loader

SMS Двофакторний Auth не досконалий, але ви мусите все ще використати це

Anonim

У пошуках досконалої безпеки досконалий є ворогом добра. Люди критикують двофакторну автентифікацію на основі SMS-повідомлень після руйнування Reddit, але використання двох факторів на основі SMS все ще набагато краще, ніж взагалі не використовувати двофакторну аутентифікацію.

Більше 90% користувачів Gmail не використовують двофакторну аутентифікацію

Фахівці з безпеки, які говорять про те, що SMS-перевірка не є достатньо гарною, надто випереджають себе. Більше 90% користувачів Gmail взагалі не використовують жодної двофакторної аутентифікації, згідно з презентацією, яку інженер Google Grzegorz Milka дав на USENIX Enigma 2018. Найбільше, що більшість людей може зробити, щоб захистити себе в мережі, - це включити будь-який тип двофакторна аутентифікація для важливих облікових записів.

Подумайте про це так. Скажімо, ви хочете поставити замок на передні двері, щоб захистити ваш будинок. Фахівці з безпеки стверджують, що найкращий тип блокування доступний краще, ніж дешевші замки. Звичайно, має сенс. Але якщо це більш дорогий замок не доступний для вас, не маєте більш дешевий замок ще краще, ніж не мати блокування взагалі?

Так, двофакторна автентифікація на основі додатка краща, ніж аутентифікація на основі SMS. Але, якщо SMS - це все, що пропонується сервісом, все одно краще, ніж взагалі не використовувати його.

Два фактора на основі SMS-повідомлень мають деякі слабкі сторони, але в цьому немає сенсу. Зловмиснику доведеться витрачати час на обхід вашої перевірки SMS. І більшість цілей, ймовірно, не варті того великого зусилля.

Чому потрібна аутентифікація з двома факторами

Двофакторна автентифікація називається такою, оскільки для цього потрібно мати дві речі: що ви знаєте (свій пароль) і щось у вас є (додатковий код захисту з мобільного пристрою або фізичний маркер).

Якщо ввімкнути двосторонню автентифікацію на основі SMS, служба надсилатиме мобільному телефону номер текстового повідомлення, що містить одноразовий код, коли ви входите з нового пристрою. Таким чином, навіть якщо хтось має ваше ім’я користувача та пароль для цього облікового запису, вони не зможуть увійти до вашого облікового запису без доступу до ваших текстових повідомлень.

Існують також інші типи двофакторних методів, включаючи програми на вашому телефоні, які генерують тимчасові коди безпеки та фізичні ключі безпеки, які потрібно підключити до комп'ютера.

Будь-який тип двофакторної аутентифікації надає величезний захист важливих облікових записів, таких як електронна пошта, соціальні медіа та банківські рахунки. Це особливо вірно, якщо ви повторно використовуєте паролі. Багато людей повторно використовують паролі на декількох веб-сайтах, а при витіканні бази даних паролів на одному веб-сайті цей пароль може бути використаний для входу в їхні облікові записи електронної пошти. Двофакторна аутентифікація зупинила б це право на своїх шляхах.

Це не означає, що ви повинні повторно використовувати паролі. Не слід повторно використовувати паролі. Для відстеження сильних унікальних паролів слід використовувати хороший менеджер паролів.

Чому люди кажуть, що аутентифікація за допомогою SMS є поганою?

Двофакторна автентифікація на основі SMS не вважається ідеальною, оскільки хтось може викрасти ваш номер телефону або перехопити ваші текстові повідомлення. Наприклад:

  • Зловмисник може видати себе за вас і перенести свій номер телефону на новий телефон, перенісши телефонний номер. Це найбільш ймовірна атака.
  • Зловмисник може перехопити SMS-повідомлення, призначені для вас. Наприклад, вони можуть спотворювати клітинку біля вас, або уряд може використовувати свій доступ до стільникової мережі для пересилання повідомлень.

Саме тому експерти рекомендують використовувати інший двофакторний метод, який не може бути так легко зловживаний національними державами, і не є вразливим, якщо ваш стільниковий оператор надасть ваш номер телефону комусь іншому. Якщо ви отримаєте код з програми на телефоні або фізичного ключа безпеки, який ви підключили, ваш двофакторний код не є вразливим до проблем з телефонною мережею. Для зловмисника потрібен ваш розблокований телефон або фізичний ключ безпеки, який потрібно ввійти.

Звичайно, у ідеальному світі SMS не є ідеальним рішенням. Ми пояснили, чому експерти з безпеки не люблять двоступеневу аутентифікацію на основі SMS. Але, навіть коли ми виклали цей випадок, ми спробували зробити одну річ зрозумілою: двофакторна аутентифікація на основі SMS-повідомлень набагато краще, ніж нічого.

Деяким людям потрібно більше безпеки, ніж SMS

Середній користувач зараз працює з SMS-аутентифікацією. Аутентифікація на основі SMS дає можливість зловмисникам пройти через багато додаткових неприємностей, щоб потрапити до вашого облікового запису, і ви, ймовірно, не стоїте на своїх проблемах, коли є інші більш прості та соковиті цілі. Більшість людей навіть не використовують аутентифікацію за допомогою SMS, і веб-сайт буде набагато більш безпечним місцем, якщо всі це зробили.

Люди, які, ймовірно, будуть орієнтовані на складних зловмисників, повинні уникати автентифікації на основі SMS. Наприклад, якщо ви політик, журналіст, знаменитість або бізнес-лідер, ви можете бути цілеспрямованими. Якщо ви людина з доступом до чутливих корпоративних даних, системний адміністратор з глибоким доступом до чутливих систем, або просто хтось з великими грошима в банку, SMS може бути занадто ризикованим.

Але, якщо ви - звичайна людина з обліковим записом Gmail або Facebook, і ніхто не має причин витрачати час на отримання доступу до своїх облікових записів, перевірка автентичності за допомогою SMS є прекрасною, і ви повинні повністю включити її, не використовуючи нічого.

Ви тільки так захищені, як найслабкіша ланка

Ось ще одна невдала правда, що, здається, всі прикриваються: Навіть якщо ви уникнете двофакторної автентифікації на основі SMS для облікового запису, SMS, ймовірно, доступний як резервний метод. Наприклад, навіть якщо ви генеруєте коди з додатком для входу до свого облікового запису Google, ви можете відновити свій обліковий запис, використовуючи свій номер телефону. Це допоможе вам захистити вас, якщо ви коли-небудь втратите доступ до телефону або маркера з двома факторами.

Іншими словами, багато послуг, можливо, навіть більшість, дозволяють вам потрапити до свого облікового запису з номером телефону, навіть якщо ви використовуєте код, згенерований програмою, або фізичний ключ безпеки більшості випадків. Ви тільки настільки безпечні, як найслабше в системі. Спробуйте перевірити інші способи входу, якщо у вас немає звичайного методу.

Ось чому, щоб дійсно заблокувати обліковий запис Google, вам не потрібно просто уникати двоетапної автентифікації на основі SMS. Вам також потрібно зареєструватися в Програмі розширеної захисту Google, яка є рекламою Google для журналістів, активістів, бізнес-лідерів і команд політичних кампаній. Ця безкоштовна програма вимагає від вас використовувати фізичний ключ безпеки для входу, але це також вимагає набагато більше інформацію для відновлення облікового запису.

Використовуйте SMS, якщо ви зараз не використовуєте 2FA

Ми не хочемо примушувати вас до помилкового почуття безпеки: якщо ви, напевно, будуть орієнтовані на іноземні уряди, корпоративні шпигуни чи організовані злочинці, ви абсолютно повинні уникати двофакторної автентифікації на основі SMS і блокувати рахунки з чимось більш безпечним.

Але, якщо ви - середня людина, яка ще не включила двофакторну аутентифікацію, не відмовляйтеся: SMS-базований фактор зробить вас набагато безпечнішим, ніж двофакторний. Це важлива база для безпеки.

Кожен повинен використовувати підтвердження SMS, якщо вони не використовують щось краще.