A Gmail felhasználók több mint 90% -a nem használja a kétfaktoros hitelesítést
Gondolj bele így. Mondja, hogy egy ajtózárat szeretne elhelyezni, hogy megvédje otthonát. A biztonsági szakemberek azzal érvelnek, hogy a legjobb típusú zár a jobb megoldás, mint az olcsóbb zárak. Persze, értelme van. De ha ez a drágább zár nem áll rendelkezésére, nem rendelkezik olcsóbb zárral még jobb, mint egyáltalán nincs zár?
Igen, az alkalmazásalapú két tényező-hitelesítés jobb, mint az SMS-alapú hitelesítés. De ha az SMS mindez egy szolgáltatás, akkor még mindig jobb, mint egyáltalán nem.
Az SMS-alapú két tényezőnek vannak gyengeségei, de ez hiányzik a ponton. A támadónak időt kell töltenie az SMS ellenőrzésének megkerülésével. És a legtöbb cél valószínűleg nem éri meg ezt a nagy erőfeszítést.
Miért van szükség két faktoros hitelesítésre?
A kétütemű hitelesítést azért nevezték el, mert az megköveteli, hogy két dolog lépjen be a fiókjába: valami olyasmit, amit tud (jelszavát) és valamit, amelyet (mobiltelefonja vagy fizikai tokenje) tartalmaz.
Amikor SMS-alapú két tényező-hitelesítést engedélyez, a szolgáltatás minden alkalommal elküldi a mobiltelefonszámát egyszeri kódot tartalmazó szöveges üzenetben, amikor bejelentkezik egy új eszközről. Tehát még akkor is, ha valaki rendelkezik felhasználónevével és jelszavával a fiókhoz, a szöveges üzenetekhez való hozzáférés nélkül nem tud bejelentkezni fiókjába.
Vannak más típusú kétfaktoros módszerek is, beleértve az alkalmazásokat a telefonon, amelyek ideiglenes biztonsági kódokat és fizikai biztonsági kulcsokat hoznak be a számítógépbe.
Bármilyen típusú kétütemű hitelesítés óriási mennyiségű védelmet biztosít a fontos fiókokhoz, például az e-mailhez, a közösségi médiához és a bankszámlákhoz. Ez különösen igaz, ha újra felhasználja a jelszavakat. Sokan többször használják a jelszavakat több webhelyen, és ha egy webhely jelszóadatbázisának szivárog, akkor a jelszó felhasználható az e-mail fiókjukba való bejelentkezéshez. A kétütemű hitelesítés leállítaná ezt a jogot a számában.
Ez nem jelenti azt, hogy újra kell használni a jelszavakat. Ne használja újra a jelszavakat. Használjon egy jó jelszókezelőt, amely nyomon követi az erős, egyedi jelszavakat.
Miért rosszak az emberek az SMS-hitelesítésre?
- A támadó személyre szabhatja magát, és áthelyezheti a telefonszámát egy új telefonra egy átirányítással ellátott telefonszámban. Ez a legvalószínűbb támadás.
- A támadó lehallgathatja Önnek szánt SMS-üzeneteket. Például egy sejttoronyot csempészhetnek közeledben, vagy egy kormány használhatja a mobilhálózathoz való hozzáférést üzenetek továbbítására.
Ezért javasolják a szakértők egy másik, kétfaktoros módszer használatát, amely a nemzetállamokkal nem lehet olyan könnyen bántalmazni, és nem sebezhető, ha mobilszolgáltatója megadja telefonszámát valaki másnak. Ha kódját a telefonján lévő alkalmazásból vagy fizikai biztonsági kulcsból illesztette be, akkor a két tényező nem sérülhet a telefonhálózat problémáival. A támadónak szüksége lesz a zárolt telefonra vagy a fizikai biztonsági kulcsra, amellyel be kell jelentkeznie.
Persze, tökéletes világban az SMS nem ideális megoldás. Megmagyaráztuk, hogy a biztonsági szakértők miért nem szeretik az SMS-alapú kétlépéses hitelesítést. De még akkor is, amikor lefektettük az ügyet, megpróbáltunk egy dolgot egyértelművé tenni: az SMS-alapú kétütemű hitelesítés sokkal, sokkal jobb, mint a semmi.
Néhány embernek nagyobb biztonságra van szüksége, mint az SMS
Az átlagos személy tökéletesen megfelel SMS-alapú hitelesítéssel. Az SMS-alapú hitelesítés révén a támadók sok további bajba kerülhetnek, hogy bejussanak a fiókjába, és valószínűleg nem érdemes a baj, ha más könnyebb és nyájasabb célpontok vannak. A legtöbb ember nem használ SMS-hitelesítést, és a web sokkal biztonságosabb hely lenne, ha mindenki megtenné.
Azok az emberek, akiket valószínűleg a kifinomult támadók céloznak meg, el kell kerülniük az SMS-alapú hitelesítést. Például, ha politikus vagy újságíró, híresség vagy üzletvezető vagy, akkor célzott lehet. Ha olyan személy vagy, aki hozzáférhet az érzékeny vállalati adatokhoz, akkor az érzékeny rendszerekhez való mély hozzáférésű rendszergazda vagy csak a bankban sok pénzzel rendelkező személy lehet túl kockázatos.
De ha Ön az átlagos személy, aki Gmail vagy Facebook fiókkal rendelkezik, és senki sem ok arra, hogy rengeteg időt töltsön hozzáféréssel a fiókjaihoz, az SMS-hitelesítés rendben van, és abszolút lehetővé kell tennie, hogy ne használjon semmit.
Ön csak olyan biztonságos, mint a leggyengébb link
Más szavakkal, a legtöbb - valószínűleg a legtöbb szolgáltatás - lehetővé teszi számodra a számodhoz való hozzáférést, még akkor is, ha leginkább az alkalmazás által generált kódot vagy a fizikai biztonsági kulcsot használja. Csak olyan biztonságos vagy, mint a rendszer leggyengébb láncszeme. Próbálja meg ellenőrizni a többi módot is, amellyel be tud jelentkezni, ha nem rendelkezik a szokásos módszerrel.
Ezért, hogy valóban lezárja a Google-fiókot, nem csak az SMS-alapú kétlépéses hitelesítést kell elkerülnie. Be kell jelentkeznie a Google Speciális védelmi programjába is, amelyet a Google hirdet "újságíróknak, aktivistáknak, üzleti vezetőknek és politikai kampánycsapatoknak." Ez az ingyenes program megköveteli, hogy fizikai biztonsági kulcsot használj a bejelentkezéshez, de sokkal többet követel információk a fiók helyreállításához.
Kérjük, használja az SMS-t, ha nem használja a 2FA-t most
Nem akarjuk, hogy a biztonság hamis érzésébe zúduljon: Ha valaki olyan külföldi kormányzatok, vállalati kémek vagy szervezett bűnözők ellen irányul, akkor feltétlenül kerülni kell az SMS-alapú kétütemű hitelesítést, és zárja le valami biztonságosabb fiókokat.
De ha Ön az átlagember, aki még nem engedélyezte a kétütemű hitelesítést, ne mondja el: az SMS-alapú két tényező sokkal biztonságosabb, mint egyáltalán nem két tényező. Ez egy fontos alapja a biztonságnak.
Mindenki használjon SMS-ellenőrzést, hacsak valami jobbat nem használ.
