A tökéletes biztonságra törekedve a tökéletes a jó ellensége. Az emberek kritizálják az SMS-alapú szolgáltatásokat kétfaktoros hitelesítés nyomában a Reddit csapkod , de az SMS-alapú két tényező használata még mindig sokkal jobb, mint egyáltalán nem kétfaktoros hitelesítés.
A Gmail-felhasználók több mint 90% -a nem használ kétfaktoros hitelesítést
Azok a biztonsági szakemberek, akik arról beszélnek, hogy az SMS-hitelesítés nem elég jó, túl messzire kerülnek maguk előtt. A Gmail felhasználói több mint 90% -a egyáltalán nem használ kétfaktoros hitelesítést bemutatás Grzegorz Milka, a Google mérnöke az USENIX Enigma 2018-on adott. Az első számú dolog, amelyet a legtöbb ember tehet online védelme érdekében, az, hogy bármilyen típusú kétfaktoros hitelesítést engedélyezzen fontos fiókjaihoz.
Gondolj így. Tegyük fel, hogy lakatot akar védeni a bejárati ajtón. A biztonsági szakemberek azzal érvelnek, hogy a rendelkezésre álló legjobb típusú zár sokkal jobb, mint az olcsóbb zárak. Persze, van értelme. De ha ez a drágább zár nem áll az Ön rendelkezésére, akkor még mindig jobb az olcsóbb zár, mint ha egyáltalán nincs?
Igen, az alkalmazásalapú kétfaktoros hitelesítés jobb, mint az SMS-alapú hitelesítés. De ha az SMS csak egy szolgáltatás által kínált lehetőség, akkor is jobb, mint egyáltalán nem használni.
Az SMS-alapú két tényezőnek vannak bizonyos gyengeségei, de ez hiányzik. A támadónak időt kell töltenie az SMS-ellenőrzés megkerülésével. És a legtöbb célpont valószínűleg nem ér ennyi erőfeszítést.
Miért van szükség kétfaktoros hitelesítésre
A kétfaktoros hitelesítést azért hívják, mert két dolog szükséges a fiókjába való belépéshez: valami, amit tud (a jelszó), és valami, ami van (egy további biztonsági kód a mobileszközéről vagy egy fizikai token).
Amikor engedélyezi az SMS alapú kétfaktoros hitelesítést, a szolgáltatás egyszeri kódot tartalmazó szöveges üzenetet küld a mobiltelefonszámának, amikor új eszközről jelentkezik be. Tehát akkor is, ha valakinek megvan a felhasználóneve és jelszava ahhoz a fiókhoz, nem tud bejelentkezni a fiókjába a szöveges üzenetekhez való hozzáférés nélkül.
Vannak más is kétfaktoros módszerek típusai , beleértve alkalmazásokat a telefonján amelyek ideiglenes biztonsági kódokat generálnak és fizikai biztonsági kulcsok csatlakoztatnia kell a számítógépéhez.
Bármilyen típusú kétfaktoros hitelesítés óriási védelmet nyújt a fontos fiókok számára, mint például az e-mail, a közösségi média és a bankszámlák. Ez különösen igaz, ha újból felhasználja a jelszavakat. Sokan több webhelyen használják újra a jelszavakat, és amikor az egyik webhely jelszó-adatbázisa kiszivárog, ez a jelszó felhasználható az e-mail fiókjukba történő bejelentkezéshez . A kétfaktoros hitelesítés megállítaná ezt a jogot.
Ez nem azt jelenti, hogy újra fel kell használnia a jelszavakat. Ne használja újra a jelszavakat. Neked kellene használjon jó jelszókezelőt hogy nyomon kövesse az erős, egyedi jelszavakat.
Miért mondják az emberek, hogy az SMS-hitelesítés rossz?
Az SMS-alapú kétfaktoros hitelesítés nem tekinthető ideálisnak, mert valaki ellophatja a telefonszámát vagy elfoghatja a szöveges üzeneteket. Például:
- A támadó megszemélyesítheti Önt, és áthelyezheti telefonszámát egy új telefonra a telefonszám portos átverés . Ez a legvalószínűbb támadás.
- A támadó elfoghatja az Ön számára szánt SMS-eket. Például becsempészhetnek egy mobiltornyot az Ön közelében, vagy egy kormány felhasználhatja a mobilhálózathoz való hozzáférését az üzenetek továbbításához.
Ezért javasolják a szakértők egy másik kétfaktoros módszer alkalmazását, amelyet a nemzetállamok nem tudnak olyan könnyen visszaélni, és nem sérülékeny, ha mobilszolgáltatója másnak adja meg telefonszámát. Ha a kódot a telefon egyik alkalmazásából vagy egy fizikai biztonsági kulcsból szerzi be, akkor a két tényező nem sérülékeny a telefonhálózat problémáival szemben. A támadónak szüksége lesz a zárolatlan telefonjára vagy a fizikai biztonsági kulcsra, amelybe be kell jelentkeznie.
Persze, egy tökéletes világban az SMS nem az ideális megoldás. Megmagyaráztuk miért nem szeretik a biztonsági szakértők az SMS alapú kétlépcsős hitelesítést . De még akkor is, amikor ezt az esetet lefektettük, megpróbáltunk egyértelművé tenni egy dolgot: az SMS-alapú kétfaktoros hitelesítés sokkal, de sokkal jobb, mint a semmi.
ÖSSZEFÜGGŐ: Miért ne használna SMS-t kétfaktoros hitelesítéshez (és mit használjon helyette)?
Néhány embernek nagyobb biztonságra van szüksége, mint az SMS-ek
Az átlagemberek egyelőre jól vannak az SMS-alapú hitelesítéssel. Az SMS-alapú hitelesítés miatt a támadók sok extra problémát szenvednek el, hogy beléphessenek a fiókjába, és valószínűleg nem éri meg a bajukat, ha vannak más könnyebb és szaftosabb célpontok. A legtöbb ember nem is használ SMS-hitelesítést, és az internet sokkal biztonságosabb hely lenne, ha mindenki ezt tenné.
Azoknak az embereknek, akiket kifinomult támadók fognak megcélozni, kerülniük kell az SMS alapú hitelesítést. Például, ha Ön politikus, újságíró, híresség vagy üzleti vezető, akkor megcélozhatja. Ha Ön érzékeny vállalati adatokhoz fér hozzá, rendszergazda, aki mély hozzáféréssel rendelkezik az érzékeny rendszerekhez, vagy csak valaki, akinek sok pénze van a bankban, az SMS túl kockázatos lehet.
De ha Ön átlagosan Gmail vagy Facebook fiókkal rendelkezik, és senkinek nincs oka arra, hogy egy csomó időt töltsön a fiókjaihoz való hozzáféréssel, az SMS hitelesítés rendben van, és abszolút engedélyeznie kell, semmint semmit sem használnia.
Csak olyan biztonságban vagy, mint a leggyengébb link
Itt van egy másik sajnálatos igazság, amelyet mindenki látszólag rávilágít: Még akkor is, ha elkerüli a fiók SMS-alapú kétfaktoros hitelesítését, az SMS valószínűleg tartalék módszerként elérhető. Például akkor is, ha kódokat generál egy alkalmazással a Google-fiókjába való bejelentkezéshez állítsa vissza fiókját telefonszámának használatával. Ez megvédi Önt, ha valaha is elveszíti hozzáférését a kétfaktoros telefonjához vagy jelző.
Más szavakkal, sok - valószínűleg még a legtöbb - szolgáltatás lehetővé teszi, hogy telefonszámával belépjen fiókjába, még akkor is, ha legtöbbször egy alkalmazás által létrehozott kódot vagy egy fizikai biztonsági kulcsot használ. Csak akkor vagy biztonságban, mint a leggyengébb láncszem a rendszerben. Próbálja meg ellenőrizni a bejelentkezés egyéb módjait, ha nem a szokásos módszerrel rendelkezik.
Éppen ezért a Google-fiók valóban zárolásához nem csak az SMS-alapú kétlépcsős hitelesítést kell elkerülnie. Be is kell jelentkeznie A Google speciális védelmi programja , amelyet a Google hirdet „újságíróknak, aktivistáknak, üzleti vezetőknek és politikai kampánycsapatoknak”. Ehhez az ingyenes programhoz fizikai biztonsági kulcsot kell használnia a bejelentkezéshez, de sokkal több információt is igényel a fiók helyreállításához.
Kérjük, használjon SMS-t, ha éppen nem használja a 2FA-t
Nem akarunk hamis biztonságérzetbe keverni: Ha valakit valószínűleg külföldi kormányok, vállalati kémek vagy szervezett bűnözők céloznak meg, mindenképpen kerülje az SMS-alapú kétfaktoros hitelesítést, és zárolja a valami biztonságosabb számlával.
De, ha átlagos ember vagy, aki még nem engedélyezte a kétfaktoros hitelesítést, ne csüggedjen: az SMS-alapú kétfaktorossal sokkal biztonságosabb lesz, mint egyáltalán nem. Fontos alapja a biztonságnak.
Mindenkinek használnia kell az SMS-ellenőrzést, hacsak nem használ valami jobbat.
Kép jóváírása: bluestok /Shutterstock.com.
