SMS Two-Factor Auth не идеален, но вы все равно должны его использовать

Оглавление:

SMS Two-Factor Auth не идеален, но вы все равно должны его использовать
SMS Two-Factor Auth не идеален, но вы все равно должны его использовать

Видео: SMS Two-Factor Auth не идеален, но вы все равно должны его использовать

Видео: SMS Two-Factor Auth не идеален, но вы все равно должны его использовать
Видео: Удалил СКРЫТЫЙ Раздел на Android и ОФИГЕЛ От того СКОЛЬКО Памяти ОСВОБОДИЛОСЬ - YouTube 2024, Ноябрь
Anonim
В поисках совершенной безопасности совершенным является враг добра. Люди критикуют двухфакторную аутентификацию на основе SMS после взлома Reddit, но использование двух факторов, основанных на использовании SMS, по-прежнему намного лучше, чем вообще не использовать двухфакторную аутентификацию.
В поисках совершенной безопасности совершенным является враг добра. Люди критикуют двухфакторную аутентификацию на основе SMS после взлома Reddit, но использование двух факторов, основанных на использовании SMS, по-прежнему намного лучше, чем вообще не использовать двухфакторную аутентификацию.

Более 90% пользователей Gmail не используют двухфакторную аутентификацию

Специалисты по безопасности, которые говорят о том, что проверка SMS недостаточно хорошо, слишком сильно опережают себя. Более 90% пользователей Gmail вообще не используют двухфакторную аутентификацию, согласно презентации, которую инженер Google Grzegorz Milka дал в USENIX Enigma 2018. Единственное, что большинство людей может сделать, чтобы защитить себя в Интернете, - это включить любой тип двухфакторная аутентификация для их важных учетных записей.
Специалисты по безопасности, которые говорят о том, что проверка SMS недостаточно хорошо, слишком сильно опережают себя. Более 90% пользователей Gmail вообще не используют двухфакторную аутентификацию, согласно презентации, которую инженер Google Grzegorz Milka дал в USENIX Enigma 2018. Единственное, что большинство людей может сделать, чтобы защитить себя в Интернете, - это включить любой тип двухфакторная аутентификация для их важных учетных записей.

Подумайте об этом так. Скажите, что вы хотите поставить замок на входную дверь, чтобы защитить свой дом. Специалисты по безопасности утверждают, что лучший доступный доступ к замку лучше, чем более дешевые замки. Конечно, имеет смысл. Но если этот более дорогой замок вам недоступен, у него нет более дешевого замка, чем у него вообще нет блокировки?

Да, двухфакторная аутентификация на основе приложений лучше, чем аутентификация на основе SMS. Но, если SMS - это все предложения услуг, все равно лучше, чем не использовать его вообще.

У двух факторов, основанных на SMS, есть некоторые недостатки, но этого не хватает. Злоумышленнику придется потратить время, минуя вашу проверку SMS. И большинство целей, вероятно, не приносят больших усилий.

Почему вам нужна двухфакторная аутентификация

Двухфакторная аутентификация названа так потому, что она требует, чтобы у вас было две вещи, чтобы попасть в вашу учетную запись: что-то, что вы знаете (ваш пароль) и что-то у вас (дополнительный код безопасности с вашего мобильного устройства или физический токен).

Когда вы включаете двухфакторную аутентификацию на основе SMS, служба будет отправлять номер вашего мобильного телефона текстовое сообщение, содержащее одноразовый код, при каждом входе с нового устройства. Таким образом, даже если у кого-то есть свое имя пользователя и пароль для этой учетной записи, они не смогут войти в вашу учетную запись без доступа к вашим текстовым сообщениям.

Существуют и другие типы двухфакторных методов, в том числе приложения на вашем телефоне, которые генерируют временные коды безопасности и физические ключи безопасности, которые вы должны подключить к компьютеру.

Любой тип двухфакторной аутентификации обеспечивает огромную защиту важных учетных записей, таких как электронная почта, социальные сети и банковские счета. Это особенно верно, если вы повторно используете пароли. Многие люди повторно используют пароли на нескольких веб-сайтах, и, когда утечка базы паролей одного веб-сайта, этот пароль можно использовать для входа в свои учетные записи электронной почты. Двухфакторная аутентификация остановит это на своих дорогах.

Это не значит, что вы должны повторно использовать пароли. Вы не должны повторно использовать пароли. Вы должны использовать хороший менеджер паролей, чтобы отслеживать сильные уникальные пароли.

Почему люди говорят, что аутентификация SMS плохо?

  • Злоумышленник может олицетворять вас и переводить свой номер телефона на новый телефон с помощью мошенничества с номером телефона. Это наиболее вероятная атака.
  • Злоумышленник может перехватить SMS-сообщения, предназначенные для вас. Например, они могут подделать ячеистую башню рядом с вами, или правительство может использовать свой доступ к сотовой сети для пересылки сообщений.

Вот почему эксперты рекомендуют использовать другой двухфакторный метод, который нельзя так легко злоупотреблять национальными государствами и не уязвим, если ваш оператор сотовой связи дает ваш номер телефона кому-то другому. Если вы получаете код из приложения на своем телефоне или физический ключ безопасности, который вы подключаете, ваш двухфактор не уязвим для проблем с телефонной сетью. Злоумышленнику понадобится ваш разблокированный телефон или физический ключ безопасности, который вы должны войти в систему.

Конечно, в идеальном мире SMS не является идеальным решением. Мы объяснили, почему специалистам по безопасности не нравится двухэтапная аутентификация на основе SMS. Но даже когда мы выложили этот случай, мы попытались сделать одно ясно: двухфакторная аутентификация на основе SMS намного лучше, чем ничего.

Некоторым людям нужна дополнительная безопасность, чем SMS.

На данный момент средний пользователь с аутентификацией на основе SMS. Аутентификация на основе SMS позволяет злоумышленникам преодолеть множество дополнительных проблем, чтобы попасть в вашу учетную запись, и вы, вероятно, не стоите их проблем, когда есть другие более простые и более сочные цели. Большинство людей даже не используют аутентификацию по SMS, и сеть была бы гораздо более безопасным местом, если бы все это сделали.

Люди, которые, вероятно, будут атакованы сложными атакующими, должны избегать аутентификации на основе SMS. Например, если вы политик, журналист, знаменитость или бизнес-лидер, вы можете быть целенаправленными. Если вы являетесь лицом, имеющим доступ к конфиденциальным корпоративным данным, системный администратор с глубоким доступом к чувствительным системам или только кто-то с большими деньгами в банке, SMS может быть слишком рискованным.

Но если вы обычный человек с учетной записью Gmail или Facebook, и у вас нет причин тратить кучу времени на получение доступа к вашим учетным записям, то аутентификация по SMS будет прекрасной, и вы должны полностью ее разрешить, а не использовать ничего.

Вы только безопасны, как самая слабая ссылка

Вот еще одна неудачная истина, которую все, похоже, замалчивают: даже если вы избегаете двухфакторной аутентификации на основе SMS для учетной записи, SMS, вероятно, доступен в качестве резервного метода. Например, даже если вы создаете коды с приложением для входа в свою учетную запись Google, вы можете восстановить свою учетную запись, используя свой номер телефона. Это защитит вас, если вы потеряете доступ к двухфакторному телефону или токену.
Вот еще одна неудачная истина, которую все, похоже, замалчивают: даже если вы избегаете двухфакторной аутентификации на основе SMS для учетной записи, SMS, вероятно, доступен в качестве резервного метода. Например, даже если вы создаете коды с приложением для входа в свою учетную запись Google, вы можете восстановить свою учетную запись, используя свой номер телефона. Это защитит вас, если вы потеряете доступ к двухфакторному телефону или токену.

Другими словами, многие, возможно, даже самые-службы позволяют вам войти в свою учетную запись с вашим номером телефона, даже если вы используете код, созданный приложением или физический ключ безопасности большую часть времени. Вы настолько же безопасны, как и самое слабое звено в системе. Попробуйте проверить другие способы входа в систему, если у вас нет обычного метода.

Вот почему, чтобы действительно заблокировать учетную запись Google, вам не нужно просто избегать двухэтапной аутентификации на основе SMS. Вам также необходимо зарегистрироваться в Расширенной программе защиты Google, которую рекламирует Google для «журналистов, активистов, бизнес-лидеров и групп политической кампании». Эта бесплатная программа требует, чтобы вы использовали физический ключ безопасности для входа в систему, но он также требует гораздо больше информацию для восстановления вашей учетной записи.

Пожалуйста, используйте SMS, если вы не используете 2FA прямо сейчас

Мы не хотим усыпить вас ложным чувством безопасности: если вы являетесь кем-то, кого можно привлечь к ответственности со стороны иностранных правительств, корпоративных шпионов или организованных преступников, вам абсолютно необходимо избегать двухфакторной аутентификации на основе SMS и блокировать ваши с чем-то более безопасным.

Но если вы обычный человек, который еще не включил двухфакторную аутентификацию, не следует отговаривать: два фактора на основе SMS сделают вас намного более безопасными, чем вообще не два фактора. Это важный базовый уровень безопасности.

Все должны использовать проверку SMS, если они не используют что-то лучше.

Рекомендуемые: