In een zoektocht naar perfecte veiligheid is het perfecte de vijand van het goede. Mensen bekritiseren sms-gebaseerd tweefactorauthenticatie in de nasleep van de Reddit-hack , maar het gebruik van op sms gebaseerde tweestapsverificatie is nog steeds veel beter dan helemaal geen tweefactorauthenticatie.
Meer dan 90% van de Gmail-gebruikers gebruikt geen tweefactorauthenticatie
Beveiligingsprofessionals die zeggen dat sms-verificatie niet goed genoeg is, lopen te ver voor op zichzelf. Volgens een. Meer dan 90% van de Gmail-gebruikers gebruikt helemaal geen tweefactorauthenticatie presentatie Google-ingenieur Grzegorz Milka gaf op USENIX Enigma 2018. Het belangrijkste dat de meeste mensen kunnen doen om zichzelf online te beschermen, is elk type tweefactorauthenticatie inschakelen voor hun belangrijke accounts.
Denk er zo over na. Stel dat u uw voordeur op slot wilt doen om uw huis te beschermen. Beveiligingsprofessionals argumenteren dat het beste beschikbare type slot veel beter is dan goedkopere sloten. Zeker, het is logisch. Maar als u niet over dat duurdere slot beschikt, is een goedkoper slot dan niet nog beter dan helemaal geen slot?
Ja, app-gebaseerde tweefactorauthenticatie is beter dan sms-gebaseerde authenticatie. Maar als sms allemaal een dienst is, is het nog steeds beter dan het helemaal niet te gebruiken.
Op sms gebaseerde twee factoren hebben enkele zwakke punten, maar dat mist het punt. Een aanvaller zal tijd moeten besteden aan het omzeilen van uw sms-verificatie. En de meeste doelen zijn waarschijnlijk niet zoveel moeite waard.
Waarom u twee-factorenauthenticatie nodig hebt
Tweefactorauthenticatie wordt zo genoemd omdat het vereist dat u twee dingen heeft om toegang te krijgen tot uw account: iets dat u weet (uw wachtwoord) en iets dat u heeft (een extra beveiligingscode van uw mobiele apparaat of een fysiek token).
Wanneer u op sms gebaseerde tweefactorauthenticatie inschakelt, stuurt de service uw mobiele telefoonnummer een sms-bericht met een eenmalige code wanneer u zich aanmeldt vanaf een nieuw apparaat. Dus zelfs als iemand uw gebruikersnaam en wachtwoord voor dat account heeft, kan hij / zij niet inloggen op uw account zonder toegang tot uw sms-berichten.
Er zijn ook andere soorten tweefactormethoden , inclusief apps op je telefoon die tijdelijke beveiligingscodes genereren en fysieke beveiligingssleutels je moet op je computer aansluiten.
Elk type tweefactorauthenticatie biedt een enorme hoeveelheid bescherming voor belangrijke accounts zoals uw e-mail, sociale media en bankrekeningen. Dit geldt vooral als u wachtwoorden hergebruikt. Veel mensen hergebruiken wachtwoorden op meerdere websites en, wanneer de wachtwoorddatabase van één website lekt, dat wachtwoord kan worden gebruikt om in te loggen op hun e-mailaccounts . Tweefactorauthenticatie zou dit meteen stoppen.
Dat betekent niet dat u wachtwoorden opnieuw moet gebruiken. U dient wachtwoorden niet opnieuw te gebruiken. Je zou moeten gebruik een goede wachtwoordbeheerder om sterke, unieke wachtwoorden bij te houden.
Waarom zeggen mensen dat sms-authenticatie slecht is?
Sms-gebaseerde tweefactorauthenticatie wordt niet als ideaal beschouwd, omdat iemand uw telefoonnummer kan stelen of uw sms-berichten kan onderscheppen. Bijvoorbeeld:
- Een aanvaller kan zich voordoen als u en uw telefoonnummer verplaatsen naar een nieuwe telefoon in een telefoonnummer porting scam . Dit is de meest waarschijnlijke aanval.
- Een aanvaller kan voor jou bestemde sms-berichten onderscheppen. Ze kunnen bijvoorbeeld een zendmast bij u in de buurt vervalsen, of een overheid kan haar toegang tot het mobiele netwerk gebruiken om berichten door te sturen.
Daarom raden experts aan om een andere tweefactormethode te gebruiken, een methode die niet zo gemakkelijk kan worden misbruikt door nationale staten en die niet kwetsbaar is als uw mobiele provider uw telefoonnummer aan iemand anders geeft. Als u uw code ontvangt van een app op uw telefoon of een fysieke beveiligingssleutel die u aansluit, is uw twee-factor niet kwetsbaar voor problemen met het telefoonnetwerk. De aanvaller heeft uw ontgrendelde telefoon nodig of de fysieke beveiligingssleutel waarmee u zich moet aanmelden.
Zeker, in een perfecte wereld is sms niet de ideale oplossing. We hebben het uitgelegd waarom beveiligingsexperts niet houden van op sms gebaseerde authenticatie in twee stappen . Maar zelfs toen we die zaak uiteenzetten, probeerden we één ding duidelijk te maken: sms-gebaseerde tweefactorauthenticatie is veel, veel beter dan niets.
Sommige mensen hebben meer beveiliging nodig dan sms biedt
De gemiddelde persoon is voorlopig prima in orde met op sms gebaseerde authenticatie. Verificatie op basis van sms zorgt ervoor dat aanvallers veel extra moeite moeten doen om toegang te krijgen tot uw account, en u bent hun moeite waarschijnlijk niet waard als er andere, gemakkelijkere en sappiger doelen zijn. De meeste mensen gebruiken zelfs geen sms-authenticatie, en het internet zou een veel veiliger plek zijn als iedereen dat zou doen.
Mensen die waarschijnlijk het doelwit zijn van geavanceerde aanvallers, moeten sms-gebaseerde authenticatie vermijden. Als u bijvoorbeeld een politicus, journalist, beroemdheid of bedrijfsleider bent, kunt u het doelwit zijn. Als u een persoon bent met toegang tot gevoelige bedrijfsgegevens, een systeembeheerder met diepe toegang tot gevoelige systemen, of gewoon iemand met veel geld op de bank, kan sms te riskant zijn.
Maar als u de gemiddelde persoon bent met een Gmail- of Facebook-account en niemand heeft een reden om veel tijd te besteden aan het verkrijgen van toegang tot uw accounts, is sms-authenticatie prima en moet u dit absoluut inschakelen in plaats van helemaal niets te gebruiken.
U bent zo veilig als de zwakste schakel
Hier is nog een ongelukkige waarheid die iedereen lijkt te verdoezelen: zelfs als u sms-gebaseerde tweefactorauthenticatie voor een account vermijdt, is sms waarschijnlijk beschikbaar als een reservemethode. Zelfs als u bijvoorbeeld codes genereert met een app om in te loggen op uw Google-account, is dat mogelijk herstel uw account met uw telefoonnummer. Dit is om u te beschermen als u dat ooit doet de toegang tot uw tweefactortelefoon verliezen of token.
Met andere woorden, bij veel - waarschijnlijk zelfs de meeste - services kunt u met uw telefoonnummer in uw account komen, zelfs als u meestal een door een app gegenereerde code of een fysieke beveiligingssleutel gebruikt. U bent zo veilig als de zwakste schakel in het systeem. Controleer de andere manieren waarop u kunt inloggen als u niet over uw normale methode beschikt.
Daarom hoeft u, om een Google-account echt te vergrendelen, niet alleen sms-gebaseerde authenticatie in twee stappen te vermijden. Je moet je ook inschrijven Google's programma voor geavanceerde beveiliging , dat is Google, adverteert voor 'journalisten, activisten, bedrijfsleiders en politieke campagneteams'. Dit gratis programma vereist dat u een fysieke beveiligingssleutel gebruikt om in te loggen, maar het vereist ook veel meer informatie om uw account te herstellen.
Gebruik sms als u 2FA momenteel niet gebruikt
We willen u niet in een vals gevoel van veiligheid brengen: als u waarschijnlijk het doelwit bent van buitenlandse regeringen, bedrijfsspionnen of georganiseerde criminelen, moet u absoluut sms-gebaseerde tweefactorauthenticatie vermijden en uw accounts met iets veiliger.
Maar als u de gemiddelde persoon bent die nog geen tweefactorauthenticatie heeft ingeschakeld, laat u dan niet ontmoedigen: sms-gebaseerde twee factoren zullen u veel veiliger maken dan helemaal geen tweefactorauthenticatie. Het is een belangrijke basis voor beveiliging.
Iedereen zou sms-verificatie moeten gebruiken, tenzij ze iets beters gebruiken.
Afbeelding tegoed: bluestok /Shutterstock.com.
