Dvoufaktorová zpráva SMS není perfektní, ale stále byste ji měli používat

Obsah:

Video: Dvoufaktorová zpráva SMS není perfektní, ale stále byste ji měli používat

Video: Dvoufaktorová zpráva SMS není perfektní, ale stále byste ji měli používat
Video: How To Remove Uninstalled Apps From App Store 2024, Březen
Dvoufaktorová zpráva SMS není perfektní, ale stále byste ji měli používat
Dvoufaktorová zpráva SMS není perfektní, ale stále byste ji měli používat
Anonim
Při hledání dokonalé bezpečnosti je dokonalým nepřítelem dobra. Lidé kritizují dvoufaktorovou autentizaci založenou na SMS v návaznosti na hack Reddit, ale pomocí dvou faktorů založených na SMS je stále mnohem lepší než nepoužívat dvoufaktorovou autentizaci vůbec.
Při hledání dokonalé bezpečnosti je dokonalým nepřítelem dobra. Lidé kritizují dvoufaktorovou autentizaci založenou na SMS v návaznosti na hack Reddit, ale pomocí dvou faktorů založených na SMS je stále mnohem lepší než nepoužívat dvoufaktorovou autentizaci vůbec.

Více než 90% uživatelů služby Gmail nepoužívá ověřování s dvěma faktory

Odborníci v oblasti bezpečnosti, kteří mluví o tom, že ověřování SMS není dostatečně dobrý, se dostávají příliš daleko před sebe. Více než 90% uživatelů Gmailu vůbec nepoužívá žádnou dvoufaktorovou autentizaci podle prezentace, kterou poskytl inženýr společnosti Grzegorz Milka u společnosti USENIX Enigma 2018. Nejdůležitější věc, kterou mohou lidé nejvíce udělat, aby se chránili online, je umožnit jakýkoli druh dvoufaktorová autentizace pro své důležité účty.
Odborníci v oblasti bezpečnosti, kteří mluví o tom, že ověřování SMS není dostatečně dobrý, se dostávají příliš daleko před sebe. Více než 90% uživatelů Gmailu vůbec nepoužívá žádnou dvoufaktorovou autentizaci podle prezentace, kterou poskytl inženýr společnosti Grzegorz Milka u společnosti USENIX Enigma 2018. Nejdůležitější věc, kterou mohou lidé nejvíce udělat, aby se chránili online, je umožnit jakýkoli druh dvoufaktorová autentizace pro své důležité účty.

Mysli na to takhle. Řekněme, že chcete zablokovat své přední dveře, abyste ochránili svůj domov. Bezpečnostní profesionálové argumentují tím, že nejlepší dostupný typ zámku je mnohem lepší než levnější zámky. Jistě, má smysl. Ale pokud ti dražší zámek není k dispozici, nemá levnější zámek ještě lepší než mít vůbec zámek?

Ano, dvoufaktorové ověřování založené na aplikacích je lepší než autentizace založená na SMS. Pokud je však služba SMS nabízena všemi službami, je stále lepší než ji vůbec nepoužívat.

SMS-založené dva faktory mají některé slabiny, ale to chybí bod. Útočník bude muset trávit čas tím, že obejde vaše ověření SMS. A většina cílů pravděpodobně nestojí za tolik úsilí.

Proč potřebujete dvoufaktorové ověřování

Dvojfaktorové ověřování je pojmenované tím, že vyžaduje, abyste do účtu zadali dvě věci: něco, co víte (vaše heslo) a něco, co máte (další bezpečnostní kód z mobilního zařízení nebo fyzický token).

Pokud povolíte ověření dvou faktorů založené na SMS, služba pošle vaše číslo mobilního telefonu textové zprávě, která obsahuje jednorázový kód při každém přihlášení z nového zařízení. Takže i když má někdo uživatelské jméno a heslo pro tento účet, nebude se moci do vašeho účtu přihlásit bez přístupu k vašim textovým zprávám.

Existují také další typy dvoufaktorových metod, včetně aplikací v telefonu, které generují dočasné bezpečnostní kódy a fyzické bezpečnostní klíče, které musíte připojit k počítači.

Jakýkoli druh dvoufaktorového ověřování poskytuje obrovské množství ochrany důležitých účtů, jako je vaše e-mailová adresa, sociální média a bankovní účty. To platí zejména v případě, že znovu používáte hesla. Mnoho lidí opakovaně používá hesla na více webových stránkách a při výpadku databáze hesel jedné webové stránky je toto heslo možné použít k přihlášení do svých e-mailových účtů. Dvojfaktorová autentizace by tuto stopu zastavila ve svých stopách.

To neznamená, že byste měli znovu používat hesla. Hesla byste neměli opakovaně používat. Měli byste používat dobrý správce hesel pro sledování silných a jedinečných hesel.

Proč lidé říkají, že ověřování SMS je špatné?

Dvoufaktorová autentizace založená na SMS není považována za ideální, protože někdo může ukrást vaše telefonní číslo nebo zachytit vaše textové zprávy. Například:

  • Útočník by vás mohl předstírat a přesunout vaše telefonní číslo na nový telefon v telefonním čísle, který přenáší podvod. To je nejpravděpodobnější útok.
  • Útočník by mohl zachytit SMS zprávy určené pro vás. Například by mohly spoofovat věž buňky poblíž vás, nebo vláda by mohla využít jeho přístup k celulární síti pro předávání zpráv.

Proto odborníci doporučují použít jinou dvoufaktorovou metodu, kterou nelze jednoduše zneužít národními státy a není zranitelná, pokud váš mobilní operátor dává vaše telefonní číslo někomu jinému. Pokud obdržíte svůj kód z aplikace v telefonu nebo z fyzického bezpečnostního klíče, který se připojuje, váš dvoufaktor není citlivý na problémy s telefonní sítí. Útočník bude potřebovat váš odemčený telefon nebo fyzický bezpečnostní klíč, který musíte přihlásit.

Jistě, v dokonalém světě SMS není ideálním řešením. Vysvětlili jsme, proč bezpečnostní experti nemají rádi dvoubodovou autentizaci založenou na SMS. Ale i když jsme tento případ položili, snažili jsme se učinit jednu věc jasnou: dvoufaktorová autentizace založená na SMS je mnohem, mnohem lepší než nic.

Někteří lidé potřebují větší zabezpečení, než poskytuje SMS

Průměrná osoba je v pořádku s ověřením na základě SMS. Ověřování založené na SMS způsobuje, že útočníci procházejí spoustou dalších potíží, aby se dostali do vašeho účtu, a vy pravděpodobně nestojí za to jejich potíže, když tam jsou jiné snadnější a šťavnatější cíle. Většina lidí ani nepoužívá autentizaci SMS a web by byl mnohem bezpečnějším místem, kdyby to udělali všichni.

Lidé, kteří pravděpodobně budou cítit složití útočníci, by se měli vyhnout pravidlům založeným na SMS. Například pokud jste politik, novinář, celebrita nebo obchodní vůdce, můžete být zaměřeni. Pokud jste osoba s přístupem k citlivým firemním údajům, správce systému s hlubokým přístupem k citlivým systémům nebo jen někdo s velkým množstvím peněz v bance, SMS může být příliš riskantní.

Ale pokud jste průměrná osoba, která má účet Gmail nebo Facebook a nikdo nemá důvod strávit spoustu času, aby získal přístup k vašim účtům, ověření SMS je v pořádku a měli byste to absolutně povolit spíše než používat vůbec nic.

Jste jen tak bezpečný jako nejslabší spoj

Zde je další nešťastná pravda, o které se všichni shodují: I když se vyhneme dvoufaktorové autentizaci založené na SMS pro účet, SMS je pravděpodobně k dispozici jako záložní metoda. Například i když generujete kódy s aplikací, která se přihlásí do vašeho účtu Google, můžete účet obnovit pomocí svého telefonního čísla. To vás ochrání, pokud někdy ztratíte přístup k telefonu nebo tokenu se dvěma faktory.
Zde je další nešťastná pravda, o které se všichni shodují: I když se vyhneme dvoufaktorové autentizaci založené na SMS pro účet, SMS je pravděpodobně k dispozici jako záložní metoda. Například i když generujete kódy s aplikací, která se přihlásí do vašeho účtu Google, můžete účet obnovit pomocí svého telefonního čísla. To vás ochrání, pokud někdy ztratíte přístup k telefonu nebo tokenu se dvěma faktory.

Jinými slovy, mnoho - pravděpodobně i většina - služeb vám dovoluje dostat se do svého účtu s vaším telefonním číslem, a to i tehdy, když většinu času používáte kód generovaný aplikací nebo fyzický bezpečnostní klíč. Jste jen tak bezpečný jako nejslabší článek v systému. Zkuste ověřit další způsoby, jak se přihlásit, pokud nemáte normální metodu.

Proto proto, abyste skutečně uzamkli účet Google, nemusíte se jen vyvarovat dvoustupňové autentizace založené na SMS. Také je třeba se zaregistrovat do Pokročilého programu ochrany Google, který Google inzeruje jako "novináři, aktivisté, vedoucí pracovníci a týmy politických kampaní." Tento bezplatný program vyžaduje, abyste při přihlašování použili fyzický bezpečnostní klíč, ale vyžadují mnohem více informace o obnovení účtu.

Použijte SMS, pokud nepoužíváte 2FA právě teď

Nechceme vás upoutat do falešného smyslu pro bezpečnost: Pokud jste někým, kdo by mohl být zaměřen na zahraniční vlády, firemní špiony nebo organizované zločince, měli byste absolutně zabránit dvoufaktorové autentizaci založené na SMS a uzamknout své účty s něčím bezpečnějším.

Ale pokud jste průměrný člověk, který zatím nepovolil dvoufaktorovou autentizaci, neodpínejte: dva faktory založené na SMS zpřístupní vás mnohem bezpečnější než žádné dva faktory vůbec. Je to důležitá základna pro bezpečnost.

Každý by měl používat ověření SMS, pokud nepoužívá něco lepšího.

Doporučuje: