Na busca pela segurança perfeita, o perfeito é inimigo do bom. As pessoas estão criticando os SMS autenticação de dois fatores no despertar do o hack do Reddit , mas usar dois fatores com base em SMS ainda é muito melhor do que não usar a autenticação de dois fatores.
Mais de 90% dos usuários do Gmail não usam a autenticação de dois fatores
Os profissionais de segurança que falam que a verificação de SMS não é boa o suficiente estão se adiantando demais. Mais de 90% dos usuários do Gmail não usam autenticação de dois fatores, de acordo com um apresentação O engenheiro do Google Grzegorz Milka deu no USENIX Enigma 2018. A primeira coisa que a maioria das pessoas pode fazer para se proteger online é habilitar qualquer tipo de autenticação de dois fatores para suas contas importantes.
Pense assim. Digamos que você queira colocar uma fechadura na porta da frente para proteger sua casa. Os profissionais de segurança argumentam que o melhor tipo de bloqueio disponível é muito melhor do que os mais baratos. Claro, faz sentido. Mas se essa fechadura mais cara não estiver disponível para você, ter uma fechadura mais barata ainda é melhor do que não ter fechadura?
Sim, a autenticação de dois fatores baseada em aplicativo é melhor do que a autenticação baseada em SMS. Mas, se o SMS é tudo o que um serviço oferece, ainda é melhor do que não usá-lo.
Dois fatores baseados em SMS têm alguns pontos fracos, mas isso está perdendo o ponto. Um invasor terá que gastar tempo ignorando sua verificação de SMS. E a maioria dos alvos provavelmente não vale tanto esforço.
Por que você precisa da autenticação de dois fatores
A autenticação de dois fatores é chamada assim porque requer que você tenha duas coisas para entrar em sua conta: algo que você conhece (sua senha) e algo que você possui (um código de segurança adicional de seu dispositivo móvel ou um token físico).
Quando você ativa a autenticação de dois fatores baseada em SMS, o serviço enviará ao seu número de telefone celular uma mensagem de texto contendo um código único sempre que você entrar em um novo dispositivo. Portanto, mesmo que alguém tenha seu nome de usuário e senha para essa conta, essa pessoa não poderá fazer login em sua conta sem acessar suas mensagens de texto.
Existem também outros tipos de métodos de dois fatores , Incluindo aplicativos no seu telefone que geram códigos de segurança temporários e chaves de segurança física você tem que conectar em seu computador.
Qualquer tipo de autenticação de dois fatores fornece uma grande proteção para contas importantes, como e-mail, mídia social e contas bancárias. Isso é especialmente verdadeiro se você reutilizar senhas. Muitas pessoas reutilizam senhas em vários sites e, quando o banco de dados de senha de um site vaza, essa senha pode ser usada para acessar suas contas de e-mail . A autenticação de dois fatores impediria isso de imediato.
Isso não significa que você deve reutilizar senhas. Você não deve reutilizar senhas. Você deve use um bom gerenciador de senhas para manter o controle de senhas fortes e exclusivas.
Por que as pessoas dizem que a autenticação SMS é ruim?
A autenticação de dois fatores baseada em SMS não é considerada ideal porque alguém pode roubar seu número de telefone ou interceptar suas mensagens de texto. Por exemplo:
- Um invasor pode se passar por você e mover seu número de telefone para um novo telefone em um golpe de portabilidade de número de telefone . Este é o ataque mais provável.
- Um invasor pode interceptar mensagens SMS destinadas a você. Por exemplo, eles podem falsificar uma torre de celular perto de você ou um governo pode usar seu acesso à rede de celular para encaminhar mensagens.
É por isso que os especialistas recomendam usar outro método de dois fatores, um que não pode ser tão facilmente abusado por países e não é vulnerável se sua operadora de celular fornecer seu número de telefone para outra pessoa. Se você obtiver o código de um aplicativo em seu telefone ou uma chave de segurança física que você conecta, seu fator duplo não é vulnerável a problemas com a rede telefônica. O invasor precisará do seu telefone desbloqueado ou da chave de segurança física que você tem para fazer login.
Claro, em um mundo perfeito, SMS não é a solução ideal. Nós explicamos por que os especialistas em segurança não gostam da autenticação em duas etapas baseada em SMS . Mas, mesmo quando apresentamos esse caso, tentamos deixar uma coisa clara: a autenticação de dois fatores baseada em SMS é muito, muito melhor do que nada.
RELACIONADOS: Por que você não deve usar SMS para autenticação de dois fatores (e o que usar em vez disso)
Algumas pessoas precisam de mais segurança do que o fornecido por SMS
A pessoa comum está bem com a autenticação baseada em SMS por enquanto. A autenticação baseada em SMS faz com que os invasores tenham muitos problemas extras para entrar em sua conta, e você provavelmente não vale a pena quando há outros alvos mais fáceis e interessantes por aí. A maioria das pessoas nem usa a autenticação SMS, e a web seria um lugar muito mais seguro se todos fizessem.
Pessoas que provavelmente serão alvo de invasores sofisticados devem evitar a autenticação baseada em SMS. Por exemplo, se você é um político, jornalista, celebridade ou líder empresarial, pode ser o alvo. Se você é uma pessoa com acesso a dados corporativos confidenciais, um administrador de sistema com amplo acesso a sistemas confidenciais ou apenas alguém com muito dinheiro no banco, o SMS pode ser muito arriscado.
Mas, se você é a pessoa comum com uma conta do Gmail ou do Facebook e ninguém tem motivos para gastar muito tempo obtendo acesso às suas contas, a autenticação por SMS é adequada e você deve absolutamente habilitá-la em vez de usar nada.
Você é tão seguro quanto o elo mais fraco
Aqui está outra verdade infeliz que todos parecem ignorar: mesmo que você evite a autenticação de dois fatores baseada em SMS para uma conta, o SMS provavelmente está disponível como um método alternativo. Por exemplo, mesmo se você gerar códigos com um aplicativo para fazer login em sua conta do Google, você pode recuperar sua conta usando seu número de telefone. Isto é para protegê-lo se você alguma vez perder o acesso ao seu telefone de dois fatores ou token.
Em outras palavras, muitos - provavelmente até mesmo a maioria - dos serviços permitem que você entre em sua conta com seu número de telefone, mesmo se você usar um código gerado pelo aplicativo ou uma chave de segurança física na maioria das vezes. Você está tão seguro quanto o elo mais fraco do sistema. Tente verificar as outras maneiras de fazer login, caso não tenha o método normal.
É por isso que, para realmente bloquear uma conta do Google, você não precisa apenas evitar a autenticação em duas etapas baseada em SMS. Você também precisa se inscrever em Programa de Proteção Avançada do Google , que o Google anuncia para “jornalistas, ativistas, líderes empresariais e equipes de campanha política”. Este programa gratuito requer que você use uma chave de segurança física para entrar, mas também exige muito mais informações para recuperar sua conta.
Use SMS se você não estiver usando 2FA agora
Não queremos enganá-lo com uma falsa sensação de segurança: se você é alguém que provavelmente será alvo de governos estrangeiros, espiões corporativos ou criminosos organizados, deve evitar a autenticação de dois fatores baseada em SMS e bloquear o seu contas com algo mais seguro.
Mas, se você for a pessoa comum que ainda não habilitou a autenticação de dois fatores, não desanime: os dois fatores baseados em SMS o tornarão muito mais seguro do que nenhum fator duplo. É uma base importante para a segurança.
Todos devem usar a verificação por SMS, a menos que estejam usando algo melhor.
Crédito da imagem: bluestok /Shutterstock.com.
