I en strävan efter att perfekt säkerhet, det perfekta är det godas fiende. Människor kritiserar SMS-baserade två-faktor autentisering i kölvattnet av Reddit hack, men med hjälp av SMS-baserade två faktorn är fortfarande mycket bättre än att inte använda två-faktor autentisering på alla.
Över 90% av Gmail-Användare inte Använder Två-Faktor Autentisering
Säkerhets-och sjukvårdspersonal som pratar om SMS-verifiering att inte vara tillräckligt bra blir för långt före sig själva. Över 90% av Gmail-användare inte använder någon två-faktor autentisering alls, enligt en presentation från Google ingenjör Grzegorz Milka gav på USENIX Gåta 2018. Antalet en sak de flesta människor kan göra för att skydda sig själva på nätet är att göra någon typ av två-faktor autentisering för deras viktiga konton.
Tänk på det så här. Säg att du vill sätta ett lås på din dörr för att skydda ditt hem. Security professionals argumenterar om att den bästa typ av lås som finns är mycket bättre än billigare lås. Visst, det låter vettigt. Men om det dyrare lås är inte tillgängligt för dig, är inte att ha en billigare låsa fortfarande bättre än att inte ha ett lås på alla?
Ja, app-baserade två faktors autentisering är bättre än SMS-baserad autentisering. Men, om SMS är en tjänst som erbjuds, det är fortfarande bättre än att inte använda det alls.
SMS-baserade två faktor har vissa svagheter, men det är missar poängen. En angripare kommer att spendera tid förbi din SMS-verifiering. Och de flesta målen är förmodligen inte värt så mycket ansträngning.
Varför Du Behöver Två-Faktor Autentisering
Två-faktor autentisering heter det eftersom det kräver att du har två saker för att komma in på ditt konto: något du vet (lösenordet) och något du har (en extra säkerhets kod från din mobila enhet eller en fysisk token).
När du aktiverar SMS-baserade två faktors autentisering, kommer tjänsten att skicka ditt mobilnummer ett sms som innehåller en en-gång-kod varje gång du loggar in från en ny enhet. Så, även om någon har ditt användarnamn och lösenord för det konto, kommer de inte att kunna logga in på ditt konto utan tillgång till din sms-meddelanden.
Det finns också andra typer av två-faktor metoder, inklusive de appar på telefonen att generera tillfälliga säkerhetskoder och fysisk säkerhet nycklar du behöver koppla in datorn.
Någon typ av två-faktor autentisering ger en stor mängd av skydd för viktiga konton som du använder för e-post, sociala medier, och bankkonton. Detta är särskilt sant om du återanvända lösenord. Många människor återanvända lösenord på flera olika webbplatser, och när en webbplats lösenord databas läckor, som lösenord kan användas för att logga in på sina e-postkonton. Två-faktor autentisering skulle stoppa detta just i dess spår.
Det betyder inte att du ska återanvända lösenord. Du bör inte återanvända lösenord. Du bör använda ett bra lösenord manager för att hålla koll på starka och unika lösenord.
Varför måste Folk Säga att SMS-Autentisering är Dåligt?
SMS-baserade två-faktor autentisering anses inte vara perfekt för att någon kan stjäla ditt telefonnummer eller avlyssna dina textmeddelanden. Till exempel:
- En angripare kan uppträda som du och flytta ditt telefonnummer till en annan telefon i en telefon antal portnings bluff. Detta är den mest sannolika attack.
- En angripare skulle kunna avlyssna SMS-meddelanden som är avsedda för dig. De kan till exempel imitera en mobilmaster nära dig, eller en regering kan använda sin tillgång till nätet för att vidarebefordra meddelanden.
Det är därför experter rekommenderar att du använder en annan två-faktor-metoden, en som inte kan så lätt missbrukas av nationalstater och är inte utsatt om ditt cellulära transportören ger ditt telefonnummer till någon annan. Om du får din kod från en app på telefonen eller en fysisk säkerhetsnyckel du ansluter din två-faktor inte är sårbara för problem med telefonen nätverk. Angriparen behöver din olåst telefon eller fysiska säkerhetsnyckel måste du logga in.
Visst, i en perfekt värld, SMS är inte den idealiska lösningen. Vi har förklarat varför säkerhetsexperter inte gillar SMS-baserad autentisering i två steg. Men, även när vi har lagt ut så fall, vi försökte göra en sak klar: SMS-baserade två-faktor autentisering är mycket, mycket bättre än ingenting.
RELATERAT: Varför Bör Du inte Använda SMS för Två-Faktor Autentisering (och Vad man ska Använda Istället)
Vissa Människor Behöver Mer Säkerhet Än SMS Ger
Den genomsnittliga personen är bra med SMS-baserad autentisering för nu. SMS-baserad autentisering gör angripare gå igenom en massa extra besvär för att komma in på ditt konto, och du är förmodligen inte värt sina problem när det finns andra enklare och saftigare mål ute. De flesta människor inte ens använda SMS-autentisering, och webben skulle vara en mycket säkrare plats om alla gjorde.
Människor som är benägna att vara måltavla sofistikerade attacker bör undvika SMS-baserad autentisering. Till exempel, om du är politiker, journalist, kändis, eller företagsledare, kan du vara målinriktad. Om du är en person med tillgång till känslig data, en systemadministratör med djupt tillgång till känsliga system, eller bara någon med mycket pengar på banken, ett SMS kan vara för riskabelt.
Men, om du är en vanlig människa med ett Gmail-eller Facebook konto och ingen har en anledning att spendera en massa tid på att få tillgång till dina konton, SMS-autentisering är fin och du borde absolut göra det möjligt snarare än ingenting alls.
Du är Bara Så Säker Som den Svagaste Länken
Här är en annan olyckliga sanningen som alla verkar för att skyla över: Även om du undviker att SMS-baserade två-faktor autentisering för ett konto, SMS är förmodligen finns tillgänglig som en alternativ metod. Till exempel, även om du generera koder med en app för att logga in på ditt Google-konto kan du återställa kontot med hjälp av ditt telefonnummer. Detta är för att skydda dig om du någon gång förlorar åtkomst till din två-faktor telefon eller token.
Med andra ord, många—förmodligen även de flesta—tjänster kan du komma in på ditt konto med ditt telefonnummer, även om du använder en app-genererad kod eller en fysisk säkerhetsnyckel för det mesta. Du är bara så säker som den svagaste länken i systemet. Prova att kontrollera andra sätt du kan logga in om du inte har din normala metoden.
Det är därför, för att verkligen låsa ner en Google-konto, behöver du inte bara att undvika SMS-baserad autentisering i två steg. Du måste också anmäla dig till Googles Avancerade Programmet för Skydd, vilket är Google gör reklam för “journalister, aktivister, företagsledare och politiska kampanj lag.” Detta gratis program kräver att du använder en fysisk säkerhet-tangenten för att logga in, men det kräver också mycket mer information för att återställa ditt konto.
Använd SMS Om Du Inte Använder 2FA Just Nu
Vi vill inte att invagga dig i en falsk känsla av trygghet: Om du är någon som kan bli föremål för utländska regeringar, företag spioner, eller organiserade brottslingar, du bör absolut undvika SMS-baserade två-faktor autentisering och låsa dina konton med något säkrare.
Men, om du är en vanlig människa som inte har aktiverat två-faktor autentisering ännu, inte avskräckas: SMS-baserade två faktor som kommer att göra dig till en mycket säkrare än ingen två-faktor på alla. Det är en viktig grund för trygghet.
Alla borde använda SMS-verifiering om de använder något bättre.
Image Credit: golubovystock/Shutterstock.com.