco:

かっこいい。ここに行きます。調査で10/10を評価してください ^_ ^

そして、携帯電話のキャリア(とFTC)このハックの有病率について知っている - 多くの場合「Sim Hijacking」または「Sim Porting」と呼ばれる - このマザーボードの記事一部のキャリアは、この攻撃のラインを阻止するための基本的な対策を提供し始めていることに注意してください。

そして、あなたが実際にあなたのアカウントに特別なピンコードを追加するようなことを実際に行った場合、あなたは「より安全」なのです。マザーボードが指摘しているように、ハッカーによって盗まれた数字をハッカーによって盗まれたことが、ハッカーによってあなたの番号を盗まれたことを知っていたなら、

「Sim Swapを使用していたハッカーの1人は、テレコムプロバイダーが何年もこの攻撃方法について知っていたにもかかわらず、「常に」起こると私に言った。 T-Mobileによると、何百人もの人々がこの詐欺に見舞われています。過去数ヶ月で、マザーボードは、盗まれた数字を得た30人以上の犠牲者と話をしました。 Instagramのハンドルに加えて、SIMハイジャックの犠牲者の1人は、結果としてハッキングされたAmazon、eBay、PayPal、Netflix、Huluアカウントを手に入れました。」

サイトやサービスにテキストメッセージを送信するのをやめてください2段階認証コード

ログインする必要があるときはいつでもテキストメッセージを送信するサイトがいくつかあります。ログインする必要があるときはいつでもテキストメッセージを送信します。それは、テキストベースの2段階認証ではなく、アプリベースの2要素認証を提供するサイトとサービスがどのサイトとサービスを提供するかについて、私は本当に最新の状態に保つことはありません。

お気に入りのサイトまたはサービスがこの種の「トークンベースの」2要素認証をサポートするかどうかわからない場合は、2つのオプションがあります。まず、テキストメッセージをスクロールして、企業がログインコードをメッセージしたときに見つけてから、サイトの設定をスキャンして、お気に入りのアプリでソフトウェアトークンをセットアップできるかどうかを確認できます。

また、2要素認証アプリを始めたばかりで、何を使用するかわからない場合は、トークンベースの2要素認証をサポートするサイトには、通常使用すべきアプリの推奨事項があります。それ以外の場合は、ここにいくつかの人気のあるオプションがあります。

お気に入りのサービスは、Facebookのように、ソートの認証者として独自のモバイルアプリを使用することさえありますコードジェネレーター、 例えば。有効になっている場合、新しいWebブラウザでFacebookにログインする場合は、Facebookモバイルアプリからコードを入力するように求められます。 (ただし、必要に応じて、Google AuthenticatorのようなものでFacebookの2要素認証をいつでも設定できます。)

ログインコードを通過するテキストメッセージがない場合は、おそらくサイトまたはサービスにログインしたら削除するため、これまでにない人をチェックアウトすることもできます。2つの要因認証Webサイト。任意のカテゴリをクリックすると、アプリとサービスの包括的なリスト、およびそれらがサポートする2要素認証セットアップが表示されます。

どのようにしても、ブラウザの履歴を手動で行って、どのサイトが最も頻繁に発生するかを確認する必要がある場合でも、アクセスするすべてのサイトをトークンベースの2要素認証に切り替える必要があります。そうすれば、ハッカーがあなたの電話番号を手に入れた場合、彼らはあなたのデジタルライフの残りの部分に侵入することができません。

(2018年8月4日)ねえみんな!記事著者はこちら。見出しをわずかに変更して、テキストベースのセキュリティログインに優先される命名法を示します。ステップ認証。テキストメッセージを受信したり、Authenticatiorアプリでログインコードを見たりするかどうかにかかわらず、多くの人がまだ2要素認証をすべて呼び出しますが、私は望んでいません誰かを混乱させるために