loader

SMS Tvåfaktor Auth är inte perfekt, men du borde fortfarande använda den

Anonim

I en strävan efter perfekt säkerhet är den perfekta fienden av det goda. Människor kritiserar SMS-baserad tvåfaktorsautentisering i kölvattnet av Reddit-hacket, men med hjälp av SMS-baserade tvåfaktorer är det fortfarande mycket bättre än att inte använda tvåfaktors autentisering alls.

Över 90% av Gmail-användare använder inte tvåfaktorautentisering

Säkerhetsprofessorer som pratar om SMS-verifiering är inte tillräckligt bra blir alltför långt framför sig själva. Över 90% av Gmail-användare använder inte någon tvåfaktorsautentisering alls enligt en presentation som Google-ingenjör Grzegorz Milka gav hos USENIX Enigma 2018. Den första sak som de flesta människor kan göra för att skydda sig online är att möjliggöra alla typer av tvåfaktors autentisering för sina viktiga konton.

Tänk på det så här. Säg att du vill sätta ett lås på din ytterdörr för att skydda ditt hem. Säkerhetsproffs argumenterar för att den bästa typen av lås som finns är bättre än billigare låser. Visst, meningsfullt. Men om det dyrare låset inte är tillgängligt för dig, har du inte en billigare lås ännu bättre än att inte ha låsa alls?

Ja, appbaserad tvåfaktorsautentisering är bättre än SMS-baserad autentisering. Men om SMS är alla en tjänst erbjuder det fortfarande bättre än att inte använda det alls.

SMS-baserad tvåfaktor har vissa svagheter, men det saknas punkten. En angripare kommer att behöva spendera tid förbi din SMS-verifiering. Och de flesta mål är nog inte värda så mycket arbete.

Varför behöver du tvåfaktorautentisering

Tvåfaktorsautentisering heter det eftersom det kräver att du har två saker att komma in på ditt konto: något du vet (ditt lösenord) och något du har (en extra säkerhetskod från din mobilenhet eller en fysisk token).

När du aktiverar SMS-baserad tvåfaktorsautentisering skickar tjänsten ditt mobilnummer ett SMS med en engångskod när du loggar in från en ny enhet. Så även om någon har ditt användarnamn och lösenord för det kontot kommer de inte att kunna logga in på ditt konto utan åtkomst till dina textmeddelanden.

Det finns också andra typer av tvåfaktormetoder, inklusive appar på din telefon som genererar tillfälliga säkerhetskoder och fysiska säkerhetsnycklar som du måste ansluta till din dator.

Vilken typ av tvåfaktorsautentisering ger en enorm mängd skydd för viktiga konton som din e-post, sociala medier och bankkonton. Det här gäller speciellt om du använder lösenord igen. Många återanvända lösenord på flera webbplatser och, när en webbplats lösenordsdatabas läcker, kan lösenordet användas för att logga in på sina e-postkonton. Tvåfaktorautentisering skulle stoppa detta rätt i dess spår.

Det betyder inte att du ska återanvända lösenord. Du bör inte använda lösenord igen. Du bör använda en bra lösenordshanterare för att hålla reda på starka, unika lösenord.

Varför säger folk att SMS-autentisering är dålig?

SMS-baserad tvåfaktorsautentisering anses inte som idealisk eftersom någon kan stjäla ditt telefonnummer eller fånga dina textmeddelanden. Till exempel:

  • En angripare kan efterlikna dig och flytta ditt telefonnummer till en ny telefon i ett telefonnummer som skickar bluff. Detta är den mest sannolika attacken.
  • En angripare kan fånga upp SMS-meddelanden som är avsedda för dig. De kan till exempel spionera ett celltorn nära dig, eller en regering kan använda sin tillgång till mobilnätet för att vidarebefordra meddelanden.

Därför rekommenderar experter att använda en annan tvåfaktormetod, en som inte kan vara lika lätt missbrukad av medborgarna och inte är sårbar om din mobiloperatör ger ditt telefonnummer till någon annan. Om du får din kod från en app på din telefon eller en fysisk säkerhetsnyckel du pluggar in, är din tvåfaktor inte sårbar för problem med telefonnätet. Attackeren behöver din olåst telefon eller den fysiska säkerhetsnyckel du måste logga in.

Visst, i en perfekt värld är SMS inte den perfekta lösningen. Vi har förklarat varför säkerhetsexperter inte gillar SMS-baserad tvåstegsautentisering. Men även när vi lade fram det fallet försökte vi göra en sak klar: SMS-baserad tvåfaktorsautentisering är mycket, mycket bättre än ingenting.

Vissa människor behöver mer säkerhet än SMS tillhandahåller

Den genomsnittliga personen är bra med SMS-baserad autentisering för nu. SMS-baserad autentisering gör att angripare går igenom mycket extra problem att komma in på ditt konto, och du är nog inte värd för deras problem när det finns andra enklare och juicier mål där ute. De flesta använder inte ens SMS-autentisering, och webben skulle vara en mycket säkrare plats om alla gjorde det.

Människor som sannolikt kommer att riktas mot sofistikerade angripare bör undvika SMS-baserad autentisering. Om du till exempel är politiker, journalist, kändis eller företagsledare kan du rikta in sig. Om du är en person med tillgång till känslig företagsdata, en systemadministratör med djup tillgång till känsliga system eller bara en person med mycket pengar i banken, kan SMS vara för riskabelt.

Men om du är den genomsnittliga personen med ett Gmail- eller Facebook-konto och ingen har en anledning att tillbringa en massa tid på att få tillgång till dina konton, är SMS-autentisering bra och du borde absolut aktivera det istället för att använda ingenting alls.

Du är bara så säker som den svagaste länken

Här är en annan olycklig sanning som alla tycks glöda över: Även om du undviker SMS-baserad tvåfaktorsautentisering för ett konto, är SMS troligen tillgängligt som en återgångsmetod. Om du till exempel skapar koder med en app för att logga in på ditt Google-konto kan du återställa ditt konto med ditt telefonnummer. Det här skyddar dig om du någonsin förlorar åtkomst till din tvåfaktorns telefon eller token.

Med andra ord kan många förmodligen även de flesta tjänsterna komma in på ditt konto med ditt telefonnummer, även om du använder en appgenererad kod eller en fysisk säkerhetsnyckel oftast. Du är bara så säker som den svagaste länken i systemet. Prova att kontrollera de andra sätten du kan logga in om du inte har din normala metod.

Därför behöver du inte bara undvika SMS-baserad tvåstegsautentisering för att verkligen låsa upp ett Google-konto. Du måste också registrera dig i Googles avancerade skyddsprogram, som Google annonserar för "journalister, aktivister, företagsledare och politiska kampanjgrupper". Det här programmet kräver att du använder en fysisk säkerhetsnyckel för att logga in, men det kräver också mycket mer information för att återställa ditt konto.

Vänligen använd SMS om du inte använder 2FA just nu

Vi vill inte lura dig i en falsk känsla av säkerhet: Om du är någon som kan riktas av utländska regeringar, företags spioner eller organiserade brottslingar, borde du absolut undvika SMS-baserad tvåfaktorsautentisering och låsa ner din konton med något säkrare.

Men om du är den genomsnittliga personen som inte har aktiverat tvåfaktors autentisering, misslyckas inte: SMS-baserad tvåfaktor gör dig mycket säkrare än ingen tvåfaktor alls. Det är en viktig grundlinje för säkerhet.

Alla ska använda SMS-verifiering om de inte använder något bättre.

Redaktionen