SMS a Due fattori di Autenticazione non È Perfetto, Ma Si Deve Ancora Usare

0
47

In una ricerca per la perfetta sicurezza, il perfetto è il nemico del bene. Le persone criticano SMS di autenticazione a due fattori sulla scia del Reddit hack, ma l’utilizzo di SMS basato su due fattori, è ancora molto meglio di quanto non si utilizza l’autenticazione a due fattori.

Oltre il 90% degli Utenti di Gmail non si Utilizza l’Autenticazione a Due fattori

I professionisti della sicurezza che parlare di SMS di verifica di non essere abbastanza bravi sono sempre troppo avanti di se stessi. Oltre il 90% degli utenti di Gmail non si utilizza qualsiasi autenticazione a due fattori, secondo una presentazione di Google ingegnere Grzegorz Milka ha dato a USENIX Enigma 2018. Il numero uno cosa che la maggior parte delle persone possono fare per proteggere se stessi on-line è quello di consentire qualsiasi tipo di autenticazione a due fattori per loro account importanti.

Pensate a come questo. Dire che si desidera mettere un blocco sulla porta di casa per proteggere la vostra casa. I professionisti della sicurezza sono da discutere è il miglior tipo di blocco è il modo migliore di meno blocchi. Certo, ha un senso. Ma, se è più costoso di blocco non è disponibile, non avendo più economico di blocco sempre meglio che non avere un blocco a tutti?

Sì, applicazione basata su due fattori di autenticazione è meglio di SMS di autenticazione. Ma, se l’SMS è il servizio che offre, è sempre meglio che non lo si utilizza.

SMS-in base a due fattori ha alcuni punti deboli, ma che manca il punto. Un utente malintenzionato dovrà spendere tempo bypassando il tuo SMS di verifica. E più obiettivi, probabilmente non vale la pena che molto sforzo.

Perché Avete Bisogno Di Autenticazione A Due Fattori

L’autenticazione a due fattori è il nome che, in quanto necessita di avere due cose per entrare nel tuo account: qualcosa che si conosce (la password) e qualcosa (un ulteriore codice di sicurezza il tuo dispositivo mobile o un token fisico).

Quando si attiva l’invio di SMS a base di autenticazione a due fattori, il servizio invia il tuo numero di cellulare un sms contenente un codice unico ogni volta che si accede da un nuovo dispositivo. Così, anche se qualcuno ha il tuo nome utente e la password per l’account, non sarà in grado di accedere al tuo account senza l’accesso ai messaggi di testo.

Ci sono anche altri tipi di due-fattore di metodi, tra cui le applicazioni installate sul telefono che generano temporanei i codici di sicurezza e protezione fisica chiavi devi inserire nel tuo computer.

Qualsiasi tipo di autenticazione a due fattori fornisce una grande quantità di protezione per importanti come l’account e-mail, social media, e i conti in banca. Questo è particolarmente vero se si ri-utilizzare una password. Molte persone ri-utilizzare password su più siti web e, quando un sito web del database delle password perdite, che la password può essere utilizzato per accedere al loro account di posta elettronica. L’autenticazione a due fattori sarebbe interrompere questo diritto nelle sue tracce.

Questo non significa che non si dovrebbe ri-utilizzare una password. Non si dovrebbe ri-utilizzare una password. Si dovrebbe utilizzare una password manager per tenere traccia delle tue password.

Perché la Gente Dice di Autenticazione SMS è di Male?

SMS di autenticazione a due fattori non è considerato ideale, perché qualcuno potrebbe rubare il vostro numero di telefono o di intercettare i messaggi di testo. Per esempio:

  • Un utente malintenzionato potrebbe rappresentare voi e passare il tuo numero di telefono per un nuovo telefono cellulare in un telefono cellulare, numero di porting di truffa. Questo è l’attacco più probabile.
  • Un utente malintenzionato potrebbe intercettare SMS messaggi a lui destinati. Per esempio, si può simulare una torre cellulare vicino, o un governo potrebbe utilizzare il suo accesso alla rete cellulare per inoltrare i messaggi.

Ecco perché gli esperti consigliano di utilizzare un altro due-fattore di metodo, che non possono essere facilmente abusato da stati-nazione e non è vulnerabile se il tuo cellulare vettore dà il proprio numero di telefono a qualcun altro. Se ricevi il codice da un’app sul tuo telefono cellulare o un fisico chiave di protezione plug in, i due fattori non è vulnerabile a problemi con la rete telefonica. L’attaccante avrebbe bisogno del vostro telefono sbloccato o la sicurezza fisica tasto per accedere.

Certo, in un mondo perfetto, l’SMS non è la soluzione ideale. Abbiamo spiegato perché gli esperti di sicurezza non come SMS basato su due fasi di autenticazione. Ma, anche quando abbiamo gettato quel caso, abbiamo cercato di chiarire una cosa: SMS di autenticazione a due fattori è molto, molto meglio di niente.

CORRELATI: Perché non Usare SMS per l’Autenticazione a Due fattori (e Cosa Usare al suo posto)

Alcune Persone hanno Bisogno di una Protezione Maggiore Rispetto ad SMS

La persona media si trova bene con SMS di autenticazione per ora. SMS di autenticazione basato su rende attaccanti passare attraverso un sacco di difficoltà ad accedere al tuo account, e probabilmente non vale la pena il loro problemi, quando ci sono altri più facile e più succoso obiettivi. La maggior parte delle persone non usano neanche SMS di autenticazione, e il web sarebbe molto più sicuro se tutti lo facessero.

Le persone che sono suscettibili di essere bersaglio di attacchi sofisticati dovrebbe evitare di SMS di autenticazione. Per esempio, se sei un politico, giornalista, celebrità, o business leader, si potrebbe essere presi di mira. Se sei una persona con l’accesso ai dati sensibili dell’azienda, un amministratore di sistema con profonda di accesso a sistemi sensibili, o semplicemente qualcuno con un sacco di soldi in banca, SMS può essere troppo rischioso.

Ma, se sei la persona media con un account Gmail o Facebook account e nessuno ha un motivo in più per trascorrere un sacco di tempo ottenere l’accesso al vostro account di autenticazione SMS va bene e si deve assolutamente permettere di esso, piuttosto che usare niente.

Sei Solo Sicuro Come l’anello più Debole

Ecco un’altra triste verità che tutti sembrano sorvolare: Anche se si evita di SMS di autenticazione a due fattori per un account, SMS, probabilmente, è disponibile come metodo di ripiego. Per esempio, anche se è possibile generare i codici con un’app per accedere al tuo account Google, è possibile recuperare il tuo account utilizzando il tuo numero di telefono. Questo è quello di proteggere voi, se mai perdere l’accesso ai due fattori di telefono o token.

In altre parole, molti—probabilmente anche di più—servizi consentono di accedere al tuo account con il tuo numero di telefono, anche se si utilizza un app-codice generato o un fisico chiave di sicurezza la maggior parte del tempo. Sei solo sicuro come l’anello più debole del sistema. Prova a controllare gli altri modi in cui si può accedere se non avete il vostro metodo normale.

Ecco perché, per bloccare un account Google, non solo la necessità di evitare di SMS basato su due fasi di autenticazione. È inoltre necessario iscriversi a Google Avanzato Programma di Protezione, che è di Google pubblicizza per “giornalisti, attivisti, dirigenti d’azienda, politici e squadre in campagna elettorale.” Questo programma gratuito ti richiede l’uso di un fisico chiave di sicurezza per accedere, ma si richiede anche molto di più informazioni per recuperare il tuo account.

Si prega di Utilizzare SMS Se Non Si Utilizza 2FA Adesso

Non vogliamo cullare in un falso senso di sicurezza: Se sei una persona probabilmente a essere preso di mira dai governi esteri, corporate spie, o di criminalità organizzata, si dovrebbero assolutamente evitare di SMS di autenticazione a due fattori e bloccare i conti con qualcosa di più sicuro.

Ma, se sei la persona media che non ha abilitato l’autenticazione a due fattori di sicurezza, non essere dissuasi: SMS-in base a due fattori vi farà molto più sicuro di no a due fattori. È una base importante per la sicurezza.

Tutti dovrebbero usare gli SMS di verifica, a meno che non stai usando qualcosa di meglio.

Immagine di Credito: golubovystock/Shutterstock.com.