I en søgen efter perfekt sikkerhed er den perfekte det gode. Folk kritiserer SMS-baseret tofaktorautentificering i kølvandet på Reddit-hacket , men ved hjælp af SMS-baseret to-faktor er det stadig meget bedre end slet ikke at bruge to-faktor-godkendelse.
Over 90% af Gmail-brugerne bruger ikke tofaktorautentificering
Sikkerhedsfagfolk, der taler om, at sms-verifikation ikke er god nok, kommer for langt foran sig selv. Over 90% af Gmail-brugerne bruger slet ingen tofaktorautentificering ifølge en præsentation Google-ingeniør Grzegorz Milka gav på USENIX Enigma 2018. Den første ting, de fleste mennesker kan gøre for at beskytte sig selv online, er at aktivere enhver form for tofaktorautentificering til deres vigtige konti.
Tænk på det sådan her. Sig, at du vil sætte en lås på din hoveddør for at beskytte dit hjem. Sikkerhedsfagfolk argumenterer for, at den bedste tilgængelige lås er langt bedre end billigere låse. Sikker på, giver mening. Men hvis den dyrere lås ikke er tilgængelig for dig, er det ikke bedre at have en billigere lås end slet ikke at have en lås?
Ja, app-baseret tofaktorautentificering er bedre end SMS-baseret godkendelse. Men hvis SMS er alt, hvad en tjeneste tilbyder, er det stadig bedre end slet ikke at bruge det.
SMS-baseret to faktor har nogle svagheder, men det mangler pointen. En hacker bliver nødt til at bruge tid på at omgå din sms-verifikation. Og de fleste mål er sandsynligvis ikke så meget indsats værd.
Hvorfor du har brug for tofaktorautentificering
To-faktor-godkendelse hedder det, fordi det kræver, at du har to ting for at komme ind på din konto: noget du kender (din adgangskode) og noget du har (en ekstra sikkerhedskode fra din mobile enhed eller et fysisk token).
Når du aktiverer SMS-baseret tofaktorautentificering, sender tjenesten dit mobiltelefonnummer en tekstbesked, der indeholder en engangskode, hver gang du logger ind fra en ny enhed. Så selvom nogen har dit brugernavn og din adgangskode til den konto, kan de ikke logge ind på din konto uden adgang til dine sms'er.
Der er også andre typer af to-faktor metoder , inklusive apps på din telefon der genererer midlertidige sikkerhedskoder og fysiske sikkerhedsnøgler du skal tilslutte din computer.
Enhver type tofaktorautentificering giver en enorm mængde beskyttelse til vigtige konti som din e-mail, sociale medier og bankkonti. Dette gælder især hvis du genbruger adgangskoder. Mange genbruger adgangskoder på flere websteder, og når et websteds adgangskodedatab lækker, denne adgangskode kan bruges til at logge ind på deres e-mail-konti . To-faktor-godkendelse ville stoppe denne ret i dens spor.
Det betyder ikke, at du skal genbruge adgangskoder. Du bør ikke genbruge adgangskoder. Du burde brug en god adgangskodeadministrator for at holde styr på stærke, unikke adgangskoder.
Hvorfor siger folk, at sms-godkendelse er dårlig?
SMS-baseret tofaktorautentificering betragtes ikke som ideel, fordi nogen kan stjæle dit telefonnummer eller opfange dine tekstbeskeder. For eksempel:
- En hacker kan efterligne dig og flytte dit telefonnummer til en ny telefon i en telefonnummer porting fidus . Dette er det mest sandsynlige angreb.
- En hacker kan opfange SMS-beskeder, der er beregnet til dig. For eksempel kunne de spoofe et celletårn i nærheden af dig, eller en regering kunne bruge sin adgang til det mobile netværk til at videresende beskeder.
Derfor anbefaler eksperter at bruge en anden tofaktormetode, der ikke kan misbruges lige så let af nationalstater og ikke er sårbar, hvis din mobiloperatør giver dit telefonnummer til en anden. Hvis du får din kode fra en app på din telefon eller en fysisk sikkerhedsnøgle, du tilslutter, er din to-faktor ikke sårbar over for problemer med telefonnetværket. Angriberen har brug for din ulåste telefon eller den fysiske sikkerhedsnøgle, du skal logge på.
Sikker på, i en perfekt verden er SMS ikke den ideelle løsning. Vi har forklaret hvorfor sikkerhedseksperter ikke kan lide SMS-baseret totrinsgodkendelse . Men selv når vi lagde den sag, forsøgte vi at gøre en ting klar: SMS-baseret tofaktorautentificering er meget, meget bedre end ingenting.
RELATEREDE: Hvorfor du ikke skal bruge SMS til tofaktorautentificering (og hvad du skal bruge i stedet)
Nogle mennesker har brug for mere sikkerhed end SMS giver
Den gennemsnitlige person har det fint med SMS-baseret godkendelse for nu. SMS-baseret godkendelse får angribere til at gennemgå en masse ekstra problemer for at komme ind på din konto, og du er sandsynligvis ikke deres problemer værd, når der er andre lettere og saftigere mål derude. De fleste mennesker bruger ikke engang SMS-godkendelse, og internettet ville være et meget mere sikkert sted, hvis alle gjorde det.
Folk, der sandsynligvis vil blive målrettet af sofistikerede angribere, bør undgå SMS-baseret godkendelse. For eksempel, hvis du er politiker, journalist, berømthed eller forretningsleder, kan du blive målrettet. Hvis du er en person med adgang til følsomme virksomhedsdata, en systemadministrator med dyb adgang til følsomme systemer eller bare en person med mange penge i banken, kan SMS være for risikabelt.
Men hvis du er den gennemsnitlige person med en Gmail- eller Facebook-konto, og ingen har en grund til at bruge en masse tid på at få adgang til dine konti, er sms-godkendelse fint, og du bør absolut aktivere det i stedet for slet ikke at bruge noget.
Du er kun så sikker som det svageste link
Her er en anden uheldig sandhed, som alle ser ud til at glose over: Selvom du undgår SMS-baseret tofaktorautentificering for en konto, er SMS sandsynligvis tilgængelig som en tilbagefaldsmetode. For eksempel, selvom du genererer koder med en app til at logge ind på din Google-konto, kan du gendan din konto ved hjælp af dit telefonnummer. Dette er for at beskytte dig, hvis du nogensinde mister adgang til din tofaktortelefon eller token.
Med andre ord giver mange - sandsynligvis endda de fleste - tjenester dig adgang til din konto med dit telefonnummer, selvom du bruger en appgenereret kode eller en fysisk sikkerhedsnøgle det meste af tiden. Du er kun så sikker som det svageste led i systemet. Prøv at kontrollere de andre måder, du kan logge på, hvis du ikke har din normale metode.
Derfor behøver du ikke bare at undgå SMS-baseret totrinsgodkendelse for virkelig at låse en Google-konto ned. Du skal også tilmelde dig Google’s Advanced Protection Program , som Google annoncerer for "journalister, aktivister, forretningsledere og politiske kampagneteams." Dette gratis program kræver, at du bruger en fysisk sikkerhedsnøgle til at logge på, men det kræver også meget mere information for at gendanne din konto.
Brug sms, hvis du ikke bruger 2FA lige nu
Vi ønsker ikke at lægge dig i en falsk følelse af sikkerhed: Hvis du er nogen, der sandsynligvis vil blive målrettet af udenlandske regeringer, virksomhedsspioner eller organiserede kriminelle, skal du absolut undgå SMS-baseret tofaktorautentificering og låse din konti med noget mere sikkert.
Men hvis du er den gennemsnitlige person, der endnu ikke har aktiveret tofaktorautentificering, skal du ikke frarådes: SMS-baseret tofaktor gør dig meget mere sikker end slet ingen tofaktor. Det er en vigtig basislinje for sikkerhed.
Alle bør bruge sms-verifikation, medmindre de bruger noget bedre.
Billedkredit: bluestok /Shutterstock.com.
