W dążeniu do doskonałego bezpieczeństwa, idealne jest wrogiem dobra. Ludzie krytykują SMS-y uwierzytelnianie dwuskładnikowe w następstwie włamanie do Reddita , ale korzystanie z dwuskładnikowego uwierzytelniania opartego na wiadomościach SMS jest nadal znacznie lepsze niż w ogóle nieużywanie uwierzytelniania dwuskładnikowego.
Ponad 90% użytkowników Gmaila nie korzysta z uwierzytelniania dwuskładnikowego
Specjaliści od bezpieczeństwa, którzy mówią, że weryfikacja SMS nie jest wystarczająco dobra, za bardzo wyprzedzają samych siebie. Ponad 90% użytkowników Gmaila w ogóle nie używa uwierzytelniania dwuskładnikowego, zgodnie z prezentacja Inżynier Google, Grzegorz Milka, powiedział podczas USENIX Enigma 2018. Najważniejszą rzeczą, jaką większość ludzi może zrobić, aby chronić się w Internecie, jest włączenie dowolnego typu uwierzytelniania dwuskładnikowego dla swoich ważnych kont.
Pomyśl o tym w ten sposób. Powiedzmy, że chcesz założyć zamek na drzwiach wejściowych, aby chronić swój dom. Specjaliści od bezpieczeństwa spierają się, że najlepszy dostępny typ zamka jest o wiele lepszy niż tańsze zamki. Jasne, ma sens. Ale jeśli ten droższy zamek nie jest dla Ciebie dostępny, czy posiadanie tańszego zamka nie jest lepsze niż jego całkowity brak?
Tak, uwierzytelnianie dwuskładnikowe oparte na aplikacji jest lepsze niż uwierzytelnianie oparte na wiadomościach SMS. Ale jeśli SMS-y to wszystko, co oferuje usługa, nadal lepiej jest nie używać go wcale.
Dwa czynniki oparte na SMS-ach mają kilka słabych stron, ale nie o to chodzi. Atakujący będzie musiał poświęcić czas na ominięcie Twojej weryfikacji SMS-em. A większość celów prawdopodobnie nie jest warta tak dużego wysiłku.
Dlaczego potrzebujesz uwierzytelniania dwuskładnikowego
Uwierzytelnianie dwuskładnikowe nazywa się tak, ponieważ wymaga dwóch rzeczy, aby dostać się na konto: coś, co znasz (hasło) i coś, co masz (dodatkowy kod bezpieczeństwa z urządzenia mobilnego lub fizyczny token).
Po włączeniu uwierzytelniania dwuskładnikowego opartego na wiadomościach SMS usługa wyśle na Twój numer telefonu komórkowego wiadomość tekstową zawierającą kod jednorazowy za każdym razem, gdy zalogujesz się z nowego urządzenia. Dlatego nawet jeśli ktoś ma Twoją nazwę użytkownika i hasło do tego konta, nie będzie mógł zalogować się na Twoje konto bez dostępu do Twoich wiadomości tekstowych.
Są też inne rodzaje metod dwuskładnikowych , włącznie z aplikacje w telefonie które generują tymczasowe kody bezpieczeństwa i fizyczne klucze bezpieczeństwa musisz podłączyć do komputera.
Każdy rodzaj uwierzytelniania dwuskładnikowego zapewnia ogromną ochronę ważnych kont, takich jak poczta e-mail, media społecznościowe i konta bankowe. Jest to szczególnie ważne, jeśli ponownie używasz haseł. Wiele osób ponownie używa haseł w wielu witrynach internetowych, a gdy baza danych haseł jednej witryny wycieka, to hasło może być używane do logowania się na ich konta e-mail . Uwierzytelnianie dwuskładnikowe powstrzymałoby to od razu.
Nie oznacza to, że powinieneś ponownie używać haseł. Nie powinieneś ponownie używać haseł. Powinieneś użyj dobrego menedżera haseł aby śledzić silne, unikalne hasła.
Dlaczego ludzie mówią, że uwierzytelnianie przez SMS jest złe?
Uwierzytelnianie dwuskładnikowe oparte na SMS-ach nie jest uważane za idealne, ponieważ ktoś może ukraść Twój numer telefonu lub przechwycić Twoje wiadomości tekstowe. Na przykład:
- Osoba atakująca może podszywać się pod Ciebie i przenieść Twój numer telefonu do nowego telefonu w domenie oszustwo związane z przenoszeniem numeru telefonu . To najbardziej prawdopodobny atak.
- Osoba atakująca może przechwycić wiadomości SMS przeznaczone dla Ciebie. Na przykład mogą sfałszować wieżę komórkową w pobliżu lub rząd mógłby wykorzystać swój dostęp do sieci komórkowej do przekazywania wiadomości.
Dlatego eksperci zalecają skorzystanie z innej metody dwuskładnikowej, takiej, która nie może być tak łatwo nadużywana przez państwa narodowe i nie jest podatna na zagrożenia, jeśli Twój operator komórkowy przekaże Twój numer telefonu komuś innemu. Jeśli otrzymasz kod z aplikacji na telefonie lub fizyczny klucz bezpieczeństwa, który podłączysz, Twój dwuskładnikowy czynnik nie jest podatny na problemy z siecią telefoniczną. Osoba atakująca będzie potrzebować odblokowanego telefonu lub fizycznego klucza bezpieczeństwa, na który musisz się zalogować.
Jasne, w idealnym świecie SMS-y nie są idealnym rozwiązaniem. Wyjaśniliśmy dlaczego eksperci ds. bezpieczeństwa nie lubią uwierzytelniania dwuetapowego opartego na wiadomościach SMS . Ale nawet kiedy przedstawiliśmy ten przypadek, staraliśmy się wyjaśnić jedną rzecz: uwierzytelnianie dwuskładnikowe oparte na SMS-ach jest o wiele lepsze niż nic.
Niektórzy ludzie potrzebują większego bezpieczeństwa niż zapewnia SMS
Przeciętna osoba jest na razie w porządku z uwierzytelnianiem opartym na SMS-ach. Uwierzytelnianie za pomocą wiadomości SMS sprawia, że napastnicy napotykają dodatkowe problemy, aby dostać się na Twoje konto, a Ty prawdopodobnie nie jesteś wart ich kłopotów, gdy istnieją inne łatwiejsze i bardziej soczyste cele. Większość ludzi nawet nie używa uwierzytelniania za pomocą SMS-ów, a internet byłby znacznie bezpieczniejszym miejscem, gdyby wszyscy to robili.
Osoby, które mogą stać się celem wyrafinowanych napastników, powinny unikać uwierzytelniania za pomocą wiadomości SMS. Na przykład, jeśli jesteś politykiem, dziennikarzem, celebrytą lub liderem biznesowym, możesz stać się celem. Jeśli jesteś osobą z dostępem do poufnych danych firmowych, administratorem systemu z głębokim dostępem do poufnych systemów lub po prostu osobą, która ma dużo pieniędzy w banku, SMS-y mogą być zbyt ryzykowne.
Ale jeśli jesteś przeciętną osobą z kontem Gmail lub Facebook i nikt nie ma powodu, aby spędzać dużo czasu na uzyskiwaniu dostępu do swoich kont, uwierzytelnianie SMS-em jest w porządku i zdecydowanie powinieneś je włączyć, zamiast niczego używać.
Jesteś tak bezpieczny, jak najsłabsze łącze
Oto kolejna niefortunna prawda, którą wszyscy zdają się pomijać: nawet jeśli unikasz uwierzytelniania konta w oparciu o SMS-y dwuskładnikowe, SMS jest prawdopodobnie dostępny jako metoda zastępcza. Na przykład, nawet jeśli generujesz kody za pomocą aplikacji do logowania się na konto Google, możesz to zrobić odzyskaj swoje konto używając swojego numeru telefonu. To ma cię chronić, jeśli kiedykolwiek będziesz utracić dostęp do swojego telefonu dwuskładnikowego lub token.
Innymi słowy, wiele - prawdopodobnie nawet większość - usług umożliwia dostęp do konta przy użyciu numeru telefonu, nawet jeśli przez większość czasu używasz kodu wygenerowanego przez aplikację lub fizycznego klucza bezpieczeństwa. Jesteś tak bezpieczny, jak najsłabsze ogniwo w systemie. Spróbuj sprawdzić inne sposoby logowania się, jeśli nie masz swojej zwykłej metody.
Dlatego, aby naprawdę zablokować konto Google, nie musisz tylko unikać dwuetapowego uwierzytelniania za pomocą wiadomości SMS. Musisz się również zarejestrować Program Ochrony zaawansowanej Google , czyli Google reklamuje „dziennikarzy, aktywistów, liderów biznesu i zespoły ds. kampanii politycznych”. Ten darmowy program wymaga użycia fizycznego klucza bezpieczeństwa do zalogowania się, ale wymaga również znacznie więcej informacji w celu odzyskania konta.
Użyj wiadomości SMS, jeśli nie korzystasz teraz z 2FA
Nie chcemy usypiać Cię fałszywym poczuciem bezpieczeństwa: jeśli jesteś kimś, kto może być celem obcych rządów, szpiegów korporacyjnych lub zorganizowanych przestępców, zdecydowanie powinieneś unikać uwierzytelniania dwuskładnikowego opartego na SMS-ach i zablokować konta z czymś bezpieczniejszym.
Ale jeśli jesteś przeciętną osobą, która nie włączyła jeszcze uwierzytelniania dwuskładnikowego, nie zniechęcaj się: dwuskładnikowy oparty na SMS-ach sprawi, że będziesz o wiele bezpieczniejszy niż żadne dwuskładnikowe. To ważna podstawa bezpieczeństwa.
Każdy powinien skorzystać z weryfikacji SMS-em, chyba że używa czegoś lepszego.
Źródło zdjęcia: bluestok /Shutterstock.com.
