SMS 기반 2 단계 인증을 사용하도록 강요하는 서비스 사용을 중단해야하는 이유

[아름이]

SMS 기반 2 단계 인증을 사용하도록 강요하는 서비스 사용을 중단해야하는 이유
이중 인증에 SMS를 사용하면 잘못된 보안 감각 외에는 아무것도 제공하지 않습니다.

보유한 모든 온라인 계정에 이중 인증 을 사용해야합니다 . 모든 사람이 자신의 온라인 계정에 숨겨진 가치있는 무언가를 가지고 있기 때문에 귀하가 얼마나 부자인지 또는 얼마나 유명했는지는 중요하지 않습니다 (부자와 유명인은 자신의 신원을 보호하기 위해 더 많은 일 을 해야하지만 ). Google 및 Facebook과 같은 회사는 온라인 데이터가 매우 중요하기 때문에 모든 것을 무료로 제공합니다.

2 단계 인증 (2FA)을 사용하는 것은 쉬운 일이 아닙니다. 자신이 실제로 자신이라고 주장하는 사람임을 증명하려면 장벽이 있어야하기 때문입니다. 불행히도 많은 사람들은이 장벽이 너무 높거나 너무 불편하다고 생각하고 2FA를 모두 건너 뜁니다. 나는 비누 상자에 서서 그것이 얼마나 잘못되었는지 설명하지 않을 것입니다. 당신은 그것을 사용해야하는 이유를 알고 결정을 내 렸습니다.


그러나 사람들을 위해 할 2FA 온라인 계정을 보호하기 위해 선택하는 또 다른 문제가있다 : 많은 회사는 당신을 인증하기 위해 SMS를 사용하여 제공합니다. 즉, 새 전화 나 컴퓨터에서 처음으로 로그인을 시도하면 회사에서 등록한 번호로 문자 메시지를 받게됩니다. 간단 해 보이지만 2FA가 제공하는 잘못된 보안 감각으로 인해 2FA를 전혀 사용하지 않는 것보다 나쁘거나 나쁩니다.

이동 통신사 를 속여 새 SIM 카드를 제공 하여 전화 번호를 "훔치는"것은 정말 쉬운 일이 아닙니다. 다른 사람이해서는 안되는 일을하도록 설득하는 것과 관련되기 때문입니다. 그러나 우리 모두는 그런 일이 발생한다는 것을 알고 있습니다. SMS를 가로채는 방법 이 오랫동안 사용되어 왔음 에도 불구하고 SMS를 가로채는 것도 쉽지 않습니다 . 그러나 SMS 메시지를 한 번호에서 다른 번호로 다시 라우팅하기 위해 회사에 비용을 지불하는 것은 간단 하고 저렴 합니다.

기업은 SMS 메시지를 전달해야하지만 약간의 감독이 필요합니다.

헬프 데스크에서 비즈니스 유선 전화 또는 가상 번호를 사용하여 문자 메시지를 보내 지원을 제공하는 것과 같이 SMS 메시지를 다시 라우팅해야하는 합법적 인 요구가 있습니다. 문제는 그러한 서비스를 제공하는 회사가 실제로 리디렉션되는 번호를 소유하고 있음을 증명하도록하는 규정이 없다는 것입니다. 온라인 양식을 작성하고 몇 달러를 보내고 신청서에 거짓말을하면됩니다.

이것은 곧 해결해야 할 큰 문제입니다. 우리 중 많은 사람들이 평생 동안 동일한 전화 번호를 가지고 다닐 것입니다. 당신의 전화 번호는 당신의 정체성의 일부입니다. 기술이 어떻게 작동하는지 모르는 사람들이 만든 새로운 법률을 도입하지 않고이 문제를 해결하는 방법을 모르겠습니다. 여기에있는 두 옵션 모두 나쁘기 때문에 전문가가 알아 내도록하겠습니다.

이런 종류의 공격이 야기하는 안전 및 보안에 대한 엄청난 위협을 보는 것은 어렵지 않습니다. FCC는 권한을 사용하여 전화 회사가 해커로부터 네트워크를 보호하도록해야합니다. 파이 전 회장의 산업 자율 규제 접근 방식은 분명히 실패했습니다. — Ron Wyden 상원 의원

하지만 제가 할 수 있는 것은 2FA를위한 방법으로 SMS 만 제공하는 서비스의 사용을 중단해야한다는 것입니다. 


은행, 소매 업체 또는 온라인 비즈니스를 수행하는 방법을 제공하는 기타 서비스의 보안을 감독하는 전문가는 2FA 용 SMS 사용 이 얼마나 나쁜지 알고 있습니다. 유일한 옵션으로 제공하는 다른 평판이 좋은 비즈니스를 많이 찾을 수 있기 때문에 많은 경우에 차이가없는 것 같습니다. 2FA에 SMS를 사용하는 것이 쉽기 때문에 부분적으로 가정하고 실제로 안전한 방법을 사용하도록 시스템을 전환하는 데 비용이들 것입니다.

인증 앱은 SMS 코드를받는 것만 큼 사용하기 쉽습니다.

기본 보안 표준을 제공하는 올바른 서비스를 찾는 경우에도 많은 사람들이 그 전환을 만드는 것도 똑같이 어렵습니다. SMS 사용은 쉽고 문자 메시지를받을 수있는 모든 장치에서 작동합니다. 우리 모두는 그것이 어떻게 작동하는지 알고 있습니다. 텍스트로 코드를 받고 작은 상자에 코드를 입력 한 다음 제출을 누릅니다. 값싼 안드로이드 폰 이나 심지어 멍청한 폰에서도 작동합니다 .

많은 사람들이 Google Authenticator , Authy 또는 Microsoft Authenticator 와 같은 소프트웨어 기반 2FA 인증 앱과 같은 것을 사용하는 것이 매우 쉽다는 사실을 깨닫지 못합니다 . 코드를 기다리지 않고 앱을 열고 서비스를 선택하면 즉시 제공됩니다.

USB 또는 무선 보안 키를 사용하는 것과 같은 다른 방법 도 장치에서 작동하는 올바른 하드웨어를 찾으면 상당히 쉽지만 대부분의 사람들에게 소프트웨어 인증 앱을 사용하는 것이 올바른 선택입니다. 100 % "해킹 방지"도 아니지만 악용하기 쉬운 것은 아닙니다.

계정 보안에 관심이있는 서비스를 찾기 위해 서비스를 전환 할 가치가 있습니다.

하지만 2FA 코드를받는 방법을 전환하는 것은 쉬운 부분입니다. 은행에서 2FA에 SMS (또는 음성 통화) 만 사용하는 경우 어떻게해야합니까? 은행을 바꿔야합니까? 네 . 그리고 IT 부서의 누군가가 귀하가 전환하기 위해 올바른 결정을 내리고 있다는 것을 알고 있기 때문에 전환하는 이유를 설명하십시오.

좋은 소식은 이제 가장 인기있는 서비스와 서비스 제공 업체가 인증 앱을 사용할 수있는 옵션을 제공한다는 것입니다. Amazon, Twitter, Google, Apple, Microsoft 및 Facebook은 2FA를 설정할 때 인증 앱을 사용하거나 코드를받는 방식을 변경할 수 있도록 허용합니다. 그러나 사용해야하는 서비스가 아직 제공되지 않고 SMS 만 옵션으로 제공 될 가능성이 있습니다. 이러한 서비스를 버리고 계정 보안에 대해 적어도 조금이라도 신경 쓰는 회사에서 서비스를 찾을 때입니다.