Σε μια αναζήτηση για τέλεια ασφάλεια, το τέλειο είναι ο εχθρός του καλού. Οι άνθρωποι ασκούν κριτική σε SMS έλεγχος ταυτότητας δύο παραγόντων στον απόηχο της το Reddit hack , αλλά η χρήση δύο παραγόντων που βασίζονται σε SMS εξακολουθεί να είναι πολύ καλύτερη από τη μη χρήση καθόλου ταυτότητας δύο παραγόντων.
Πάνω από το 90% των χρηστών του Gmail δεν χρησιμοποιούν έλεγχο ταυτότητας δύο παραγόντων
Οι επαγγελματίες ασφαλείας που μιλούν για την επαλήθευση SMS δεν είναι αρκετά καλοί, ξεπερνούν πολύ τον εαυτό τους. Πάνω από το 90% των χρηστών του Gmail δεν χρησιμοποιούν καθόλου έλεγχο ταυτότητας δύο παραγόντων, σύμφωνα με ένα παρουσίαση Ο μηχανικός της Google Grzegorz Milka έδωσε στο USENIX Enigma 2018. Το νούμερο ένα πράγμα που μπορούν να κάνουν οι περισσότεροι άνθρωποι για να προστατευτούν στο διαδίκτυο είναι να επιτρέψουν τον έλεγχο ταυτότητας δύο παραγόντων για τους σημαντικούς λογαριασμούς τους.
Σκεφτείτε το έτσι. Ας πούμε ότι θέλετε να βάλετε μια κλειδαριά στην μπροστινή σας πόρτα για να προστατεύσετε το σπίτι σας. Οι επαγγελματίες ασφαλείας υποστηρίζουν ότι ο καλύτερος τύπος κλειδαριάς είναι πολύ καλύτερος από τις φθηνότερες κλειδαριές. Σίγουρα, έχει νόημα. Αλλά αν αυτό το πιο ακριβό κλείδωμα δεν είναι διαθέσιμο σε εσάς, δεν έχετε ακόμα μια φθηνότερη κλειδαριά καλύτερα από το να μην έχετε καθόλου κλειδαριά;
Ναι, ο έλεγχος ταυτότητας δύο παραγόντων βάσει εφαρμογής είναι καλύτερος από τον έλεγχο ταυτότητας βάσει SMS. Ωστόσο, εάν το SMS είναι μια προσφορά υπηρεσιών, είναι ακόμα καλύτερο από το να μην το χρησιμοποιείτε καθόλου.
Ο παράγοντας δύο που βασίζεται σε SMS έχει κάποιες αδυναμίες, αλλά αυτό δεν έχει σημασία. Ένας εισβολέας θα πρέπει να περάσει χρόνο παρακάμπτοντας την επαλήθευση SMS. Και οι περισσότεροι στόχοι μάλλον δεν αξίζουν τόσο μεγάλη προσπάθεια.
Γιατί χρειάζεστε έλεγχο ταυτότητας δύο παραγόντων
Ο έλεγχος ταυτότητας δύο παραγόντων ονομάζεται αυτό επειδή απαιτεί να έχετε δύο πράγματα για να μπείτε στον λογαριασμό σας: κάτι που γνωρίζετε (ο κωδικός πρόσβασής σας) και κάτι που έχετε (ένας πρόσθετος κωδικός ασφαλείας από την κινητή συσκευή σας ή ένα φυσικό διακριτικό).
Όταν ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων βάσει SMS, η υπηρεσία θα στείλει στον αριθμό του κινητού σας τηλεφώνου ένα μήνυμα κειμένου που περιέχει έναν εφάπαξ κωδικό κάθε φορά που συνδέεστε από μια νέα συσκευή. Έτσι, ακόμη και αν κάποιος έχει το όνομα χρήστη και τον κωδικό πρόσβασής σας για αυτόν τον λογαριασμό, δεν θα μπορεί να συνδεθεί στον λογαριασμό σας χωρίς πρόσβαση στα μηνύματα κειμένου σας.
Υπάρχουν επίσης και άλλα τύποι μεθόδων δύο παραγόντων , συμπεριλαμβανομένου εφαρμογές στο τηλέφωνό σας που δημιουργούν προσωρινούς κωδικούς ασφαλείας και φυσικά κλειδιά ασφαλείας πρέπει να συνδέσετε τον υπολογιστή σας.
Οποιοσδήποτε τύπος ελέγχου ταυτότητας δύο παραγόντων παρέχει τεράστιο ποσό προστασίας για σημαντικούς λογαριασμούς όπως τα email σας, τα κοινωνικά μέσα και οι τραπεζικοί λογαριασμοί. Αυτό ισχύει ιδιαίτερα εάν χρησιμοποιείτε ξανά κωδικούς πρόσβασης. Πολλοί άνθρωποι ξαναχρησιμοποιούν κωδικούς πρόσβασης σε πολλούς ιστότοπους και, όταν διαρρέουν οι βάσεις δεδομένων ενός ιστότοπου, αυτός ο κωδικός πρόσβασης μπορεί να χρησιμοποιηθεί για τη σύνδεση στους λογαριασμούς email τους . Ο έλεγχος ταυτότητας δύο παραγόντων θα σταματήσει αυτό ακριβώς στα ίχνη του.
Αυτό δεν σημαίνει ότι πρέπει να χρησιμοποιήσετε ξανά κωδικούς πρόσβασης. Δεν πρέπει να χρησιμοποιήσετε ξανά κωδικούς πρόσβασης. Θα έπρεπε χρησιμοποιήστε έναν καλό διαχειριστή κωδικών πρόσβασης για να παρακολουθείτε ισχυρούς, μοναδικούς κωδικούς πρόσβασης.
Γιατί οι άνθρωποι λένε ότι ο έλεγχος ταυτότητας SMS είναι κακός;
Ο έλεγχος ταυτότητας δύο παραγόντων βάσει SMS δεν θεωρείται ιδανικός επειδή κάποιος θα μπορούσε να κλέψει τον αριθμό τηλεφώνου σας ή να υποκλέψει τα μηνύματα κειμένου σας. Για παράδειγμα:
- Ένας εισβολέας θα μπορούσε να σας πλαστοπροσωπεί και να μετακινήσει τον αριθμό τηλεφώνου σας σε ένα νέο τηλέφωνο στο απάτη μεταφοράς αριθμού τηλεφώνου . Αυτή είναι η πιο πιθανή επίθεση.
- Ένας εισβολέας θα μπορούσε να υποκλέψει μηνύματα SMS που προορίζονται για εσάς. Για παράδειγμα, θα μπορούσαν να πλαστογραφήσουν έναν πύργο κυψέλης κοντά σας ή μια κυβέρνηση θα μπορούσε να χρησιμοποιήσει την πρόσβασή της στο δίκτυο κινητής τηλεφωνίας για την προώθηση μηνυμάτων.
Αυτός είναι ο λόγος για τον οποίο οι ειδικοί προτείνουν τη χρήση μιας άλλης μεθόδου δύο παραγόντων, μιας που δεν μπορεί να γίνει κατάχρηση τόσο εύκολα από τις εθνικές πολιτείες και δεν είναι ευάλωτη εάν ο πάροχος κινητής τηλεφωνίας σας δώσει τον αριθμό τηλεφώνου σας σε κάποιον άλλο. Εάν λάβετε τον κωδικό σας από μια εφαρμογή στο τηλέφωνό σας ή από ένα φυσικό κλειδί ασφαλείας που συνδέετε, ο παράγοντας δύο παραγόντων δεν είναι ευάλωτος σε προβλήματα με το τηλεφωνικό δίκτυο. Ο εισβολέας θα χρειαστεί το ξεκλείδωτο τηλέφωνό σας ή το φυσικό κλειδί ασφαλείας που πρέπει να συνδεθείτε.
Σίγουρα, σε έναν τέλειο κόσμο, το SMS δεν είναι η ιδανική λύση. Έχουμε εξηγήσει Γιατί οι ειδικοί ασφαλείας δεν αρέσουν τον έλεγχο ταυτότητας δύο βημάτων βάσει SMS . Αλλά, ακόμη και όταν παρουσιάσαμε αυτήν την υπόθεση, προσπαθήσαμε να καταστήσουμε σαφές ένα πράγμα: ο έλεγχος ταυτότητας δύο παραγόντων που βασίζεται σε SMS είναι πολύ, πολύ καλύτερος από τίποτα.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Γιατί δεν πρέπει να χρησιμοποιείτε SMS για έλεγχο ταυτότητας δύο παραγόντων (και τι να χρησιμοποιήσετε αντ 'αυτού)
Μερικά άτομα χρειάζονται περισσότερη ασφάλεια από τα SMS
Ο μέσος άνθρωπος είναι καλός με έλεγχο ταυτότητας βάσει SMS προς το παρόν. Ο έλεγχος ταυτότητας που βασίζεται σε SMS κάνει τους εισβολείς να αντιμετωπίζουν πολλά επιπλέον προβλήματα για να μπουν στον λογαριασμό σας και μάλλον δεν αξίζετε τον κόπο τους όταν υπάρχουν άλλοι ευκολότεροι και πιο δροσεροί στόχοι εκεί έξω. Τα περισσότερα άτομα δεν χρησιμοποιούν καν έλεγχο ταυτότητας μέσω SMS και ο ιστός θα ήταν ένα πολύ πιο ασφαλές μέρος αν όλοι το χρησιμοποιούσαν.
Άτομα που είναι πιθανό να στοχεύονται από εξελιγμένους εισβολείς θα πρέπει να αποφεύγουν τον έλεγχο ταυτότητας βάσει SMS. Για παράδειγμα, εάν είστε πολιτικός, δημοσιογράφος, διασημότητα ή επιχειρηματικός ηγέτης, θα μπορούσατε να στοχεύσετε. Εάν είστε άτομο με πρόσβαση σε ευαίσθητα εταιρικά δεδομένα, διαχειριστής συστήματος με βαθιά πρόσβαση σε ευαίσθητα συστήματα ή μόνο άτομο με πολλά χρήματα στην τράπεζα, τα SMS ενδέχεται να είναι πολύ επικίνδυνα.
Ωστόσο, εάν είστε ο μέσος άνθρωπος με λογαριασμό Gmail ή Facebook και κανείς δεν έχει λόγο να ξοδέψει αρκετό χρόνο για να αποκτήσει πρόσβαση στους λογαριασμούς σας, ο έλεγχος ταυτότητας μέσω SMS είναι εντάξει και θα πρέπει να τον ενεργοποιήσετε απολύτως αντί να χρησιμοποιήσετε καθόλου.
Είστε τόσο ασφαλής όσο ο πιο αδύναμος σύνδεσμος
Ακολουθεί μια άλλη ατυχής αλήθεια που φαίνεται ότι όλοι ξεφεύγουν: Ακόμα κι αν αποφύγετε τον έλεγχο ταυτότητας δύο παραγόντων που βασίζεται σε SMS για έναν λογαριασμό, το SMS είναι πιθανώς διαθέσιμο ως εναλλακτική μέθοδος. Για παράδειγμα, ακόμη και αν δημιουργείτε κωδικούς με μια εφαρμογή για να συνδεθείτε στον Λογαριασμό σας Google, μπορείτε ανακτήστε τον λογαριασμό σας χρησιμοποιώντας τον αριθμό τηλεφώνου σας. Αυτό είναι για να σας προστατεύσει αν ποτέ χάσετε την πρόσβαση στο τηλέφωνό σας δύο παραγόντων ή διακριτικό.
Με άλλα λόγια, πολλές — πιθανώς ακόμη και οι περισσότερες — υπηρεσίες σας επιτρέπουν να μπείτε στον λογαριασμό σας με τον αριθμό τηλεφώνου σας, ακόμα κι αν χρησιμοποιείτε έναν κωδικό που δημιουργείται από την εφαρμογή ή ένα φυσικό κλειδί ασφαλείας τις περισσότερες φορές. Είστε τόσο ασφαλής όσο ο πιο αδύναμος σύνδεσμος στο σύστημα. Δοκιμάστε να ελέγξετε τους άλλους τρόπους με τους οποίους μπορείτε να συνδεθείτε εάν δεν έχετε την κανονική σας μέθοδο.
Γι 'αυτό, για να κλειδώσετε πραγματικά έναν λογαριασμό Google, δεν χρειάζεται απλώς να αποφύγετε τον έλεγχο ταυτότητας δύο βημάτων μέσω SMS. Πρέπει επίσης να εγγραφείτε Προηγμένο πρόγραμμα προστασίας της Google , το οποίο διαφημίζει η Google για "δημοσιογράφους, ακτιβιστές, επιχειρηματίες και πολιτικές ομάδες καμπάνιας". Αυτό το δωρεάν πρόγραμμα απαιτεί να χρησιμοποιήσετε ένα φυσικό κλειδί ασφαλείας για να συνδεθείτε, αλλά απαιτεί επίσης περισσότερες πληροφορίες για την ανάκτηση του λογαριασμού σας.
Χρησιμοποιήστε SMS εάν δεν χρησιμοποιείτε το 2FA αυτήν τη στιγμή
Δεν θέλουμε να σας γοητεύσουμε σε μια ψευδή αίσθηση ασφάλειας: Εάν είστε κάποιος που ενδέχεται να στοχευτεί από ξένες κυβερνήσεις, εταιρικούς κατασκόπους ή οργανωμένους εγκληματίες, πρέπει απολύτως να αποφύγετε τον έλεγχο ταυτότητας δύο παραγόντων που βασίζεται σε SMS και να κλειδώσετε το δικό σας λογαριασμούς με κάτι πιο ασφαλές.
Ωστόσο, εάν είστε ο μέσος άνθρωπος που δεν έχει ενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων, μην απογοητευτείτε: οι δύο παράγοντες που βασίζονται σε SMS θα σας κάνουν πολύ πιο ασφαλή από καθόλου δύο παράγοντες. Είναι μια σημαντική βάση για την ασφάλεια.
Όλοι πρέπει να χρησιμοποιούν την επαλήθευση SMS εκτός και αν χρησιμοποιούν κάτι καλύτερο.
Πιστωτική εικόνα: bluestok /Σχυττερστοκχ.κομ.
