Pyrittäessä täydelliseen turvallisuuteen, täydellinen on hyvän vihollinen. Ihmiset arvostelevat tekstiviestipohjaista kaksivaiheinen todennus vanavedessä Reddit-hakkerointi , mutta tekstiviestipohjaisen kahden tekijän käyttö on silti paljon parempi kuin kaksitekijän todennuksen käyttämättä jättäminen ollenkaan.
Yli 90% Gmailin käyttäjistä ei käytä kaksivaiheista todennusta
Turvallisuusammattilaiset, jotka puhuvat siitä, että tekstiviestien vahvistus ei ole tarpeeksi hyvä, menevät liian kauas itsestään. Yli 90% Gmailin käyttäjistä ei käytä lainkaan kaksivaiheista todennusta a: n mukaan esitys Google-insinööri Grzegorz Milka antoi USENIX Enigma 2018 -tapahtumassa. Ensisijainen asia, jonka useimmat ihmiset voivat tehdä suojautuakseen verkossa, on sallia minkä tahansa tyyppinen kaksivaiheinen todennus tärkeille tileilleen.
Ajattele sitä näin. Sano, että haluat laittaa lukon etuoviisi suojaamaan kotiasi. Turvallisuusammattilaiset väittävät, että paras käytettävissä oleva lukkotyyppi on paljon parempi kuin halvemmat lukot. Toki, on järkevää. Mutta jos kyseistä kalliimpaa lukkoa ei ole saatavana, eikö halvempaa lukkoa ole silti parempi kuin ei ole lukkoa lainkaan?
Kyllä, sovelluspohjainen kaksivaiheinen todennus on parempi kuin tekstiviestipohjainen todennus. Mutta jos kaikki tekstiviestit ovat palvelun tarjoamia, se on silti parempi kuin ei käyttää sitä ollenkaan.
Tekstiviestipohjaisella kahdella tekijällä on joitain heikkouksia, mutta siitä puuttuu asia. Hyökkääjän on käytettävä aikaa ohittamalla tekstiviestivahvistuksesi. Ja useimmat kohteet eivät todennäköisesti ole niin paljon vaivaa.
Miksi tarvitset kaksivaiheista todennusta
Kaksivaiheinen todennus on nimetty, koska se edellyttää, että sinulla on kaksi asiaa päästäksesi tiliisi: jotain mitä tiedät (salasanasi) ja jotain mitä sinulla on (ylimääräinen turvakoodi mobiililaitteeltasi tai fyysinen tunniste).
Kun otat kaksisuuntaisen tekstiviestipohjaisen todennuksen käyttöön, palvelu lähettää matkapuhelinnumerollesi tekstiviestin, joka sisältää kertakoodin, kun kirjaudut sisään uudesta laitteesta. Joten vaikka jollakin olisi käyttäjänimesi ja salasanasi kyseiselle tilille, hän ei voi kirjautua tilillesi ilman pääsyä tekstiviesteihisi.
On myös muita kahden tekijän menetelmien tyypit mukaan lukien sovelluksia puhelimellasi jotka luovat väliaikaisia turvakoodeja ja fyysiset suojausavaimet sinun on liitettävä tietokoneeseen.
Kaikentyyppinen kaksivaiheinen todennus tarjoaa valtavan määrän suojaa tärkeille tileille, kuten sähköposti, sosiaalinen media ja pankkitilit. Tämä pätee erityisesti, jos käytät salasanoja uudelleen. Monet ihmiset käyttävät salasanoja uudelleen useilla verkkosivustoilla, ja kun yhden sivuston salasanatietokanta vuotaa, että salasanaa voidaan käyttää kirjautumiseen heidän sähköpostitileihinsä . Kaksivaiheinen todennus pysäyttäisi tämän oikeuden.
Tämä ei tarkoita, että sinun pitäisi käyttää salasanoja uudelleen. Älä käytä salasanoja uudelleen. Sinun pitäisi käytä hyvää salasanojen hallintaa seurata vahvoja, ainutlaatuisia salasanoja.
Miksi ihmiset sanovat, että tekstiviestien todennus on huono?
Tekstiviestipohjaista kaksivaiheista todennusta ei pidetä ihanteellisena, koska joku voi varastaa puhelinnumerosi tai siepata tekstiviestejäsi. Esimerkiksi:
- Hyökkääjä voi esiintyä toisena henkilönä ja siirtää puhelinnumerosi uuteen puhelimeen puhelinnumeron siirtohuijaus . Tämä on todennäköisin hyökkäys.
- Hyökkääjä voi siepata sinulle tarkoitettuja tekstiviestejä. He voivat esimerkiksi huijata lähellä olevaa solutornia tai hallitus voi käyttää matkapuhelinverkonsa käyttöoikeutta viestien edelleenlähettämiseen.
Siksi asiantuntijat suosittelevat toisen kaksivaiheisen menetelmän käyttämistä, jota kansalliset valtiot eivät voi käyttää yhtä helposti väärin ja joka ei ole haavoittuva, jos matkapuhelinoperaattorisi antaa puhelinnumerosi jollekin muulle. Jos saat koodisi puhelimesi sovelluksesta tai fyysisestä suojausavaimesta, jonka kytket, kaksisuuntainen tekijäsi ei ole alttiina puhelinverkon ongelmille. Hyökkääjä tarvitsee lukitsemattoman puhelimesi tai fyysisen suojausavaimen, johon sinun on kirjauduttava sisään.
Toki täydellisessä maailmassa tekstiviestit eivät ole ihanteellinen ratkaisu. Olemme selittäneet miksi turvallisuusasiantuntijat eivät pidä tekstipohjaisesta kaksivaiheisesta todennuksesta . Mutta silloinkin kun esitimme kyseisen tapauksen, yritimme tehdä yhden asian selväksi: tekstiviestipohjainen kaksivaiheinen todennus on paljon, paljon parempi kuin ei mitään.
Jotkut ihmiset tarvitsevat enemmän turvallisuutta kuin tekstiviestit tarjoavat
Keskimäärin ihmisellä on toistaiseksi hyvä SMS-pohjainen todennus. Tekstiviestipohjainen todennus saa hyökkääjät käymään läpi paljon ylimääräisiä vaikeuksia päästäksesi tilillesi, etkä todennäköisesti ole heidän ongelmiensa arvoinen, kun siellä on muita helpompia ja mehukkaampia kohteita. Useimmat ihmiset eivät edes käytä tekstiviestitodennusta, ja verkko olisi paljon turvallisempi paikka, jos kaikki tekisivät sen.
Ihmiset, joihin hienostuneet hyökkääjät todennäköisesti kohdistuvat, tulisi välttää tekstiviestipohjaista todennusta. Jos esimerkiksi olet poliitikko, toimittaja, julkkis tai yritysjohtaja, sinut voidaan kohdistaa. Jos olet henkilö, jolla on pääsy arkaluontoisiin yritystietoihin, järjestelmänvalvoja, jolla on syvä pääsy arkaluonteisiin järjestelmiin, tai vain henkilö, jolla on paljon rahaa pankissa, tekstiviestit voivat olla liian riskialttiita.
Mutta jos olet tavallinen henkilö, jolla on Gmail- tai Facebook-tili ja kenelläkään ei ole syytä viettää joukko aikaa pääsyyn tileihisi, tekstiviestien todennus on hieno, ja sinun on ehdottomasti sallittava se sen sijaan, että käyttäisit mitään.
Olet vain yhtä turvallinen kuin heikoin linkki
Tässä on toinen valitettava totuus, jonka kaikki näyttävät kiihottavan: Vaikka vältät tekstiviestipohjaista kaksivaiheista todennusta tilille, tekstiviestit ovat todennäköisesti käytettävissä varamenetelmänä. Esimerkiksi, jos luot koodeja sovelluksella kirjautua sisään Google-tiliisi, voit palauta tilisi puhelinnumerosi avulla. Tämän on tarkoitus suojata sinua jos koskaan menettää pääsyn kaksivaiheiseen puhelimeesi tai tunnuksen.
Toisin sanoen monien - luultavasti jopa useimpien - palveluiden avulla pääset tilillesi puhelinnumerollasi, vaikka käyttäisit sovelluksen luomaa koodia tai fyysistä suojausavainta suurimman osan ajasta. Olet vain yhtä turvallinen kuin järjestelmän heikoin lenkki. Kokeile tarkistaa muut kirjautumistavat, jos sinulla ei ole normaalia tapaa.
Siksi Google-tilin todella lukitsemiseksi sinun ei tarvitse välttää vain tekstiviestipohjaista kaksivaiheista todennusta. Sinun on myös ilmoittauduttava sisään Google’s Advanced Protection Program , jota Google mainostaa "toimittajille, aktivisteille, yritysjohtajille ja poliittisten kampanjoiden ryhmille". Tämä ilmainen ohjelma edellyttää, että kirjaudut sisään fyysisen suojausavaimen avulla, mutta se vaatii myös paljon lisätietoja tilin palauttamiseksi.
Käytä tekstiviestejä, jos et käytä 2FA: ta juuri nyt
Emme halua herättää sinua väärään turvallisuustunteeseen: Jos olet henkilö, johon todennäköisesti kohdistuvat ulkomaiset hallitukset, yritysvakoojat tai järjestäytyneet rikolliset, sinun on ehdottomasti vältettävä tekstiviestipohjaista kaksivaiheista todennusta ja lukittava tilit jotain turvallisempaa.
Mutta jos olet tavallinen ihminen, joka ei ole vielä ottanut käyttöön kaksivaiheista todennusta, älä varmista: tekstiviestipohjainen kaksi tekijää tekee sinusta paljon turvallisemman kuin ei lainkaan kaksitekijää. Se on tärkeä turvallisuuden lähtötaso.
Jokaisen tulisi käyttää tekstiviestivahvistusta, ellei hän käytä jotain parempaa.
Kuvahyvitys: bluestok /Shutterstock.com.
