Texte și autentificare cu doi factori: ceea ce ar trebui să știe fiecare companie

Pe măsură ce infractorii devin mai sârguincioși în eforturile lor de a pătrunde în apărarea utilizatorilor, întreprinderile trebuie să devină mai active în menținerea integrității datelor lor.

Clienții, mai obișnuiți să trimită un e-mail ca și cum ar fi trimis prin poștă, ar putea reacționa inconfortabil la orice pași suplimentari necesari. Din fericire, clienții sunt din ce în ce mai bine informați și procesul devine din ce în ce mai ușor.

Obiectivul este de a face identificarea cu doi factori cât mai ușoară posibil pentru utilizatorii finali, asigurându-se, în același timp, că este dificil pentru răufăcători să o ocolească.

Sună formidabil? Relaxa! Autentificarea cu doi factori ( 2FA ) a evoluat pentru a combate acești escroci inteligenți.

Cum functioneazã?

2FA adaugă un strat suplimentar protocoalelor de autentificare. Poate veni în multe forme. Uneori este biometric, necesitând ca o voce, amprentă, scanarea retinei sau un alt element unic să facă parte din amestec.

Acestea necesită o păstrare extinsă a evidențelor și stocare PII (informații de identificare personală), care pot crește semnificativ cheltuielile generale și pot cauza probleme de securitate suplimentare în cazul în care stocarea ar fi vreodată compromisă.

Cu toate acestea, deși astfel de tehnici sunt posibile, ele nu sunt practice în majoritatea cazurilor. În schimb, instituții precum băncile emit cărți de identitate unice pentru (de exemplu) să opereze un bancomat (ATM). Astfel de carduri sunt inutile fără PIN-ul (numărul personal de identificare).

Această securitate se bazează pe a avea un anumit articol și pe combinarea acestuia cu o anumită cunoștințe. Cardurile bancare pot fi pierdute atunci când un portofel este furat sau deplasat greșit, dar cardurile în sine sunt inutile fără codul PIN.

Autentificarea cu doi factori sporește paradigma tradițională „nume de utilizator” și „parolă”.

Beneficiile autentificării cu doi factori

Bandele organizate, sau chiar criminalii solitar, au găsit strategii pentru a păcăli oamenii inteligenți să ia decizii izbitor de proaste, cum ar fi acordarea accesului securizat străinilor sau partajarea parolelor.

2FA prin SMS face procesul suficient de dificil pentru criminali, încât, în general, majoritatea dintre noi suntem prea neinteresanți pentru a atrage atenția.

Eliminarea unui pas

IoT , sau Internetul lucrurilor, a fost o mare binefacere pentru umanitate (precum și un dezastru, în unele cazuri). Înseamnă că în prezent sunt în uz 5 miliarde de smartphone-uri plus nenumărate alte dispozitive care pot primi mesaje SMS.

Conform estimărilor actuale, 21/2 miliarde de pământeni poartă cel puțin un smartphone (în afară de toate celelalte dispozitive ale noastre).

Este cu noi aproape tot timpul, la îndemână, și am devenit destul de dependenți de el.

Serviciile 2FA nu trebuie să emită instrumente de identificare discrete; nici nu trebuie să stocheze informații inutile despre indivizi.

Putem avea în continuare nume și parole, dar acum, identificându-ne astfel, serviciul poate folosi autentificarea prin SMS pentru a ne trimite un mesaj text cu un PIN temporar care expiră în doar un minut sau două.

Acum știi ceva (nume și parolă) și ai ceva (telefonul tău), așa că poți continua. Ce ar putea fi mai ușor?

Fără frici, clienții îl vor folosi

Unele companii cred că clienții se vor răzvrăti și își vor duce afacerea în altă parte. Ca dovadă, ei indică adesea faptul că doar 10% dintre utilizatorii Gmail activează 2FA sau, mai ales, 90% nu .

Deși folosirea 2FA este, fără îndoială, o idee bună, trebuie să fii conștient de paradigma care funcționează aici. Oamenii folosesc adesea o companie de securitate sau un serviciu de e-mail privat ISP pentru e-mailurile lor „importante”, iar Gmail pentru a absorbi SPAM-ul și pentru a comunica cu site-uri web care nu au încredere.

Cei care îl folosesc pentru „totul” tind să aibă mai multă grijă; pentru restul, nu merită efortul suplimentar.

Clienții cer acum 2FA pentru tranzacțiile financiare

Pe de altă parte, când vine vorba de mutarea banilor , clienții tind să fie mult mai specifici și să profite de măsurile de securitate suplimentare.

Dacă nu oferiți servicii de autentificare prin SMS, acestea se vor muta la alt furnizor. Site-urile web populare precum Amazon, LinkedIn, PayPal și DropBox necesită 2FA pentru tranzacțiile financiare de pe dispozitive necunoscute sau pentru schimbul de informații personale.

Pentru comoditate, veți găsi frecvent casete de selectare mici care spun „Ai încredere în acest dispozitiv”, ceea ce înseamnă că tranzacțiile viitoare prin acel dispozitiv sunt automat de încredere.

Dacă împrumutați tableta unui prieten pentru a vă conecta la contul dvs. bancar, vi se va cere să obțineți un cod de autentificare unic și limitat în timp, dar pe dispozitivul dvs. înregistrat, va fi doar o chestiune de a folosi parola și numele dvs. obișnuite.

Unele site-uri necesită să certificați un dispozitiv o singură dată; altele lunar sau anual. Site-urile de înaltă securitate necesită 2FA la fiecare conectare.

Provocări ale autentificării cu doi factori

2FA nu este un panaceu, deoarece hackerii experți pot face interceptarea SMS-urilor și redirecționarea instantanee a apelurilor - toate acestea pentru a trimite codul rezultat în altă parte.

Cu toate acestea, „Nu intrați în panică!”, așa cum ne-a sfătuit odată Douglas Noel Adams. Este nevoie de o cantitate masivă de muncă și, de obicei, este limitată la angajații necinstiți din cadrul unui furnizor de servicii GSM, pentru a crea aceste oportunități de exploatare.

Când există un câștig semnificativ, escrocii sunt dispuși să depună mai mult efort.

Cei care transferă zeci de mii sau milioane (sau în cazul vedetelor, toate fotografiile lor nud) trebuie să ia măsuri de precauție suplimentare, dar asta nu o privește pe majoritatea populației.

Unele sisteme sunt intrinsec slabe sau păzite de reprezentanții serviciului pentru clienți care sunt mult prea nerăbdători să resetați parolele. Cel mai bine este să rămâneți cu companii de renume folosind un serviciu de marcă.

Desigur, 2FA poate fi problematic pentru persoanele care se simt obligate să obțină un nou smartphone în fiecare an. Trebuie să-și actualizeze toate conturile, identificând noul dispozitiv (adăugând noi și ștergând permisiunile vechi), înainte de a le putea accesa fără probleme. Acesta este costul de a avea întotdeauna cea mai recentă tehnologie...

Mai multe instrumente pentru 2FA

Ai putea crede că există instrumente mai bune de avut. Există instrumente de aplicație, cum ar fi Google Authenticator (vezi un exemplu de testare de lucru aici), care sunt dovezi împotriva „interceptării SMS-urilor” sau, dacă ești fan Apple, notificări PUSH care nu folosesc nici sistemul SMS.

Puteți folosi așa ceva dacă vă atrage. În mediile de înaltă securitate, există instrumente și mai puternice și sunt utilizate frecvent atunci când este necesar.

Este posibil să fi auzit despre un dispozitiv cu chei de tip USB care generează o parolă aleatorie la cerere, de exemplu. Acest lucru este util pentru o organizație, dar considerabil mai puțin pentru a face față a mii de membri ai publicului larg.

The Takeaway

Toate acestea sunt sisteme grozave și depășesc orice puncte slabe percepute ale 2FA bazate pe SMS. Adevărul este însă că slăbiciunile menționate sunt minore și nu neapărat intrinseci. Vina o are aproape întotdeauna implementarea protocoalelor de către companiile de comunicații individuale.

Aceste defecte vor deveni academice în timp, pe măsură ce ne îndreptăm către eliminarea vulnerabilităților din protocoalele exploatate precum SS7 (folosit pentru a activa roamingul pe diferite rețele telefonice).

SMS-ul este o opțiune excelentă pentru că deja oamenii îl înțeleg foarte bine, este omniprezent și complică viața hackerilor.

Protejați-vă pe dumneavoastră și pe clienții dumneavoastră, așa cum am făcut pentru Cloud Data Service, o agenție de dezvoltare web și software care se bazează pe securitatea SMS 2FA pentru a se asigura că informațiile clienților săi rămân private.

Dacă doriți un canal de comunicare sigur și de încredere pentru clienții dvs., conectați-vă cu unul dintre experții noștri TextMagic prin Formularul nostru de contact online sau înregistrați-vă pentru o probă gratuită, astfel încât să puteți vedea cum funcționează pentru dvs.!