Двухфакторная аутентификация SMS не идеальна, но вы все равно должны ее использовать
- Более 90% пользователей Gmail не используют двухфакторную аутентификацию
- Зачем вам нужна двухфакторная аутентификация
- Почему люди говорят, что SMS-аутентификация плохая?
- Некоторые люди нуждаются в большей безопасности, чем SMS
- Вы так же безопасны, как и самая слабая ссылка
- Пожалуйста, используйте SMS, если вы не используете 2FA прямо сейчас
В поисках идеальной безопасности идеальное - враг хорошего. Люди критикуют смс на основе двухфакторная аутентификация вслед за Reddit взломать , но использование двухфакторной SMS-передачи все же намного лучше, чем использование двухфакторной аутентификации вообще.
Более 90% пользователей Gmail не используют двухфакторную аутентификацию
Специалисты по безопасности, которые говорят, что проверка SMS недостаточно хороша, слишком далеко опережают себя. Более 90% пользователей Gmail вообще не используют двухфакторную аутентификацию. презентация Инженер Google Гжегож Милка выступил на USENIX Enigma 2018. Первое, что большинство людей могут сделать, чтобы защитить себя в Интернете, - это включить любой тип двухфакторной аутентификации для своих важных учетных записей.
Думайте об этом так. Скажем, вы хотите поставить замок на входную дверь, чтобы защитить свой дом. Специалисты по безопасности спорят о том, что лучший доступный тип замка гораздо лучше, чем более дешевые. Конечно, имеет смысл. Но если эта более дорогая блокировка вам недоступна, разве иметь более дешевую блокировку все же лучше, чем вообще не иметь блокировки?
Да, двухфакторная аутентификация на основе приложений лучше, чем аутентификация на основе SMS. Но, если SMS - это все сервисное предложение, это все же лучше, чем вообще не использовать его.
У двух факторов, основанных на SMS, есть некоторые слабые стороны, но в этом нет смысла. Злоумышленнику придется потратить время, обходя проверку вашего SMS. И большинство целей, вероятно, не стоит таких больших усилий.
Зачем вам нужна двухфакторная аутентификация
Двухфакторная аутентификация названа так, потому что она требует, чтобы у вас было две вещи, чтобы войти в вашу учетную запись: что-то, что вы знаете (ваш пароль) и что-то, что у вас есть (дополнительный код безопасности с вашего мобильного устройства или физический токен).
Когда вы включаете двухфакторную аутентификацию на основе SMS, служба отправляет на ваш номер мобильного телефона текстовое сообщение с одноразовым кодом при каждом входе с нового устройства. Таким образом, даже если у кого-то есть ваше имя пользователя и пароль для этой учетной записи, они не смогут войти в вашу учетную запись без доступа к вашим текстовым сообщениям.
Есть и другие типы двухфакторных методов , в том числе приложения на вашем телефоне которые генерируют временные коды безопасности и физические ключи безопасности Вы должны подключить к компьютеру.
Любой тип двухфакторной аутентификации обеспечивает огромную защиту важных учетных записей, таких как ваша электронная почта, социальные сети и банковские счета. Это особенно верно, если вы повторно используете пароли. Многие люди повторно используют пароли на нескольких веб-сайтах, и, когда утечка базы данных паролей одного веб-сайта, этот пароль может быть использован для входа в свои учетные записи электронной почты , Двухфакторная аутентификация остановила бы это прямо на своем пути.
Это не значит, что вы должны повторно использовать пароли. Вы не должны повторно использовать пароли. Вам следует используйте хороший менеджер паролей отслеживать сильные, уникальные пароли.
Почему люди говорят, что SMS-аутентификация плохая?
Двухфакторная аутентификация на основе SMS не считается идеальной, потому что кто-то может украсть ваш номер телефона или перехватить ваши текстовые сообщения. Например:
- Злоумышленник может выдать себя за вас и перенести ваш номер телефона на новый телефон в телефонный номер афера , Это наиболее вероятная атака.
- Злоумышленник может перехватить SMS-сообщения, предназначенные для вас. Например, они могут подделать сотовую вышку рядом с вами, или правительство может использовать свой доступ к сотовой сети для пересылки сообщений.
Вот почему эксперты рекомендуют использовать другой двухфакторный метод, который не может быть столь же легко нарушен национальными государствами и не уязвим, если ваш оператор сотовой связи передает ваш номер телефона кому-то другому. Если вы получаете свой код из приложения на своем телефоне или физический ключ безопасности, который вы подключаете, ваш двухфакторный фактор не подвержен проблемам с телефонной сетью. Злоумышленнику понадобится ваш разблокированный телефон или физический ключ безопасности, с которым вы должны войти.
Конечно, в идеальном мире SMS не идеальное решение. Мы объяснили почему эксперты по безопасности не любят двухэтапную аутентификацию на основе SMS , Но даже когда мы изложили этот случай, мы попытались прояснить одну вещь: двухфакторная аутентификация на основе SMS намного лучше, чем ничего.
СВЯЗАННЫЕ С: Почему вы не должны использовать SMS для двухфакторной аутентификации (и что использовать вместо)
Некоторые люди нуждаются в большей безопасности, чем SMS
Средний человек в настоящее время в порядке с аутентификацией на основе SMS. Аутентификация на основе SMS заставляет злоумышленников пройти через лишние хлопоты, чтобы попасть в ваш аккаунт, и вы, вероятно, не стоит их беспокоить, когда есть другие более простые и сочные цели. Большинство людей даже не используют аутентификацию по SMS, и если бы все это делали, Интернет был бы гораздо более безопасным.
Люди, которые, вероятно, будут поражены искушенными злоумышленниками, должны избегать аутентификации на основе SMS. Например, если вы политик, журналист, знаменитость или бизнес-лидер, вы можете стать целью. Если вы человек с доступом к конфиденциальным корпоративным данным, системный администратор с глубоким доступом к чувствительным системам или просто кто-то с большим количеством денег в банке, SMS может быть слишком рискованным.
Но если вы обычный человек с учетной записью Gmail или Facebook, и ни у кого нет причин тратить кучу времени на получение доступа к вашим учетным записям, аутентификация с помощью SMS подойдет, и вы должны включить ее, а не использовать вообще.
Вы так же безопасны, как и самая слабая ссылка
Вот еще одна прискорбная истина, которую все, похоже, скрывают: даже если вы избегаете двухфакторной аутентификации на основе SMS для учетной записи, SMS, вероятно, доступен в качестве запасного метода. Например, даже если вы генерируете коды с помощью приложения для входа в свою учетную запись Google, вы можете восстановить свой аккаунт используя ваш номер телефона. Это чтобы защитить вас, если вы когда-либо потерять доступ к вашему двухфакторному телефону или жетон.
Другими словами, многие - возможно, даже большинство - сервисов позволяют вам войти в свою учетную запись с помощью номера телефона, даже если большую часть времени вы используете код, генерируемый приложением, или ключ физической безопасности. Вы только в безопасности, как самое слабое звено в системе. Попробуйте проверить другие способы входа, если у вас нет обычного метода.
Вот почему, чтобы действительно заблокировать учетную запись Google, вам не нужно просто избегать двухэтапной аутентификации на основе SMS. Вы также должны зарегистрироваться в Программа расширенной защиты Google Это то, что Google рекламирует «журналистам, активистам, лидерам бизнеса и командам политических кампаний». Эта бесплатная программа требует, чтобы вы использовали физический ключ безопасности для входа в систему, но также требует гораздо больше информации для восстановления вашей учетной записи.
Пожалуйста, используйте SMS, если вы не используете 2FA прямо сейчас
Мы не хотим вводить вас в заблуждение о безопасности: если вы, вероятно, подвергаетесь преследованиям со стороны иностранных правительств, корпоративных шпионов или организованных преступников, вам обязательно следует избегать двухфакторной аутентификации на основе SMS и блокировать вашу счета с чем-то более безопасным.
Но, если вы обычный человек, который еще не включил двухфакторную аутентификацию, не отчаивайтесь: двухфакторный SMS-сервис сделает вас намного более безопасным, чем вообще не двухфакторный. Это важный базис для безопасности.
Каждый должен использовать проверку SMS, если он не использует что-то лучшее.
Кредит изображения: golubovystock /Shutterstock.com.
Но если эта более дорогая блокировка вам недоступна, разве иметь более дешевую блокировку все же лучше, чем вообще не иметь блокировки?Почему люди говорят, что SMS-аутентификация плохая?