完璧なセキュリティを求めて、完璧は善の敵です。人々はSMSベースを批判しています 二要素認証 きっかけに Redditハック 、ただし、SMSベースの2要素を使用する方が、2要素認証をまったく使用しないよりもはるかに優れています。
Gmailユーザーの90%以上が2要素認証を使用していません
SMS検証が十分ではないことについて話すセキュリティ専門家は、自分たちよりもはるかに進んでいます。によると、Gmailユーザーの90%以上が、2要素認証をまったく使用していません。 プレゼンテーション GoogleのエンジニアであるGrzegorzMilkaがUSENIXEnigma 2018で発表しました。オンラインで身を守るためにほとんどの人ができる一番のことは、重要なアカウントに対してあらゆる種類の2要素認証を有効にすることです。
このように考えてください。家を守るために玄関のドアに鍵をかけたいとしましょう。セキュリティの専門家は、利用可能な最良のタイプのロックは、安価なロックよりもはるかに優れていると主張しています。確かに、理にかなっています。しかし、そのより高価なロックを利用できない場合でも、ロックをまったく持たないよりも安価なロックを使用する方が良いのではないでしょうか。
はい、アプリベースの2要素認証はSMSベースの認証よりも優れています。ただし、SMSがすべてのサービス提供である場合は、SMSをまったく使用しないよりも優れています。
SMSベースの2要素にはいくつかの弱点がありますが、それは要点を欠いています。攻撃者は、SMS検証をバイパスするために時間を費やす必要があります。そして、ほとんどのターゲットはおそらくそれほど努力する価値がありません。
2要素認証が必要な理由
二要素認証は、アカウントにアクセスするために、知っているもの(パスワード)と持っているもの(モバイルデバイスからの追加のセキュリティコードまたは物理トークン)の2つが必要なために名前が付けられています。
SMSベースの2要素認証を有効にすると、新しいデバイスからサインインするたびに、サービスは携帯電話番号にワンタイムコードを含むテキストメッセージを送信します。そのため、誰かがそのアカウントのユーザー名とパスワードを持っていても、テキストメッセージにアクセスせずにアカウントにサインインすることはできません。
他にもあります 二要素メソッドの種類 を含む お使いの携帯電話上のアプリ 一時的なセキュリティコードを生成し、 物理的なセキュリティキー コンピュータに接続する必要があります。
どのタイプの2要素認証でも、電子メール、ソーシャルメディア、銀行口座などの重要なアカウントに膨大な量の保護を提供します。これは、パスワードを再利用する場合に特に当てはまります。多くの人が複数のWebサイトでパスワードを再利用しており、1つのWebサイトのパスワードデータベースが漏洩すると、 そのパスワードを使用して、電子メールアカウントにサインインできます 。二要素認証は、その軌道上でこの権利を停止します。
これは、パスワードを再利用する必要があるという意味ではありません。パスワードを再利用しないでください。あなたがすべき 優れたパスワードマネージャーを使用する 強力で一意のパスワードを追跡します。
なぜ人々はSMS認証が悪いと言うのですか?
SMSベースの二要素認証は、誰かがあなたの電話番号を盗んだり、テキストメッセージを傍受したりする可能性があるため、理想的とは見なされていません。例えば:
- 攻撃者があなたになりすまして、あなたの電話番号を新しい電話に移動する可能性があります 電話番号移植詐欺 。これが最も可能性の高い攻撃です。
- 攻撃者は、あなた宛のSMSメッセージを傍受する可能性があります。たとえば、近くのセルタワーを偽装したり、政府がセルラーネットワークへのアクセスを使用してメッセージを転送したりする可能性があります。
そのため、専門家は別の2要素認証方式を使用することを推奨しています。この方式は、国民国家によって簡単に悪用されることはなく、携帯電話会社があなたの電話番号を他の人に教えても脆弱ではありません。スマートフォンのアプリまたはプラグインした物理的なセキュリティキーからコードを取得する場合、2要素認証はスマートフォンネットワークの問題に対して脆弱ではありません。攻撃者は、ロック解除された電話またはサインインする必要のある物理的なセキュリティキーを必要とします。
確かに、完璧な世界では、SMSは理想的なソリューションではありません。説明しました セキュリティの専門家がSMSベースの2段階認証を好まない理由 。しかし、そのケースを提示した場合でも、1つのことを明確にしようとしました。SMSベースの2要素認証は、何もないよりもはるかに優れているということです。
関連: 二要素認証にSMSを使用すべきでない理由(および代わりに使用するもの)
SMSが提供する以上のセキュリティが必要な人もいます
今のところ、平均的な人はSMSベースの認証で大丈夫です。 SMSベースの認証により、攻撃者はアカウントに侵入するために多くの余分な問題を経験します。他に簡単でジューシーなターゲットが存在する場合、おそらく問題の価値はありません。ほとんどの人はSMS認証さえ使用していません。誰もが使用した場合、Webははるかに安全な場所になります。
高度な攻撃者の標的になる可能性が高い人は、SMSベースの認証を避ける必要があります。たとえば、あなたが政治家、ジャーナリスト、有名人、またはビジネスリーダーである場合、あなたは標的にされる可能性があります。企業の機密データにアクセスできる人、機密システムに深くアクセスできるシステム管理者、または銀行に多額のお金を持っている人の場合、SMSはリスクが高すぎる可能性があります。
ただし、GmailまたはFacebookアカウントを持っている平均的な人で、アカウントにアクセスするために多くの時間を費やす理由がない場合は、SMS認証で問題ありません。何も使用しないのではなく、絶対に有効にする必要があります。
あなたは最も弱いリンクと同じくらい安全です
アカウントに対してSMSベースの2要素認証を回避したとしても、フォールバック方法としてSMSを利用できる可能性があります。たとえば、アプリでコードを生成してGoogleアカウントにログインする場合でも、次のことができます。 アカウントを回復する あなたの電話番号を使用します。これはあなたが今までにあなたを保護するためです 二要素電話にアクセスできなくなります またはトークン。
つまり、アプリで生成されたコードや物理的なセキュリティキーをほとんど使用している場合でも、多くのサービス(おそらくほとんどのサービス)では、電話番号を使用してアカウントにアクセスできます。あなたはシステムの最も弱いリンクと同じくらい安全です。通常の方法がない場合は、他の方法でログインできるかどうかを確認してください。
そのため、Googleアカウントを実際にロックダウンするには、SMSベースの2段階認証を回避する必要はありません。また、登録する必要があります Googleの高度な保護プログラム 、これはGoogleが「ジャーナリスト、活動家、ビジネスリーダー、政治運動チーム」を宣伝しています。この無料のプログラムでは、物理的なセキュリティキーを使用してサインインする必要がありますが、アカウントを回復するにはさらに多くの情報が必要です。
現在2FAを使用していない場合は、SMSを使用してください
私たちはあなたを誤った安心感に陥らせたくありません:あなたが外国政府、企業スパイ、または組織犯罪者の標的になる可能性が高い人なら、SMSベースの2要素認証を絶対に避けてあなたのより安全なものを持つアカウント。
ただし、2要素認証をまだ有効にしていない平均的な人であれば、思いとどまらないでください。SMSベースの2要素を使用すると、2要素をまったく使用しないよりもはるかに安全になります。これはセキュリティの重要なベースラインです。
より良いものを使用していない限り、誰もがSMS検証を使用する必要があります。
画像クレジット: bluestok /しゅってrsとck。こm。
