Pourquoi vous ne devriez pas utiliser le SMS pour l'authentification à deux facteurs (et ce qu'il faut utiliser)
Les experts en sécurité recommandent d'utiliser l'authentification à deux facteurs pour sécuriser vos comptes en ligne. De nombreux services par défaut à la vérification par SMS, envoyer des codes par SMS sur votre téléphone lorsque vous essayez de vous connecter. Mais les messages SMS ont beaucoup de problèmes de sécurité, et sont l'option la moins sécurisée pour l'authentification à deux facteurs. : SMS est toujours mieux que pas d'authentification à deux facteurs
LIÉS:
Qu'est-ce que l'authentification à deux facteurs, et pourquoi en ai-je besoin? Alors que nous allons présenter le cas contre SMS ici, il est important de préciser une chose: utiliser le SMS est préférable à ne pas utiliser l'authentification à deux facteurs.
Lorsque vous n'utilisez pas l'authentification à deux facteurs, quelqu'un n'a besoin que de votre mot de passe pour vous connecter à votre compte. . Lorsque vous utilisez l'authentification à deux facteurs avec SMS, quelqu'un doit à la fois acquérir votre mot de passe et accéder à vos messages texte pour accéder à votre compte. SMS est beaucoup plus sûr que rien du tout.
Si SMS est votre seule option, veuillez utiliser SMS. Cependant, si vous voulez savoir pourquoi les experts en sécurité recommandent d'éviter les SMS et ce que nous vous recommandons, lisez la suite.
Les échanges SIM permettent aux attaquants de voler votre numéro de téléphone
Voici comment cela fonctionne: Dans, le service envoie un message texte au numéro de téléphone portable que vous leur avez précédemment fourni. Vous obtenez ce code sur votre téléphone et entrez-le pour vous connecter. Ce code n'est bon que pour un usage unique.
Cela semble raisonnable. Après tout, vous seul avez votre numéro de téléphone et quelqu'un doit avoir votre téléphone pour voir le code, n'est-ce pas? Malheureusement, non.
Si quelqu'un connaît votre numéro de téléphone et peut accéder aux informations personnelles comme les quatre derniers chiffres de votre numéro de sécurité sociale, malheureusement, cela sera facile à trouver grâce aux nombreuses entreprises et agences gouvernementales qui ont fui le client données-ils peuvent contacter votre compagnie de téléphone et déplacer votre numéro de téléphone vers un nouveau téléphone. C'est ce que l'on appelle un «échange de carte SIM». Il s'agit du même processus que vous effectuez lorsque vous achetez un nouvel appareil et que vous y déplacez votre numéro de téléphone. La personne dit qu'ils sont vous, fournit les données personnelles, et votre compagnie de téléphone cellulaire met en place son téléphone avec votre numéro de téléphone. Ils recevront les codes de message SMS envoyés à votre numéro de téléphone sur leur téléphone.
Nous avons vu des rapports de ce genre au Royaume-Uni, où des agresseurs ont volé le numéro de téléphone d'une victime et l'ont utilisé pour accéder au compte bancaire de la victime. . L'État de New York a également mis en garde contre cette arnaque.
À la base, il s'agit d'une attaque d'ingénierie sociale qui consiste à tromper votre compagnie de téléphone cellulaire. Mais votre compagnie de téléphonie mobile ne devrait pas être en mesure de fournir à quelqu'un l'accès à vos codes de sécurité en premier lieu!
Les messages SMS peuvent être interceptés de plusieurs façons
Il est également possible d'espionner les messages SMS. Les dissidents politiques et les journalistes dans les pays répressifs voudront être prudents, car le gouvernement pourrait détourner les messages SMS lorsqu'ils sont envoyés via le réseau téléphonique. Cela s'est déjà produit en Iran, où des pirates iraniens auraient piraté un certain nombre de comptes de messagerie Telegram en intercepter les messages SMS donnant accès à ces comptes.
Les attaquants ont également abusé de SS7, le système de connexion utilisé pour intercepter SMS sur le réseau et acheminez-les ailleurs. Il existe de nombreuses autres façons d'intercepter les messages, notamment en utilisant de fausses antennes de téléphonie cellulaire. En d'autres termes, un attaquant sophistiqué avec un peu d'informations personnelles pourrait pirater votre numéro de téléphone pour accéder à vos comptes en ligne, puis les utiliser. comptes pour tenter d'épuiser vos comptes bancaires, par exemple. C'est pourquoi l'Institut national des normes et de la technologie ne recommande plus l'utilisation de messages SMS pour l'authentification à deux facteurs.
L'alternative: Générer des codes sur votre appareil
CONNEXE:
Comment configurer Authy pour l'authentification à deux facteurs (et synchroniser vos codes entre les dispositifs)
Un système d'authentification à deux facteurs qui ne repose pas sur les SMS est supérieur, car la compagnie de téléphone cellulaire ne pourra pas donner accès à vos codes à quelqu'un d'autre. L'option la plus populaire pour cela est une application comme Google Authenticator. Cependant, nous recommandons Authy, car elle fait tout ce que Google Authenticator fait et plus encore. Les applications comme celle-ci génèrent des codes sur votre appareil. Même si un attaquant a trompé votre compagnie de téléphone portable en déplaçant votre numéro de téléphone sur leur téléphone, ils ne pourraient pas obtenir vos codes de sécurité. Les données nécessaires pour générer ces codes resteront en sécurité sur votre téléphone
CONNEXES:
Comment configurer la nouvelle authentification à deux facteurs sans code de Google
Vous n'avez pas non plus besoin d'utiliser des codes. Des services tels que Twitter, Google et Microsoft testent une authentification à deux facteurs basée sur l'application qui vous permet de vous connecter sur un autre appareil en autorisant la connexion dans leur application sur votre téléphone. Vous pouvez également utiliser des jetons physiques . De grandes entreprises comme Google et Dropbox ont déjà mis en place une nouvelle norme pour les jetons d'authentification à deux facteurs matériels, appelée U2F. Ceux-ci sont tous plus sûrs que de compter sur votre compagnie de téléphone cellulaire et sur le réseau téléphonique désuet.
Si possible, évitez les SMS pour l'authentification à deux facteurs. C'est mieux que rien et cela semble pratique, mais c'est généralement le système d'authentification à deux facteurs le moins sûr que vous pouvez choisir.
Malheureusement, certains services vous forcent à utiliser le SMS. Si cela vous inquiète, vous pouvez créer un numéro de téléphone Google Voice et l'attribuer aux services nécessitant une authentification par SMS. Vous pouvez ensuite vous connecter à votre compte Google, que vous pouvez protéger avec une méthode d'authentification à deux facteurs plus sécurisée, et consulter les messages sécurisés dans le site Web ou l'application Google Voice. Ne transférez simplement pas les messages de Google Voice vers votre numéro de téléphone portable réel.
Comment faire pour que le Finder de macOS suce Moins
Oh, le Finder. Il a été le navigateur de fichiers par défaut d'Apple sur Mac car il s'appelait Macintosh, et les utilisateurs s'en sont plaints depuis. Nous ne pouvons pas réparer le Finder pour vous: personne ne peut, mais Apple. Nous parions que cela n'arrivera pas de si tôt. Cela dit, nous pouvons vous indiquer quelques moyens de faire en sorte que Finder aspire moins, ce qui est honnêtement tout ce que vous pouvez demander.
Il est si facile de trouver des choses intéressantes à lire en ligne, mais il est difficile de les lire . Heureusement, il est facile d'envoyer tous ces bons articles à votre Kindle afin que vous puissiez les lire à un moment opportun. Il existe de nombreux outils qui offrent une sorte de fonctionnalité d'envoi vers Kindle, mais ils ne sont pas tous égaux .
