У пошуках ідеальної безпеки ідеальне є ворогом добра. Люди критикують SMS двофакторна автентифікація на хвилі хак Reddit , але використання двофакторного на основі SMS все-таки набагато краще, ніж взагалі не використання двофакторної автентифікації.
Понад 90% користувачів Gmail не використовують двофакторну автентифікацію
Спеціалісти з безпеки, які говорять про те, що перевірка SMS недостатньо хороша, занадто далеко попереду себе. Понад 90% користувачів Gmail взагалі не використовують жодної двофакторної автентифікації, за даними a презентація Інженер Google Гжегож Мілка виступив на USENIX Enigma 2018. Найбільше, що може зробити більшість людей, щоб захистити себе в Інтернеті, - це увімкнути будь-який тип двофакторної автентифікації для своїх важливих облікових записів.
Подумайте про це так. Скажімо, ви хочете поставити замок на вхідні двері, щоб захистити свій будинок. Спеціалісти з питань безпеки сперечаються, що найкращий із доступних типів замків набагато кращий за дешевіші. Звичайно, має сенс. Але якщо цей дорожчий замок недоступний для вас, чи не є дешевший замок все-таки кращим, ніж відсутність замку взагалі?
Так, двофакторна автентифікація на основі додатків краща, ніж автентифікація на основі SMS. Але якщо SMS - це все, що пропонує послуга, все-таки краще, ніж не використовувати її взагалі.
Два фактори, засновані на SMS, мають деякі слабкі сторони, але в цьому немає сенсу. Зловмисникові доведеться витратити час в обхід підтвердження вашого SMS. І більшість цілей, мабуть, не варті таких великих зусиль.
Навіщо потрібна двофакторна автентифікація
Двофакторну автентифікацію називають такою, оскільки вона вимагає наявності у вас двох речей, щоб увійти до свого облікового запису: щось, що ви знаєте (ваш пароль), і те, що у вас є (додатковий код безпеки з вашого мобільного пристрою або фізичний маркер).
Коли ви вмикаєте двофакторну автентифікацію на основі SMS, служба надсилатиме номер вашого мобільного телефону текстовим повідомленням, що містить одноразовий код, щоразу, коли ви входите з нового пристрою. Отже, навіть якщо хтось має ваше ім’я користувача та пароль для цього облікового запису, він не зможе ввійти у ваш обліковий запис без доступу до ваших текстових повідомлень.
Є й інші типи двофакторних методів , в тому числі програми на телефоні які генерують тимчасові коди безпеки та ключі фізичної безпеки вам потрібно підключити комп’ютер.
Будь-який тип двофакторної автентифікації забезпечує величезний захист важливих облікових записів, таких як електронна пошта, соціальні мережі та банківські рахунки. Це особливо актуально, якщо ви повторно використовуєте паролі. Багато людей повторно використовують паролі на кількох веб-сайтах, а коли база даних паролів одного веб-сайту витікає, цей пароль можна використовувати для входу в їхні облікові записи електронної пошти . Двофакторна автентифікація зупинила б це прямо на шляху.
Це не означає, що вам слід повторно використовувати паролі. Не слід повторно використовувати паролі. Ти повинен використовувати хороший менеджер паролів для відстеження надійних, унікальних паролів.
Чому люди кажуть, що аутентифікація через SMS погана?
Двофакторна автентифікація на основі SMS не вважається ідеальною, оскільки хтось може вкрасти ваш номер телефону або перехопити ваші текстові повідомлення. Наприклад:
- Зловмисник може видати себе за вас і перенести ваш номер телефону на новий телефон у номер телефону афера перенесення . Це найвірогідніший напад.
- Зловмисник може перехопити SMS-повідомлення, призначені для вас. Наприклад, вони можуть підробити стільникову вежу поруч з вами, або уряд може використовувати свій доступ до стільникової мережі для пересилання повідомлень.
Ось чому експерти рекомендують використовувати інший двофакторний метод, який не може бути зловживаний національними державами так легко, і він не є вразливим, якщо ваш оператор стільникового зв'язку передає ваш номер телефону комусь іншому. Якщо ви отримуєте свій код із програми на телефоні або фізичний ключ безпеки, який ви підключаєте, ваш двофакторний коефіцієнт не вразливий до проблем із телефонною мережею. Зловмисникові знадобиться ваш розблокований телефон або ключ фізичної безпеки, який потрібно мати для входу.
Звичайно, в ідеальному світі SMS не є ідеальним рішенням. Ми пояснили чому експерти з безпеки не люблять двоетапну автентифікацію на основі SMS . Але, навіть коли ми виклали цю справу, ми спробували пояснити одне: двофакторна аутентифікація на основі SMS - це набагато, набагато краще, ніж ніщо.
Деякі люди потребують більшої безпеки, ніж надає SMS
На сьогоднішній день звичайна людина чудово працює з аутентифікацією на основі SMS. Аутентифікація на основі SMS змушує зловмисників пройти через багато додаткових проблем, щоб потрапити до вашого облікового запису, і ви, мабуть, не варті їхніх проблем, коли там є інші простіші та соковитіші цілі. Більшість людей навіть не використовують автентифікацію за допомогою SMS, і Інтернет був би набагато безпечнішим місцем, якби всі це робили.
Люди, на яких, ймовірно, потрапляють мішені досвідчених зловмисників, повинні уникати автентифікації на основі SMS. Наприклад, якщо ви політик, журналіст, знаменитість або керівник бізнесу, на вас можуть націлитись. Якщо ви людина з доступом до конфіденційних корпоративних даних, системний адміністратор із глибоким доступом до чутливих систем або просто людина, у якої багато грошей у банку, SMS може бути занадто ризикованим.
Але якщо ви звичайна людина з обліковим записом Gmail або Facebook, і ніхто не має причини витрачати купу часу, отримуючи доступ до своїх облікових записів, автентифікація за допомогою SMS є чудовою, і вам слід абсолютно ввімкнути її, а не взагалі нічого не використовувати.
Ви настільки ж захищені, як і найслабше посилання
Ось ще одна невдала правда, яку, схоже, усі затьмарюють: Навіть якщо ви уникаєте двофакторної автентифікації для облікового запису на основі SMS, SMS, ймовірно, доступний як резервний метод. Наприклад, навіть якщо ви створюєте коди за допомогою програми для входу у свій обліковий запис Google, ви можете відновити свій рахунок за допомогою номера телефону. Це для того, щоб захистити вас, якщо ви коли-небудь втратити доступ до свого двофакторного телефону або жетон.
Іншими словами, багато - мабуть, навіть більшість - служб дозволяють увійти до вашого облікового запису за номером телефону, навіть якщо ви більшу частину часу використовуєте згенерований програмою код або фізичний ключ безпеки. Ви захищені лише як найслабше посилання в системі. Спробуйте перевірити інші способи входу, якщо у вас немає звичного методу.
Ось чому, щоб дійсно заблокувати обліковий запис Google, вам не потрібно уникати двохетапної автентифікації на основі SMS. Вам також потрібно зареєструватися Програма розширеного захисту Google , який Google рекламує для "журналістів, активістів, керівників підприємств та політичних груп". Ця безкоштовна програма вимагає використання фізичного ключа безпеки для входу, але також вимагає набагато більше інформації для відновлення вашого облікового запису.
Будь ласка, використовуйте SMS, якщо зараз ви не використовуєте 2FA
Ми не хочемо заколисувати вас у помилковому почутті безпеки: якщо ви хтось, хто, ймовірно, потрапляє під націль іноземних урядів, корпоративних шпигунів або організованих злочинців, вам абсолютно слід уникати двофакторної автентифікації на основі SMS та заблокувати ваш рахунки з чимось більш безпечним.
Але якщо ви звичайний користувач, який ще не ввімкнув двофакторну автентифікацію, не відмовляйте: двофакторний засіб, що базується на SMS, зробить вас набагато безпечнішими, ніж взагалі не двофакторні. Це важливий базовий рівень безпеки.
Кожен повинен використовувати перевірку за допомогою SMS, якщо він не використовує щось краще.
Кредит зображення: голубовістоск /Shutterstock.com.
