홈페이지 » 어떻게 » 2 중 인증을 위해 SMS를 사용하지 않아야하는 이유 (대신 무엇을 사용해야하는지)

    2 중 인증을 위해 SMS를 사용하지 않아야하는 이유 (대신 무엇을 사용해야하는지)

    보안 전문가는 이중 계정 인증을 사용하여 가능한 모든 온라인 계정을 보호 할 것을 권장합니다. 대부분의 서비스는 SMS 확인을 기본으로하며 로그인을 시도 할 때 문자 메시지를 통해 코드를 휴대 전화로 전송하지만 SMS 메시지는 많은 보안 문제가 있으며 2 단계 인증을위한 보안 옵션이 가장 적습니다..

    가장 먼저해야 할 일 : SMS는 여전히 2 중 인증보다 더 나은 것입니다.!

    SMS에 대한 사례를 여기에서 설명하지만, 먼저 SMS를 사용하는 것이 이중 인증을 사용하지 않는 것보다 낫습니다..

    이중 인증을 사용하지 않을 경우 누군가는 귀하의 계정에 로그인 할 때만 암호가 필요합니다. SMS로 이중 인증을 사용하는 경우 다른 사람이 귀하의 계정에 액세스하려면 암호를 알아 내고 문자 메시지에 액세스해야합니다. SMS는 아무것도 아닌 것보다 훨씬 안전합니다..

    SMS가 유일한 옵션 인 경우 SMS를 사용하십시오. 그러나 보안 전문가가 SMS를 피하는 것을 권장하는 이유와 그 대신에 권장하는 내용을 알고 싶으면.

    SIM 스왑은 공격자가 전화 번호를 훔치는 것을 허용합니다.

    SMS 확인 작동 방식은 다음과 같습니다. 로그인을 시도하면 이전에 서비스를 제공 한 휴대 전화 번호로 문자 메시지가 전송됩니다. 휴대 전화에서 해당 코드를 가져 와서 로그인하면 로그인 할 수 있습니다. 코드는 일회용으로 만 유용합니다..

    합리적으로 안전한 것으로 들립니다. 결국, 당신은 당신의 전화 번호를 가지고 누군가가 당신의 전화를 가지고 있어야만 코드를 볼 수 있습니까? 불행하게도.

    누군가 귀하의 전화 번호를 알고 사회 보장 번호의 마지막 4 자리 숫자와 같은 개인 정보에 액세스 할 수 있다면 유감스럽게도 많은 기업과 정부 기관에서 고객 데이터를 유출하여 쉽게 찾을 수 있습니다. 전화 번호를 새 전화로 이동하십시오. 이를 "SIM 스왑"이라고하며, 새 장치를 구입하여 전화 번호를 옮길 때 수행하는 것과 동일한 프로세스입니다. 그 사람은 그들이 당신이라고 말하고, 개인 데이터를 제공하며, 휴대 전화 회사는 전화 번호로 전화를 설정합니다. 전화로 귀하의 전화 번호로 보낸 SMS 메시지 코드를 받게됩니다..

    영국에서는 피해자의 전화 번호를 훔쳐 희생자의 은행 계좌에 액세스하는 데 사용 된 것으로보고되었습니다. 뉴욕 주에서도이 사기에 대해 경고했습니다..

    핵심은 이것이 휴대 전화 회사를 속이는 것에 의존하는 사회 공학 공격입니다. 하지만 휴대 전화 회사는 처음에는 보안 코드에 대한 액세스 권한을 가진 사람을 제공해서는 안됩니다.!

    여러 가지 방법으로 SMS 메시지를 가로 챌 수 있습니다.

    SMS 메시지를 스누핑 할 수도 있습니다. 억압적인 국가의 정치적 반체제 인사와 언론인들은 정부가 전화 네트워크를 통해 보낸 SMS 메시지를 납치 할 수 있기 때문에 조심해야한다. 이미이란의 해커들이이 계정에 액세스 할 수있는 SMS 메시지를 가로 채어 여러 가지 텔레 그램 (Telegram) 메신저 계정을 침해 한 것으로 밝혀졌다..

    공격자는 또한 로밍에 사용되는 연결 시스템 인 SS7의 문제를 악용하여 네트워크의 SMS 메시지를 가로 채 다른 위치로 라우팅합니다. 가짜 휴대 전화 타워를 사용하는 것을 포함하여 메시지를 가로 챌 수있는 다른 많은 방법이 있습니다. SMS 메시지는 보안을 위해 설계되지 않았으므로 사용해서는 안됩니다..

    즉, 약간의 개인 정보가 포함 된 정교한 공격자가 전화 번호를 도용하여 온라인 계정에 액세스 한 다음 해당 계정을 사용하여 은행 계좌를 유출시킬 수 있습니다. 이것이 표준 기술 연구소가 두 요소 인증을 위해 더 이상 SMS 메시지 사용을 권장하지 않는 이유입니다.

    대안 : 장치에 코드 생성

    휴대 전화 회사는 다른 사람이 귀하의 코드에 액세스 할 수 없기 때문에 SMS에 의존하지 않는 2 단계 인증 체계가 우수합니다. 가장 인기있는 옵션은 Google OTP와 같은 앱입니다. 그러나 Google Authenticator와 다른 모든 기능을 수행하므로 Authy를 사용하는 것이 좋습니다..

    이와 같은 앱은 기기에서 코드를 생성합니다. 침입자가 휴대 전화 회사를 속여 전화 번호를 휴대 전화로 옮기더라도 보안 코드를받을 수 없습니다. 해당 코드를 생성하는 데 필요한 데이터는 휴대 전화에서 안전하게 유지됩니다..

     

    코드도 사용할 필요가 없습니다. Twitter, Google 및 Microsoft와 같은 서비스는 앱 기반 2 요소 인증을 테스트하고 있습니다.이 인증을 사용하면 휴대 전화에서 앱의 로그인을 승인하여 다른 기기에 로그인 할 수 있습니다.

    또한 실제 하드웨어 토큰을 사용할 수 있습니다. Google 및 Dropbox와 같은 대기업은 이미 U2F라는 하드웨어 기반 2 단계 인증 토큰에 대한 새로운 표준을 구현했습니다. 이것들은 휴대 전화 회사와 구식 전화 네트워크에 의존하는 것보다 더 안전합니다..

    가능한 경우 2 단계 인증을 위해 SMS를 피하십시오. 아무 것도없는 것보다는 낫지 만 편리한 것처럼 보일 수도 있지만 일반적으로 선택할 수있는 가장 안전한 2 요소 인증 체계입니다..

    유감스럽게도 일부 서비스에서는 SMS를 사용해야합니다. 걱정이된다면 Google 보이스 전화 번호를 만들어 SMS 인증이 필요한 서비스에 제공 할 수 있습니다. 보다 안전한 2 단계 인증 방법으로 보호 할 수있는 Google 계정에 로그인하고 Google 보이스 웹 사이트 또는 앱의 보안 메시지를 볼 수 있습니다. Google 보이스의 메시지를 실제 휴대 전화 번호로 전달하지 마세요..