В стремлении к безупречной безопасности идеальное - враг хорошего. Люди критикуют SMS двухфакторная аутентификация вслед за взлом Reddit , но использование двухфакторной аутентификации на основе SMS все же намного лучше, чем полное отсутствие двухфакторной аутентификации.
Более 90% пользователей Gmail не используют двухфакторную аутентификацию
Специалисты по безопасности, которые говорят о том, что проверка с помощью SMS недостаточно хороша, слишком далеко забегают вперед. Более 90% пользователей Gmail вообще не используют двухфакторную аутентификацию, согласно презентация Инженер Google Гжегож Милка выступил на USENIX Enigma 2018. Первое, что может сделать большинство людей, чтобы защитить себя в сети, - это включить любой тип двухфакторной аутентификации для своих важных учетных записей.
Подумайте об этом так. Допустим, вы хотите поставить замок на входную дверь, чтобы защитить свой дом. Специалисты по безопасности спорят о том, что лучший доступный тип замка намного лучше, чем более дешевый. Конечно, имеет смысл. Но если этот более дорогой замок вам недоступен, не лучше ли иметь более дешевый замок, чем не иметь его вообще?
Да, двухфакторная аутентификация на основе приложений лучше, чем аутентификация на основе SMS. Но если SMS - это все, что предлагает услуга, это все же лучше, чем не использовать ее вообще.
У двух факторов, основанных на SMS, есть некоторые недостатки, но они упускают из виду главное. Злоумышленнику придется потратить время на обход вашего SMS-подтверждения. И большинство целей, вероятно, не стоит таких усилий.
Зачем нужна двухфакторная аутентификация
Двухфакторная аутентификация названа так, потому что она требует, чтобы у вас были две вещи для входа в свою учетную запись: что-то, что вы знаете (ваш пароль), и то, что у вас есть (дополнительный код безопасности с вашего мобильного устройства или физический токен).
Если вы включите двухфакторную аутентификацию на основе SMS, служба будет отправлять на номер вашего мобильного телефона текстовое сообщение, содержащее одноразовый код, всякий раз, когда вы входите в систему с нового устройства. Таким образом, даже если у кого-то есть ваше имя пользователя и пароль для этой учетной записи, он не сможет войти в вашу учетную запись без доступа к вашим текстовым сообщениям.
Есть и другие виды двухфакторных методов , включая приложения на вашем телефоне которые генерируют временные коды безопасности и ключи физической безопасности вы должны подключиться к компьютеру.
Любой тип двухфакторной аутентификации обеспечивает огромную защиту важных учетных записей, таких как ваша электронная почта, социальные сети и банковские счета. Это особенно верно, если вы повторно используете пароли. Многие люди повторно используют пароли на нескольких сайтах, и при утечке базы данных паролей одного сайта этот пароль можно использовать для входа в их учетные записи электронной почты . Двухфакторная аутентификация остановит это прямо на своем пути.
Это не означает, что вам следует повторно использовать пароли. Вы не должны повторно использовать пароли. Вам следует используйте хороший менеджер паролей чтобы отслеживать надежные уникальные пароли.
Почему люди говорят, что SMS-аутентификация - это плохо?
Двухфакторная аутентификация на основе SMS не считается идеальным вариантом, поскольку кто-то может украсть ваш номер телефона или перехватить ваши текстовые сообщения. Например:
- Злоумышленник может выдать себя за вас и переместить ваш номер телефона на новый телефон в мошенничество с переносом номера телефона . Это наиболее вероятная атака.
- Злоумышленник может перехватить предназначенные вам SMS-сообщения. Например, они могут подделать вышку сотовой связи рядом с вами, или правительство может использовать свой доступ к сотовой сети для пересылки сообщений.
Вот почему эксперты рекомендуют использовать другой двухфакторный метод, который не может быть так легко использован национальными государствами и не будет уязвим, если ваш сотовый оператор передаст ваш номер телефона кому-то другому. Если вы получаете код из приложения на телефоне или подключаете физический ключ безопасности, ваш двухфакторный код не будет уязвим для проблем с телефонной сетью. Злоумышленнику понадобится ваш разблокированный телефон или физический ключ безопасности, который вам понадобится для входа в систему.
Конечно, в идеальном мире SMS - не идеальное решение. Мы объяснили почему эксперты по безопасности не любят двухэтапную аутентификацию на основе SMS . Но, даже когда мы излагали этот случай, мы пытались прояснить одну вещь: двухфакторная аутентификация на основе SMS - это намного лучше, чем ничего.
СВЯЗАННЫЕ С: Почему не следует использовать SMS для двухфакторной аутентификации (и что использовать вместо этого)
Некоторым людям нужно больше безопасности, чем обеспечивает SMS
Обычного человека пока устраивает аутентификация на основе SMS. Аутентификация на основе SMS заставляет злоумышленников испытывать массу дополнительных проблем, чтобы попасть в вашу учетную запись, и вы, вероятно, не стоите их усилий, когда есть другие более простые и интересные цели. Большинство людей даже не используют аутентификацию по SMS, и Интернет был бы гораздо более безопасным местом, если бы все это делали.
Людям, которые могут стать жертвами изощренных злоумышленников, следует избегать аутентификации на основе SMS. Например, если вы политик, журналист, знаменитость или бизнес-лидер, вас могут преследовать. Если вы человек с доступом к конфиденциальным корпоративным данным, системный администратор с глубоким доступом к конфиденциальным системам или просто человек с большими деньгами в банке, использование SMS может быть слишком рискованным.
Но если вы обычный человек с учетной записью Gmail или Facebook и ни у кого нет причин тратить кучу времени на получение доступа к вашим учетным записям, проверка подлинности по SMS подойдет, и вам следует обязательно включить ее, а не вообще ничего не использовать.
Вы надежны только в самом слабом звене
Вот еще одна досадная правда, которую, кажется, все замалчивают: даже если вы избегаете двухфакторной аутентификации на основе SMS для учетной записи, SMS, вероятно, будет доступным в качестве альтернативного метода. Например, даже если вы создаете коды с приложением для входа в свою учетную запись Google, вы можете восстановить свой аккаунт используя свой номер телефона. Это чтобы защитить тебя, если ты когда-нибудь потерять доступ к вашему двухфакторному телефону или жетон.
Другими словами, многие - возможно, даже большинство - сервисов позволяют вам войти в свою учетную запись по номеру телефона, даже если вы большую часть времени используете код, созданный приложением, или физический ключ безопасности. Вы защищены настолько, насколько надежно самое слабое звено в системе. Попробуйте проверить другие способы входа в систему, если вы не пользуетесь обычным способом.
Вот почему, чтобы по-настоящему заблокировать учетную запись Google, вам не нужно просто избегать двухэтапной аутентификации на основе SMS. Вам также необходимо записаться в Программа расширенной защиты Google , то есть Google рекламирует «журналистов, активистов, лидеров бизнеса и группы политических кампаний». Эта бесплатная программа требует, чтобы вы использовали физический ключ безопасности для входа в систему, но также требует гораздо больше информации для восстановления вашей учетной записи.
Пожалуйста, используйте SMS, если вы не используете 2FA прямо сейчас
Мы не хотим вводить вас в заблуждение ложным чувством безопасности: если вы, скорее всего, станете целью иностранных правительств, корпоративных шпионов или организованных преступников, вам абсолютно необходимо избегать двухфакторной аутентификации на основе SMS и заблокировать свою учетные записи с чем-то более безопасным.
Но если вы обычный человек, который еще не включил двухфакторную аутентификацию, не расстраивайтесь: двухфакторная аутентификация на основе SMS сделает вас намного безопаснее, чем отсутствие двухфакторной аутентификации вообще. Это важный ориентир для безопасности.
Всем следует использовать SMS-подтверждение, если они не используют что-то получше.
Кредит изображения: голубовистоск /Шуттерсточк.ком.
