Nella ricerca della sicurezza perfetta, il perfetto è il nemico del bene. Le persone criticano gli SMS autenticazione a due fattori sulla scia di l'hack di Reddit , ma l'utilizzo di due fattori basato su SMS è ancora molto meglio che non utilizzare affatto l'autenticazione a due fattori.
Oltre il 90% degli utenti Gmail non utilizza l'autenticazione a due fattori
I professionisti della sicurezza che dicono che la verifica tramite SMS non è abbastanza buona stanno andando troppo oltre se stessi. Oltre il 90% degli utenti di Gmail non utilizza affatto l'autenticazione a due fattori, secondo un presentazione L'ingegnere di Google Grzegorz Milka ha dato a USENIX Enigma 2018. La cosa numero uno che la maggior parte delle persone può fare per proteggersi online è abilitare qualsiasi tipo di autenticazione a due fattori per i propri account importanti.
Pensa in questo modo. Supponi di voler mettere una serratura alla tua porta di casa per proteggere la tua casa. I professionisti della sicurezza sostengono che il miglior tipo di serratura disponibile sia decisamente migliore di serrature più economiche. Certo, ha senso. Ma se quella serratura più costosa non è disponibile per te, non è ancora meglio avere una serratura più economica che non averla affatto?
Sì, l'autenticazione a due fattori basata su app è migliore dell'autenticazione basata su SMS. Ma se l'SMS è tutto ciò che un servizio offre, è comunque meglio che non utilizzarlo affatto.
Due fattori basati su SMS hanno alcuni punti deboli, ma questo non ha senso. Un utente malintenzionato dovrà perdere tempo a bypassare la verifica tramite SMS. E la maggior parte degli obiettivi probabilmente non vale così tanto sforzo.
Perché è necessaria l'autenticazione a due fattori
L'autenticazione a due fattori è chiamata così perché richiede che tu abbia due cose per entrare nel tuo account: qualcosa che conosci (la tua password) e qualcosa che hai (un codice di sicurezza aggiuntivo dal tuo dispositivo mobile o un token fisico).
Quando abiliti l'autenticazione a due fattori basata su SMS, il servizio invierà al tuo numero di cellulare un messaggio di testo contenente un codice monouso ogni volta che accedi da un nuovo dispositivo. Pertanto, anche se qualcuno ha il tuo nome utente e la tua password per quell'account, non sarà in grado di accedere al tuo account senza accedere ai tuoi messaggi di testo.
Ce ne sono anche altri tipi di metodi a due fattori , Compreso app sul telefono che generano codici di sicurezza temporanei e chiavi di sicurezza fisiche devi collegarlo al tuo computer.
Qualsiasi tipo di autenticazione a due fattori fornisce un'enorme protezione per account importanti come e-mail, social media e conti bancari. Ciò è particolarmente vero se riutilizzi le password. Molte persone riutilizzano le password su più siti web e, quando il database delle password di un sito web perde, quella password può essere utilizzata per accedere ai propri account di posta elettronica . L'autenticazione a due fattori lo fermerebbe subito.
Ciò non significa che dovresti riutilizzare le password. Non riutilizzare le password. Dovresti usa un buon gestore di password per tenere traccia di password complesse e univoche.
Perché le persone dicono che l'autenticazione tramite SMS è dannosa?
L'autenticazione a due fattori basata su SMS non è considerata l'ideale perché qualcuno potrebbe rubare il tuo numero di telefono o intercettare i tuoi messaggi di testo. Per esempio:
- Un utente malintenzionato potrebbe impersonarti e spostare il tuo numero di telefono su un nuovo telefono in un file numero di telefono porting truffa . Questo è l'attacco più probabile.
- Un utente malintenzionato potrebbe intercettare i messaggi SMS destinati a te. Ad esempio, potrebbero falsificare un ripetitore cellulare vicino a te o un governo potrebbe utilizzare il suo accesso alla rete cellulare per inoltrare messaggi.
Ecco perché gli esperti consigliano di utilizzare un altro metodo a due fattori, uno che non può essere facilmente abusato dagli stati nazionali e non è vulnerabile se il tuo gestore di telefonia mobile fornisce il tuo numero di telefono a qualcun altro. Se ricevi il codice da un'app sul telefono o da un token di sicurezza fisico che colleghi, i tuoi due fattori non sono vulnerabili a problemi con la rete telefonica. L'aggressore avrebbe bisogno del tuo telefono sbloccato o della chiave di sicurezza fisica a cui devi accedere.
Certo, in un mondo perfetto, gli SMS non sono la soluzione ideale. Abbiamo spiegato perché agli esperti di sicurezza non piace l'autenticazione in due passaggi basata su SMS . Ma, anche quando abbiamo esposto quel caso, abbiamo cercato di chiarire una cosa: l'autenticazione a due fattori basata su SMS è molto, molto meglio di niente.
RELAZIONATO: Perché non dovresti usare gli SMS per l'autenticazione a due fattori (e cosa usare invece)
Alcune persone hanno bisogno di più sicurezza rispetto a quella fornita dagli SMS
La persona media per ora sta bene con l'autenticazione basata su SMS. L'autenticazione basata su SMS fa sì che gli aggressori affrontino molti problemi extra per accedere al tuo account e probabilmente non ne valga la pena quando ci sono altri bersagli più facili e succosi là fuori. La maggior parte delle persone non utilizza nemmeno l'autenticazione tramite SMS e il Web sarebbe un luogo molto più sicuro se lo facessero tutti.
Le persone che potrebbero essere prese di mira da aggressori sofisticati dovrebbero evitare l'autenticazione basata su SMS. Ad esempio, se sei un politico, giornalista, celebrità o imprenditore, potresti essere preso di mira. Se sei una persona con accesso a dati aziendali sensibili, un amministratore di sistema con accesso completo a sistemi sensibili o semplicemente qualcuno con molti soldi in banca, gli SMS potrebbero essere troppo rischiosi.
Ma, se sei la persona media con un account Gmail o Facebook e nessuno ha motivo di spendere un sacco di tempo per accedere ai tuoi account, l'autenticazione tramite SMS va bene e dovresti assolutamente abilitarla piuttosto che non usare nulla.
Sei sicuro solo come il collegamento più debole
Ecco un'altra sfortunata verità che tutti sembrano sorvolare: anche se eviti l'autenticazione a due fattori basata su SMS per un account, gli SMS sono probabilmente disponibili come metodo di riserva. Ad esempio, anche se generi codici con un'app per accedere al tuo account Google, puoi farlo recuperare il tuo account utilizzando il tuo numero di telefono. Questo è per proteggerti se mai perdere l'accesso al tuo telefono a due fattori o token.
In altre parole, molti servizi, probabilmente anche la maggior parte, ti consentono di accedere al tuo account con il tuo numero di telefono, anche se la maggior parte delle volte utilizzi un codice generato dall'app o una chiave di sicurezza fisica. Sei sicuro solo quanto l'anello più debole del sistema. Prova a controllare gli altri modi in cui puoi accedere se non hai il tuo metodo normale.
Ecco perché, per bloccare davvero un account Google, non è sufficiente evitare l'autenticazione in due passaggi basata su SMS. Devi anche iscriverti a Programma di protezione avanzata di Google , che Google pubblicizza per "giornalisti, attivisti, leader aziendali e team di campagne politiche". Questo programma gratuito richiede l'utilizzo di una chiave di sicurezza fisica per accedere, ma richiede anche molte più informazioni per recuperare il tuo account.
Si prega di utilizzare SMS se non si utilizza 2FA in questo momento
Non vogliamo cullarti in un falso senso di sicurezza: se sei qualcuno che potrebbe essere preso di mira da governi stranieri, spie aziendali o criminali organizzati, dovresti assolutamente evitare l'autenticazione a due fattori basata su SMS e bloccare il tuo account con qualcosa di più sicuro.
Ma se sei la persona media che non ha ancora abilitato l'autenticazione a due fattori, non lasciarti scoraggiare: due fattori basati su SMS ti renderanno molto più sicuro di nessun fattore a due fattori. È una base importante per la sicurezza.
Tutti dovrebbero utilizzare la verifica tramite SMS a meno che non stiano utilizzando qualcosa di meglio.
Credito immagine: bluestok /Shutterstock.com.
