완벽한 보안을 추구하는 과정에서 완벽한 것은 선의 적입니다. 사람들은 SMS 기반을 비판하고 있습니다. 2 단계 인증 이후 레딧 해킹 하지만 SMS 기반의 2 단계 인증을 사용하는 것이 2 단계 인증을 전혀 사용하지 않는 것보다 훨씬 낫습니다.
90 % 이상의 Gmail 사용자가 2 단계 인증을 사용하지 않습니다.
SMS 확인이 충분하지 않다고 말하는 보안 전문가는 너무 앞서 가고 있습니다. Gmail 사용자의 90 % 이상이 2 단계 인증을 전혀 사용하지 않습니다. 표시 Google 엔지니어 Grzegorz Milka는 USENIX Enigma 2018에서 발표했습니다. 대부분의 사람들이 온라인에서 자신을 보호하기 위해 할 수있는 가장 큰 일은 중요한 계정에 대해 모든 유형의 이중 인증을 활성화하는 것입니다.
이렇게 생각해보세요. 집을 보호하기 위해 현관 문에 자물쇠를두고 싶다고 가정 해 보겠습니다. 보안 전문가들은 사용 가능한 최상의 잠금 유형이 저렴한 잠금 장치보다 훨씬 낫다고 주장합니다. 물론입니다. 그러나 더 비싼 자물쇠를 사용할 수 없다면 자물쇠가 전혀없는 것보다 더 저렴한 자물쇠가 여전히 낫지 않습니까?
예, 앱 기반 2 단계 인증이 SMS 기반 인증보다 낫습니다. 하지만 SMS가 모든 서비스 제공이라면 아예 사용하지 않는 것보다 낫습니다.
SMS 기반의 두 가지 요소에는 몇 가지 약점이 있지만 요점을 놓치고 있습니다. 공격자는 SMS 확인을 우회하는 데 시간을 소비해야합니다. 그리고 대부분의 목표는 그다지 노력할 가치가 없을 것입니다.
2 단계 인증이 필요한 이유
2 단계 인증은 계정에 들어가려면 두 가지가 필요하기 때문에 명명됩니다. 알고있는 것 (암호)과 가지고있는 것 (모바일 장치의 추가 보안 코드 또는 물리적 토큰)입니다.
SMS 기반 2 단계 인증을 활성화하면 서비스는 새 장치에서 로그인 할 때마다 일회성 코드가 포함 된 문자 메시지를 휴대폰 번호로 보냅니다. 따라서 누군가 해당 계정의 사용자 이름과 비밀번호를 알고 있어도 문자 메시지에 액세스하지 않고는 계정에 로그인 할 수 없습니다.
다른 것도 있습니다 이중 요인 방법의 유형 , 포함 휴대 전화의 앱 임시 보안 코드를 생성하고 물리적 보안 키 컴퓨터에 연결해야합니다.
모든 유형의 이중 인증은 이메일, 소셜 미디어 및 은행 계좌와 같은 중요한 계정에 대해 엄청난 양의 보호를 제공합니다. 비밀번호를 재사용하는 경우 특히 그렇습니다. 많은 사람들이 여러 웹 사이트에서 비밀번호를 재사용하며 한 웹 사이트의 비밀번호 데이터베이스가 유출되면 해당 비밀번호를 사용하여 이메일 계정에 로그인 할 수 있습니다. . 이중 인증은이 과정에서이 문제를 막을 것입니다.
그렇다고 비밀번호를 재사용해야한다는 의미는 아닙니다. 비밀번호를 재사용해서는 안됩니다. 당신은 좋은 암호 관리자를 사용하십시오 강력하고 고유 한 암호를 추적합니다.
사람들이 SMS 인증이 나쁘다고 말하는 이유는 무엇입니까?
누군가 내 전화 번호를 도용하거나 문자 메시지를 가로 챌 수 있기 때문에 SMS 기반 이중 인증은 이상적인 것으로 간주되지 않습니다. 예를 들면 :
- 공격자는 사용자를 가장하고 전화 번호를 새 전화로 이동할 수 있습니다. 전화 번호 포팅 사기 . 이것이 가장 가능성이 높은 공격입니다.
- 공격자는 사용자를위한 SMS 메시지를 가로 챌 수 있습니다. 예를 들어, 근처에있는 기지국을 스푸핑하거나 정부가 셀룰러 네트워크에 대한 액세스를 사용하여 메시지를 전달할 수 있습니다.
그렇기 때문에 전문가들은 국가에서 쉽게 악용 할 수없고 이동 통신사가 다른 사람에게 전화 번호를 제공해도 취약하지 않은 또 다른 2 단계 방법을 사용하도록 권장합니다. 휴대 전화의 앱이나 연결 한 물리적 보안 키에서 코드를 받으면 이중 요소가 전화 네트워크 문제에 취약하지 않습니다. 공격자는 잠금 해제 된 전화기 또는 로그인해야하는 물리적 보안 키가 필요합니다.
물론 완벽한 세상에서 SMS는 이상적인 솔루션이 아닙니다. 우리는 설명했습니다 보안 전문가가 SMS 기반 2 단계 인증을 좋아하지 않는 이유 . 그러나 우리가 그 사례를 제시했을 때에도 우리는 한 가지 분명한 사실을 밝히려고 노력했습니다. SMS 기반 이중 인증은없는 것보다 훨씬 낫습니다.
관련 : 2 단계 인증에 SMS를 사용하지 말아야하는 이유 (및 대신 사용할 사항)
SMS가 제공하는 것보다 더 많은 보안이 필요한 사람들
보통 사람은 현재 SMS 기반 인증으로 괜찮습니다. SMS 기반 인증을 사용하면 공격자가 귀하의 계정에 접근하기 위해 많은 추가 문제를 겪게되며, 다른 더 쉽고 유쾌한 표적이있을 때 공격 할 가치가 없을 것입니다. 대부분의 사람들은 SMS 인증도 사용하지 않으며 모든 사람이 사용한다면 웹은 훨씬 더 안전한 곳이 될 것입니다.
정교한 공격자의 표적이 될 가능성이있는 사람들은 SMS 기반 인증을 피해야합니다. 예를 들어 정치인, 언론인, 유명 인사 또는 비즈니스 리더 인 경우 타겟팅 할 수 있습니다. 민감한 기업 데이터에 액세스 할 수있는 사람, 민감한 시스템에 대한 깊은 액세스 권한이있는 시스템 관리자 또는 은행에 돈이 많은 사람이라면 SMS가 너무 위험 할 수 있습니다.
그러나 귀하가 Gmail 또는 Facebook 계정을 사용하는 평범한 사람이고 아무도 귀하의 계정에 액세스하는 데 많은 시간을 할애 할 이유가 없다면 SMS 인증은 괜찮습니다. 아무것도 사용하지 않는 것보다 절대적으로 활성화해야합니다.
가장 약한 링크만큼 안전합니다.
다음은 모든 사람이 이해하는 것처럼 보이는 또 다른 불행한 진실입니다. 계정에 대해 SMS 기반 이중 인증을 사용하지 않더라도 SMS는 대체 방법으로 사용할 수 있습니다. 예를 들어 앱으로 코드를 생성하여 Google 계정에 로그인하더라도 계정 복구 전화 번호를 사용하여 이것은 당신이 만약 당신을 보호하기위한 것입니다. 이중 요소 전화에 액세스 할 수 없습니다 또는 토큰.
즉, 대부분의 경우 대부분의 서비스를 사용하면 대부분의 경우 앱에서 생성 한 코드 나 물리적 보안 키를 사용하더라도 전화 번호로 계정에 액세스 할 수 있습니다. 시스템에서 가장 취약한 링크만큼만 안전합니다. 일반적인 방법이없는 경우 로그인 할 수있는 다른 방법을 확인해보세요.
그렇기 때문에 실제로 Google 계정을 잠그기 위해 SMS 기반 2 단계 인증을 피할 필요가 없습니다. 또한 등록해야합니다. Google의 고급 보호 프로그램 , Google은 '언론가, 활동가, 비즈니스 리더 및 정치 캠페인 팀'을 위해 광고합니다. 이 무료 프로그램을 사용하려면 물리적 보안 키를 사용하여 로그인해야하지만 계정을 복구하려면 훨씬 더 많은 정보가 필요합니다.
지금 2FA를 사용하지 않는 경우 SMS를 사용하십시오.
우리는 보안에 대한 잘못된 인식에 빠져들고 싶지 않습니다. 외국 정부, 기업 스파이 또는 조직 된 범죄자의 표적이 될 가능성이있는 사람이라면 SMS 기반 이중 인증을 피하고 더 안전한 것을 가진 계정.
그러나 아직 2 단계 인증을 사용 설정하지 않은 일반 사용자라면 당황하지 마십시오. SMS 기반 2 단계는 2 단계 인증이 전혀없는 것보다 훨씬 더 안전합니다. 이는 보안을위한 중요한 기준입니다.
더 나은 것을 사용하지 않는 한 모든 사람은 SMS 인증을 사용해야합니다.
이미지 크레딧 : Bluestok /Shutterstock.com.
