Miért érdemes kerülni a szöveges üzenetekben küldött egyszeri jelszavak használatát?

A mobilfelhasználók számára az alkalmazásokba való bejelentkezés egyik legkényelmesebb módja – és az a módszer, amelyre sok cég támaszkodik a hozzáférés megadásakor – az egyszeri jelszó vagy OTP, amelyet gyakran szöveges üzenetben osztanak meg. Ám a kiberbiztonsági szakértők körében egyre nagyobb az egyetértés abban, hogy az egyszer használatos jelszavakat – a hagyományos jelszavakhoz hasonlóan – fokozatosan ki kell zárni, bár a szakértők szerint kétséges, hogy ez a közeljövőben megtörténik.

Arra kérik a fogyasztókat, hogy figyeljenek az egyszer használatos jelszavak különböző típusaira, és a relatív biztonsági kockázatokra az egyes jelszavak előnyeihez képest. Ant Allan, a Gartner Research alelnöke szerint a tapasztalatok azt mutatják, hogy mindig vannak módok a hitelesítés megkerülésére, de egyes módszerek erősebbek, mint mások. – Nincsenek bolondbiztos hitelesítési módszerek – mondta Alan.

Íme, amit a fogyasztóknak tudniuk kell az egyszeri jelszavakról (OTP) és az online biztonságról:

Az OTP-kártyák ki vannak téve az online csalásnak

Az SMS-ben vagy SMS-ben küldött egyszeri jelszavak (OTP) sokkal sebezhetőbbek a csalók különféle módszerekkel, például adathalász támadásokkal, hamisítással és csalárd biztonsággal szemben a Javelin Strategy & Researchnél – mondta Tracy C. Kitten, a csalásért és a kutatásért felelős igazgató. biztonságát a Javelin Strategy & Researchnél, és elfoghatja az üzeneteket, még akkor is, ha a telefonja a birtokában van.

A problémát tetézi, hogy amikor egy mobilfiókot vagy webhelyet feltörnek, előfordulhat, hogy nem veszi észre azonnal. „Például megkérhet egy bankot, hogy küldjön egy szöveges üzenetet, majd küldje vissza anélkül, hogy észrevenné, hogy valaki más kapta meg” – mondja Keaten. „Lehet, hogy 45 percbe telhet, mire rájön, hogy valami nincs rendben pont túl késő.

Használja a Google és a Microsoft hitelesítő alkalmazását

Biztonsági szakértők szerint a legjobb megoldás, bár nem ezüst golyó, egy hitelesítő alkalmazás, például a Google Authenticator vagy a Microsoft Authenticator letöltése mobileszközre. A hitelesítő alkalmazások továbbra is sebezhetőek bizonyos típusú „ellenség a közepén” támadásokkal szemben, de még mindig biztonságosabbak, mint az SMS-ek, mondta Allan.

A hitelesítő alkalmazással a felhasználók minden bejelentkezéskor egyedi kódot kapnak, és a kód általában 30-60 másodperc után lejár. Semmit sem küldenek a telefonszámra. A hitelesítő alkalmazás a mobileszközén található, tehát ha a telefon jelszóval védett, és engedélyezi az arcfelismerést, ez nagyban csökkenti annak kockázatát, hogy valaki hozzáférjen ezekhez a kódokhoz – mondta Kitten.

Még mindig vannak olyan lehetséges sebezhetőségek, amelyek a kód beírására támaszkodnak – mondja Cédric Thevenet, a Capgemini Americas alelnöke és értékesítési és kibermegoldásokért felelős vezetője. Tegyük fel például, hogy valaki olyan e-mailt kap, amely látszólag egy olyan cégtől vagy szolgáltatótól származik, amellyel rutinszerűen foglalkozik, de valójában egy jól álcázott adathalász kísérlet. A mesterséges intelligenciának köszönhetően az ilyen típusú adathalász e-mailek egyre nehezebben észlelhetők – mondta Thevenet.

Ha egy figyelmetlen felhasználó rákattint a linkre, akkor egy olyan webhelyre kerülhet, amely legitimnek tűnik, de nem az. Az illető beírja a felhasználónevét és jelszavát a hacker weboldalára, azt gondolva, hogy az a szolgáltató webhelye, majd amikor a hitelesítési kódot kérik, azt is beírja. Most, ahogy Thevenet elmagyarázta, a hacker hozzáfér a személy fiókjához.

Fontolja meg a mobilalkalmazások fizetését a jobb védelem érdekében

Van egy biztonságosabb hitelesítési lehetőség, amely a felhasználó telefonján lévő mobilalkalmazásokkal együtt működik. Amikor a felhasználók bejelentkeznek bankjuk vagy más szolgáltatójuk weboldalára, a telefonjuk megfelelő alkalmazásában értesítést kapnak, amelyben kérik, hogy ezzel az értesítéssel igazolják személyazonosságukat.

Ez az ellenőrzési módszer független attól az eszköztől, amelyről bejelentkezik, és jobb, mint az SMS-ek vagy az egyszeri jelszavak a hitelesítéshez, de vannak támadások, amelyek e módszer ellen is működhetnek – mondta Alan. A hacker többször is megpróbálhat bejelentkezni valakinek a fiókjába lopott jelszóval, és a felhasználó több üzenetet fog kapni a telefonjára ellenőrzés céljából. Ha az illető nem figyel oda jobban, vagy csak abba akarja hagyni a bosszankodást, rákattinthat az ellenőrzéshez, és így hozzáférést biztosíthat a hackernek a fiókhoz.

Ha lehetséges, válasszon hardveres biztonsági kulcsot

Jobb megoldás egy fizikai biztonsági kulcs, például a Yubico használata. Egy kulcs több alkalmazáshoz és szolgáltatáshoz használható. Biztonsági szempontból ez jobb, mint az SMS vagy egy hitelesítő alkalmazás – mondta Alan. De van befektetés. Egy kulcs ára 20-60 dollár vagy több is lehet, és az embereknek vigyázniuk kell, nehogy elveszítsék.

Ez szintén nem minden helyzetben praktikus. Az online kereskedő költség- és praktikus okokból nem ad kulcsot minden vásárlójának – mondta a Thevenet.

Távolítsa el a jelszavakat az egyenletből a többeszközös jelszóval

Bár a jelszavak szükségességét felváltó többeszközös jelszó használata nem feltétlenül helyettesíti az egyszeri jelszót, megnehezíti a támadók számára, hogy betörjenek az Ön fiókjába. A FIDO Alliance nevű nyílt konzorcium szerint a jelszó a felhasználó számítógépén vagy telefonján tárolt „privát kulcsból” és nyilvános kulcsú titkosításból áll.

A jelszavak okozta kellemetlenségek kiküszöbölése mellett a jelszavak megvédik a felhasználókat az adathalász támadásoktól, mivel csak azokon a webhelyeken és alkalmazásokban működnek, amelyekhez regisztráltak. Vannak bizonyos biztonsági aggályok, de legalábbis „eltávolítja a jelszavakat az egyenletből, így megnehezítve a támadók számára az indulást” – mondta Allan.

Szabályozási szempontból előfordulhat, hogy a jelszók nem minősülnek többtényezős hitelesítésnek, de biztonságosabbak lehetnek, mint a jelszó és az SMS használata, mondta Allan.

Várható, hogy az SMS egyszeri jelszavak (OTP) továbbra is használatban maradnak, és fennáll a kockázat

Számos lehetőség áll a felhasználók rendelkezésére az online bejelentkezés kezeléséhez, nagyobb hangsúlyt fektetve a biztonságra, beleértve a jelszókezelőket is, de mindegyik kockázattal jár, és bizonyos mértékig a fogyasztók a különböző szolgáltatók által kínált hitelesítési módszerekre korlátozódnak.

Dusty Anderson, a Protiviti ügyvezető igazgatója, aki a cég digitális identitás gyakorlatát vezeti, azt mondja, hogy egyik ügyfele havonta több tízezer dollárt költ SMS-ben egyszeri jelszavak küldésére. A biztonsági aggályok ellenére az ügyfél megállja a helyét, mert fél a problémáktól, különösen azoknál az ügyfeleknél, akik nem ismerik a technológiát, és esetleg nem szívesen használnak más típusú hitelesítési eszközt.

Más okok miatt Thevenet szerint az ideiglenes jelszavak a belátható jövőben valószínűleg valamilyen formában elérhetők maradnak. A Thevenet hozzátette, hogy a legnépszerűbb opciók olcsók és könnyen használhatók, és bizonyos kockázatok ellenére ezek a módszerek még mindig jobbak, mint egy jelszó önmagában. „Az ideiglenes jelszó SMS-ben történő küldése a valaha volt legjobb megoldás. Nem. Jobb, mint egy jelszó?