phhsnews.com


phhsnews.com / Pourquoi vous ne devriez pas utiliser le SMS pour l'authentification à deux facteurs (et ce qu'il faut utiliser)

Pourquoi vous ne devriez pas utiliser le SMS pour l'authentification à deux facteurs (et ce qu'il faut utiliser)


Les experts en sécurité recommandent d'utiliser l'authentification à deux facteurs pour sécuriser vos comptes en ligne. De nombreux services par défaut à la vérification par SMS, envoyer des codes par SMS sur votre téléphone lorsque vous essayez de vous connecter. Mais les messages SMS ont beaucoup de problèmes de sécurité, et sont l'option la moins sécurisée pour l'authentification à deux facteurs. : SMS est toujours mieux que pas d'authentification à deux facteurs

LIÉS:

Qu'est-ce que l'authentification à deux facteurs, et pourquoi en ai-je besoin? Alors que nous allons présenter le cas contre SMS ici, il est important de préciser une chose: utiliser le SMS est préférable à ne pas utiliser l'authentification à deux facteurs.

Lorsque vous n'utilisez pas l'authentification à deux facteurs, quelqu'un n'a besoin que de votre mot de passe pour vous connecter à votre compte. . Lorsque vous utilisez l'authentification à deux facteurs avec SMS, quelqu'un doit à la fois acquérir votre mot de passe et accéder à vos messages texte pour accéder à votre compte. SMS est beaucoup plus sûr que rien du tout.

Si SMS est votre seule option, veuillez utiliser SMS. Cependant, si vous voulez savoir pourquoi les experts en sécurité recommandent d'éviter les SMS et ce que nous vous recommandons, lisez la suite.

Les échanges SIM permettent aux attaquants de voler votre numéro de téléphone

Voici comment cela fonctionne: Dans, le service envoie un message texte au numéro de téléphone portable que vous leur avez précédemment fourni. Vous obtenez ce code sur votre téléphone et entrez-le pour vous connecter. Ce code n'est bon que pour un usage unique.

Cela semble raisonnable. Après tout, vous seul avez votre numéro de téléphone et quelqu'un doit avoir votre téléphone pour voir le code, n'est-ce pas? Malheureusement, non.

Si quelqu'un connaît votre numéro de téléphone et peut accéder aux informations personnelles comme les quatre derniers chiffres de votre numéro de sécurité sociale, malheureusement, cela sera facile à trouver grâce aux nombreuses entreprises et agences gouvernementales qui ont fui le client données-ils peuvent contacter votre compagnie de téléphone et déplacer votre numéro de téléphone vers un nouveau téléphone. C'est ce que l'on appelle un «échange de carte SIM». Il s'agit du même processus que vous effectuez lorsque vous achetez un nouvel appareil et que vous y déplacez votre numéro de téléphone. La personne dit qu'ils sont vous, fournit les données personnelles, et votre compagnie de téléphone cellulaire met en place son téléphone avec votre numéro de téléphone. Ils recevront les codes de message SMS envoyés à votre numéro de téléphone sur leur téléphone.

Nous avons vu des rapports de ce genre au Royaume-Uni, où des agresseurs ont volé le numéro de téléphone d'une victime et l'ont utilisé pour accéder au compte bancaire de la victime. . L'État de New York a également mis en garde contre cette arnaque.

À la base, il s'agit d'une attaque d'ingénierie sociale qui consiste à tromper votre compagnie de téléphone cellulaire. Mais votre compagnie de téléphonie mobile ne devrait pas être en mesure de fournir à quelqu'un l'accès à vos codes de sécurité en premier lieu!

Les messages SMS peuvent être interceptés de plusieurs façons

Il est également possible d'espionner les messages SMS. Les dissidents politiques et les journalistes dans les pays répressifs voudront être prudents, car le gouvernement pourrait détourner les messages SMS lorsqu'ils sont envoyés via le réseau téléphonique. Cela s'est déjà produit en Iran, où des pirates iraniens auraient piraté un certain nombre de comptes de messagerie Telegram en intercepter les messages SMS donnant accès à ces comptes.

Les attaquants ont également abusé de SS7, le système de connexion utilisé pour intercepter SMS sur le réseau et acheminez-les ailleurs. Il existe de nombreuses autres façons d'intercepter les messages, notamment en utilisant de fausses antennes de téléphonie cellulaire. En d'autres termes, un attaquant sophistiqué avec un peu d'informations personnelles pourrait pirater votre numéro de téléphone pour accéder à vos comptes en ligne, puis les utiliser. comptes pour tenter d'épuiser vos comptes bancaires, par exemple. C'est pourquoi l'Institut national des normes et de la technologie ne recommande plus l'utilisation de messages SMS pour l'authentification à deux facteurs.

L'alternative: Générer des codes sur votre appareil

CONNEXE:

Comment configurer Authy pour l'authentification à deux facteurs (et synchroniser vos codes entre les dispositifs)

Un système d'authentification à deux facteurs qui ne repose pas sur les SMS est supérieur, car la compagnie de téléphone cellulaire ne pourra pas donner accès à vos codes à quelqu'un d'autre. L'option la plus populaire pour cela est une application comme Google Authenticator. Cependant, nous recommandons Authy, car elle fait tout ce que Google Authenticator fait et plus encore. Les applications comme celle-ci génèrent des codes sur votre appareil. Même si un attaquant a trompé votre compagnie de téléphone portable en déplaçant votre numéro de téléphone sur leur téléphone, ils ne pourraient pas obtenir vos codes de sécurité. Les données nécessaires pour générer ces codes resteront en sécurité sur votre téléphone

CONNEXES:

Comment configurer la nouvelle authentification à deux facteurs sans code de Google

Vous n'avez pas non plus besoin d'utiliser des codes. Des services tels que Twitter, Google et Microsoft testent une authentification à deux facteurs basée sur l'application qui vous permet de vous connecter sur un autre appareil en autorisant la connexion dans leur application sur votre téléphone. Vous pouvez également utiliser des jetons physiques . De grandes entreprises comme Google et Dropbox ont déjà mis en place une nouvelle norme pour les jetons d'authentification à deux facteurs matériels, appelée U2F. Ceux-ci sont tous plus sûrs que de compter sur votre compagnie de téléphone cellulaire et sur le réseau téléphonique désuet.

Si possible, évitez les SMS pour l'authentification à deux facteurs. C'est mieux que rien et cela semble pratique, mais c'est généralement le système d'authentification à deux facteurs le moins sûr que vous pouvez choisir.

Malheureusement, certains services vous forcent à utiliser le SMS. Si cela vous inquiète, vous pouvez créer un numéro de téléphone Google Voice et l'attribuer aux services nécessitant une authentification par SMS. Vous pouvez ensuite vous connecter à votre compte Google, que vous pouvez protéger avec une méthode d'authentification à deux facteurs plus sécurisée, et consulter les messages sécurisés dans le site Web ou l'application Google Voice. Ne transférez simplement pas les messages de Google Voice vers votre numéro de téléphone portable réel.


Comment ajouter des favicons à Safari sur macOS

Comment ajouter des favicons à Safari sur macOS

Nous avons été clairs: les utilisateurs de Mac devraient abandonner Chrome pour Safari. Il offre une meilleure autonomie de la batterie, de meilleures performances, et les filtres de contenu sont bien meilleurs que les bloqueurs de publicité. CONNEXION: Les utilisateurs Mac devraient fuir Google Chrome pour Safari Safari est meilleur que Chrome : Safari n'a pas de favicons.

(how-top)

Comment définir votre distribution Linux par défaut sous Windows 10

Comment définir votre distribution Linux par défaut sous Windows 10

Windows 10 vous permet désormais d'installer plusieurs environnements Linux, en commençant par la mise à jour des créateurs de Fall. Si vous avez plusieurs environnements Linux, vous pouvez définir votre configuration par défaut et passer de l'une à l'autre RELATED: Comment installer et utiliser Linux Bash Shell sous Windows 10 Vous pouvez exécuter plusieurs environnements Linux sur une fois, mais votre environnement par défaut est utilisé lorsque vous lancez une commande comme wsl.

(how-top)