Više od 90% korisnika usluge Gmail ne upotrebljava autentifikaciju s dva faktora
Razmislite o ovome. Recimo da želite staviti bravu na prednja vrata kako bi zaštitili svoj dom. Sigurnosni stručnjaci raspravljaju o tome da je najbolja vrsta zaključavanja dostupna bolji od jeftinijih bravica. Naravno, ima smisla. Ali ako vam to skuplje zaključavanje nije dostupno, nema li jeftinije zaključavanje još bolje nego da uopće nema bravu?
Da, autentikacija dvaju čimbenika temeljenih na aplikacijama bolja je od provjere autentičnosti na temelju SMS-a. No, ako su SMS-ovi sve usluge, to je još uvijek bolje od toga da ga uopće ne koristite.
Dva čimbenika na temelju SMS-a ima neke slabosti, ali to nedostaje. Napadač će morati provoditi vrijeme zaobilazeći SMS potvrdu. I većina ciljeva vjerojatno ne vrijedi toliko truda.
Zašto trebate dva faktora autentifikacije
Potvrda autentičnosti s dva faktora zove se jer to zahtijeva da na svoj račun imate dvije stvari: nešto što znate (svoju zaporku) i nešto što imate (dodatni sigurnosni kod s mobilnog uređaja ili fizičkog toka).
Kada omogućite autentifikaciju s dva faktora temeljena na SMS-u, usluga će vam poslati broj mobilnog telefona SMS poruku koja sadrži jednokratni kôd pri svakom prijavljivanju s novog uređaja. Dakle, čak i ako netko ima vaše korisničko ime i zaporku za taj račun, neće se moći prijaviti na vaš račun bez pristupa tekstovnim porukama.
Postoje i druge vrste metoda s dva faktora, uključujući aplikacije na telefonu koje generiraju privremene sigurnosne kodove i fizičke sigurnosne ključeve koje morate priključiti na računalo.
Bilo koja vrsta autentikacije za dva faktora pruža veliku količinu zaštite za važne račune poput vaše e-pošte, društvenih medija i bankovnih računa. To naročito vrijedi ako ponovno koristite lozinke. Mnogi korisnici ponovno upotrebljavaju lozinke na više web mjesta i, kada propadnu bazu podataka lozinke jedne web stranice, ta se lozinka može koristiti za prijavu na njihove račune e-pošte. Dva tekuća autentikacija zaustavila bi ovo pravo na svojim zapisima.
To ne znači da biste trebali ponovno upotrebljavati zaporke. Ne biste trebali ponovno upotrebljavati zaporke. Koristite dobru upravitelj lozinke za praćenje snažnih, jedinstvenih zaporki.
Zašto ljudi kažu da je SMS provjera autentičnosti loša?
- Napadač vas može lažno predstavljati i premjestiti vaš telefonski broj na novi telefon u prijevaru telefonskog broja. Ovo je najvjerojatniji napad.
- Napadač mogao je presresti SMS poruke namijenjene vama. Na primjer, mogli bi vam približiti staničnu torbu kod vas, ili bi vlada mogla iskoristiti svoj pristup mobilnoj mreži za prosljeđivanje poruka.
Zato stručnjaci preporučuju upotrebu druge metode s dva faktora, koja ne može biti tako zlostavljana od strane nacionalnih država i nije ranjiva ako vaš mobilni operater daje vašem telefonskom broju nekome drugome. Ako primite svoj kôd iz aplikacije na telefonu ili fizičkog sigurnosnog ključa koji priključite, vaš dvosmjerni uređaj nije ranjiv na probleme s telefonskom mrežom. Napadač bi trebao vaš otključani telefon ili fizički sigurnosni ključ za prijavu.
Naravno, u savršenom svijetu SMS nije idealno rješenje. Objasnili smo zašto sigurnosni stručnjaci ne vole autentifikaciju u dva koraka temeljena na SMS-u. Ali, čak i kad smo izložili taj slučaj, pokušali smo jasno opisati: autentifikaciju s dva faktora temeljenom na SMS-u mnogo je, mnogo bolje nego ništa.
Neki ljudi trebaju veću sigurnost od SMS-a
Prosječna osoba u redu je za SMS-temeljenu autentifikaciju za sada. Provjera autentičnosti temeljena na SMS-u omogućuje napadačima mnogo dodatnih problema kako bi se uklonili na vaš račun, a vi vjerojatno ne vrijedite njihove nevolje kada postoje druge jednostavnije i zdravije ciljeve. Većina ljudi čak ne upotrebljava SMS autentifikaciju, a web bi bio mnogo sigurnije mjesto ako bi svi to učinili.
Ljudi koji su vjerojatno ciljani od strane sofisticiranih napadača trebali bi izbjegavati autentifikaciju temeljenu na SMS-u. Na primjer, ako ste političar, novinar, slavna osoba ili poslovni vođa, mogli biste biti ciljani. Ako ste osoba koja ima pristup osjetljivim korporativnim podacima, administrator sustava s dubokim pristupom osjetljivim sustavima ili samo netko s puno novca u banci može biti previše rizičan.
No, ako ste prosječna osoba s računom na usluzi Gmail ili Facebook i nitko nema razloga potrošiti mnogo vremena za pristup vašim računima, SMS provjera je u redu i trebate apsolutno omogućiti, a ne koristiti ništa.
Vi ste samo sigurni kao najslabiji link
Drugim riječima, mnogi - vjerojatno čak i većina usluga - dopuštaju vam da u svoj račun dobijete svoj telefonski broj, čak i ako većinu vremena koristite kod koji generira aplikacija ili fizički sigurnosni ključ. Ti si siguran kao najslabija veza u sustavu. Pokušajte provjeriti druge načine na koje se možete prijaviti ako nemate svoju uobičajenu metodu.
Zato, da biste zaista zaključali Google račun, ne trebate samo izbjegavati autentifikaciju u dva koraka temeljena na SMS-u. Također se morate upisati u Googleov napredni program zaštite, koji se Google oglašava za "novinare, aktiviste, voditelje poslovanja i timove za političke kampanje". Ovaj besplatni program zahtijeva korištenje fizičkog sigurnosnog ključa za prijavu, ali također zahtijeva mnogo više informacije za oporavak računa.
Molimo koristite SMS ako ne koristite 2FA Right Now
Ne želimo vas usredotočiti na lažan osjećaj sigurnosti: ako ste netko na koje cilja strane vlade, korporacijske špijune ili organizirani kriminalci, apsolutno biste trebali izbjegavati autentifikaciju s dva faktora temeljena na SMS-u i zaključati svoj računi s nešto sigurnijim.
No, ako ste prosječna osoba koja još nije omogućila provjeru autentičnosti s dva faktora, nemojte se potruditi: dva faktora temeljena na SMS-u učinit će vam mnogo sigurnijima nego uopće ne dva faktora. To je važna osnova za sigurnost.
Svatko treba upotrebljavati SMS potvrdu, osim ako ne upotrebljavaju nešto bolje.