I en strävan efter perfekt säkerhet är den perfekta fienden till det goda. Människor kritiserar SMS-baserade tvåfaktorautentisering i kölvattnet av Reddit-hacket , men att använda SMS-baserad tvåfaktor är fortfarande mycket bättre än att inte använda tvåfaktorautentisering alls.
Över 90% av Gmail-användarna använder inte tvåfaktorautentisering
Säkerhetspersonal som pratar om att SMS-verifiering inte är tillräckligt bra går för långt före sig själva. Över 90% av Gmail-användare använder inte någon tvåfaktorautentisering alls, enligt a presentation Google-ingenjör Grzegorz Milka gav vid USENIX Enigma 2018. Det främsta som de flesta kan göra för att skydda sig online är att möjliggöra alla typer av tvåfaktorautentisering för sina viktiga konton.
Tänk på det så här. Säg att du vill sätta ett lås på din ytterdörr för att skydda ditt hem. Säkerhetspersonal argumenterar för att den bästa typen av lås som finns tillgänglig är mycket bättre än billigare lås. Visst, meningsfullt. Men om det dyrare låset inte är tillgängligt för dig, är det inte bättre att ha ett billigare lås än att inte ha ett lås alls?
Ja, appbaserad tvåfaktorautentisering är bättre än SMS-baserad autentisering. Men om SMS är allt som en tjänst erbjuder, är det fortfarande bättre än att inte använda det alls.
SMS-baserad tvåfaktor har vissa svagheter, men det saknar poängen. En angripare måste spendera tid på att kringgå din SMS-verifiering. Och de flesta mål är förmodligen inte värda så mycket ansträngning.
Varför du behöver tvåfaktorautentisering
Tvåfaktorsautentisering heter det eftersom det kräver att du har två saker för att komma in på ditt konto: något du vet (ditt lösenord) och något du har (en extra säkerhetskod från din mobila enhet eller en fysisk token).
När du aktiverar SMS-baserad tvåfaktorautentisering skickar tjänsten ditt mobilnummer ett textmeddelande som innehåller en engångskod när du loggar in från en ny enhet. Så även om någon har ditt användarnamn och lösenord för det kontot kan de inte logga in på ditt konto utan åtkomst till dina textmeddelanden.
Det finns också andra typer av tvåfaktormetoder , Inklusive appar på din telefon som genererar tillfälliga säkerhetskoder och fysiska säkerhetsnycklar du måste ansluta till din dator.
Alla typer av tvåfaktorautentisering ger ett enormt skydd för viktiga konton som e-post, sociala medier och bankkonton. Detta gäller särskilt om du återanvänder lösenord. Många använder åter lösenord på flera webbplatser och, när en webbplats lösenordsdatabas läcker, det lösenordet kan användas för att logga in på deras e-postkonton . Tvåfaktorautentisering skulle stoppa detta i sina spår.
Det betyder inte att du ska återanvända lösenord. Du bör inte återanvända lösenord. Du borde använd en bra lösenordshanterare för att hålla reda på starka, unika lösenord.
Varför säger folk att SMS-autentisering är dålig?
SMS-baserad tvåfaktorautentisering anses inte vara idealisk eftersom någon kan stjäla ditt telefonnummer eller fånga dina textmeddelanden. Till exempel:
- En angripare kan efterlikna dig och flytta ditt telefonnummer till en ny telefon i en telefonnummer portning bluff . Detta är den mest troliga attacken.
- En angripare kan fånga SMS-meddelanden som är avsedda för dig. De kan till exempel förfalska ett celltorn nära dig, eller en regering kan använda sin tillgång till mobilnätet för att vidarebefordra meddelanden.
Det är därför experter rekommenderar att du använder en annan tvåfaktormetod, en som inte kan missbrukas lika lätt av nationalstater och inte är sårbar om din mobiloperatör ger ditt telefonnummer till någon annan. Om du får din kod från en app på din telefon eller en fysisk säkerhetsnyckel som du ansluter är din tvåfaktor inte sårbar för problem med telefonnätverket. Angriparen skulle behöva din olåsta telefon eller den fysiska säkerhetsnyckeln du måste logga in.
Visst, i en perfekt värld är SMS inte den perfekta lösningen. Vi har förklarat varför säkerhetsexperter inte gillar SMS-baserad tvåstegsautentisering . Men även när vi lade fram det ärendet försökte vi göra en sak tydlig: SMS-baserad tvåfaktorautentisering är mycket, mycket bättre än ingenting.
RELATERAD: Varför ska du inte använda SMS för tvåfaktorautentisering (och vad du ska använda istället)
Vissa människor behöver mer säkerhet än SMS ger
Den genomsnittliga personen har det bra med SMS-baserad autentisering för tillfället. SMS-baserad autentisering gör att angripare går igenom mycket extra problem för att komma in på ditt konto, och du är förmodligen inte värt besväret när det finns andra enklare och saftigare mål där ute. De flesta använder inte ens SMS-autentisering, och webben skulle vara en mycket säkrare plats om alla gjorde det.
Människor som sannolikt kommer att riktas mot sofistikerade angripare bör undvika SMS-baserad autentisering. Om du till exempel är politiker, journalist, kändis eller företagsledare kan du bli riktad. Om du är en person med tillgång till känslig företagsinformation, en systemadministratör med djup åtkomst till känsliga system eller bara någon med mycket pengar i banken, kan SMS vara för riskabelt.
Men om du är den genomsnittliga personen med ett Gmail- eller Facebook-konto och ingen har en anledning att spendera en massa tid på att få tillgång till dina konton, är SMS-autentisering bra och du bör absolut aktivera det istället för att använda ingenting alls.
Du är bara lika säker som den svagaste länken
Här är en annan olycklig sanning som alla verkar glänsa över: även om du undviker SMS-baserad tvåfaktorautentisering för ett konto är SMS förmodligen tillgänglig som reservmetod. Till exempel, även om du genererar koder med en app för att logga in på ditt Google-konto, kan du återställa ditt konto med ditt telefonnummer. Detta är för att skydda dig om du någonsin förlora åtkomst till din tvåfaktortelefon eller token.
Med andra ord, många - förmodligen även de flesta - tjänster låter dig komma in på ditt konto med ditt telefonnummer, även om du använder en appgenererad kod eller en fysisk säkerhetsnyckel för det mesta. Du är bara lika säker som den svagaste länken i systemet. Försök att kontrollera andra sätt du kan logga in om du inte har din vanliga metod.
För att verkligen låsa ett Google-konto behöver du inte bara undvika SMS-baserad tvåstegsverifiering. Du måste också registrera dig Google’s Advanced Protection Program , som Google annonserar för "journalister, aktivister, företagsledare och politiska kampanjteam." Detta gratisprogram kräver att du använder en fysisk säkerhetsnyckel för att logga in, men det kräver också mycket mer information för att återställa ditt konto.
Använd SMS om du inte använder 2FA just nu
Vi vill inte förvirra dig i en falsk känsla av säkerhet: Om du är någon som troligen kommer att bli utsatt för utländska regeringar, företagsspioner eller organiserade brottslingar, bör du absolut undvika SMS-baserad tvåfaktorautentisering och låsa ner din konton med något säkrare.
Men om du är den genomsnittliga personen som inte har aktiverat tvåfaktorautentisering ännu, avskräcka dig inte: SMS-baserad tvåfaktor gör dig mycket säkrare än ingen tvåfaktor alls. Det är en viktig baslinje för säkerhet.
Alla bör använda SMS-verifiering såvida de inte använder något bättre.
Bildkredit: bluestok /Shutterstock.com.
