In een zoektocht naar het perfecte beveiliging, de perfecte is de vijand van het goede. Mensen zijn kritiek op SMS-gebaseerde twee-factor authenticatie in het kielzog van de Reddit-hack, maar met behulp van SMS-twee-factor is nog altijd veel beter dan geen gebruik van two-factor authenticatie.
Meer dan 90% van de Gebruikers van Gmail niet met Behulp van Twee-Factor Authenticatie
Security professionals die praten over SMS-verificatie niet goed genoeg te ver voor zich. Meer dan 90% van de gebruikers van Gmail niet met behulp van een twee-factor authenticatie op alle, volgens een presentatie van Google engineer Grzegorz Milka gaf op de USENIX Enigma 2018. De nummer een ding dat de meeste mensen kunnen doen om zichzelf te beschermen online in staat te stellen een soort van twee-factor authenticatie voor hun belangrijke accounts.
Denk dat het als volgt. Zeggen dat je een slot op je voordeur, voor het beschermen van uw huis. Security professionals zijn met het argument over dat het beste type van slot beschikbaar is veel beter dan de goedkopere sloten. Zeker zinvol. Maar als dat duurder lock niet beschikbaar voor u, is niet met een goedkopere slot nog beter dan het niet hebben van een vergrendeling op alle?
Ja, de app op basis van twee-factor authenticatie is beter dan SMS-verificatie. Maar, als SMS is een dienst heeft, het is nog altijd beter dan het niet gebruikt.
SMS-twee-factor heeft een aantal zwaktes, maar die missen het punt. Een aanvaller zal hebben om tijd te besteden het omzeilen van uw SMS-verificatie. En de meeste slachtoffers zijn waarschijnlijk niet de moeite waard dat veel inspanning.
Waarom Moet Je Het Twee-Factor Authenticatie
Twee-factor authenticatie is genoemd dat, omdat het vereist dat u om twee dingen te krijgen tot uw account: iets dat u weet (uw wachtwoord) en iets dat u heeft (een extra security-code van uw mobiele apparaat of een fysieke token).
Wanneer u SMS-twee-factor authenticatie, zal de dienst het verzenden van uw mobiele telefoon nummer in een sms-bericht met een one-time code wanneer u zich aanmeldt vanaf een nieuw apparaat. Dus, zelfs als iemand uw gebruikersnaam en wachtwoord voor dat account, zullen ze niet in staat om in te loggen op uw account zonder toegang tot uw sms-berichten.
Er zijn ook andere vormen van twee-factor methoden, waaronder de apps op je telefoon die het genereren van tijdelijke beveiliging codes en fysieke beveiliging toetsen hoeft aan te sluiten op uw computer.
Een soort van twee-factor authenticatie biedt een enorme hoeveelheid van bescherming voor belangrijke accounts zoals uw e-mail, sociale media, en bankrekeningen. Dit is vooral waar als je wachtwoord opnieuw gebruiken. Veel mensen hergebruiken van wachtwoorden op meerdere websites en als één van de website van het wachtwoord van de database lekken, dat wachtwoord kan worden gebruikt om in te loggen op hun e-mailaccounts. Twee-factor authenticatie zou stoppen in zijn tracks.
Dat betekent niet dat je moet wachtwoord opnieuw gebruiken. U moet niet opnieuw gebruiken van wachtwoorden. U moet gebruik maken van een goede password manager om bij te houden van sterke en unieke wachtwoorden.
Waarom Doen Mensen Zeggen SMS-Authenticatie is Slecht?
SMS-twee-factor authenticatie wordt niet beschouwd als ideaal, want iemand kan stelen van uw telefoon nummer of het onderscheppen van uw sms-berichten. Bijvoorbeeld:
- Een aanvaller kan voordoen als u en verplaatsen van uw telefoonnummer naar een nieuwe telefoon een telefoonnummer in met het porten van zwendel. Dit is de meest waarschijnlijke aanval.
- Een aanvaller kan onderscheppen van SMS berichten die bedoeld zijn voor u. Dat zou bijvoorbeeld kunnen door een spoof van een zendmast in de buurt van u, of een door de overheid zou haar de toegang tot het mobiele netwerk voor het doorsturen van berichten.
Dat is de reden waarom deskundigen adviseren het gebruik van een andere twee-factor methode, die niet zo gemakkelijk misbruikt door de nationale staten en is niet kwetsbaar als uw mobiele drager geeft uw telefoonnummer aan iemand anders. Als u uw code van een app op uw telefoon of met een fysieke veiligheid-toets sluit u, uw twee-factor is niet kwetsbaar voor problemen met het telefoon netwerk. De aanvaller moet uw ontgrendeld telefoon of de fysieke beveiliging-toets hebt u aan te melden.
Zeker, in een perfecte wereld, SMS is niet de ideale oplossing. We hebben uitgelegd waarom security experts niet als SMS-gebaseerde verificatie in twee stappen. Maar, zelfs als we vastgelegd dat geval hebben we geprobeerd om een ding duidelijk maken: SMS-twee-factor authenticatie is veel beter dan niets.
GERELATEERD: Waarom Moet Je niet Gebruik maken van SMS voor de Twee-Factor Authenticatie (en Wat te Gebruiken in de Plaats)
Sommige Mensen hebben Nood aan Meer Zekerheid Biedt Dan SMS
De gemiddelde persoon is prima met SMS-verificatie voor nu. SMS-verificatie maakt aanvallers gaan door een heleboel extra problemen te krijgen tot uw account, en je bent waarschijnlijk niet de moeite waard hun problemen wanneer er andere makkelijker en sappiger doelen die er zijn. De meeste mensen weten niet eens gebruik van SMS-authenticatie, en het web zou een veel veiliger plek als iedereen dat deed.
Mensen die waarschijnlijk te worden gericht door geavanceerde aanvallers moet voorkomen dat SMS-verificatie. Bijvoorbeeld, als je een politicus, journalist, beroemdheid, of zakelijke leider, je zou kunnen worden gericht. Als je een persoon met toegang tot gevoelige bedrijfsgegevens, een systeem beheerder met diepe toegang tot gevoelige systemen, of gewoon iemand met veel geld in de bank, SMS is mogelijk te riskant.
Maar, als je de gemiddelde persoon met een Gmail-of Facebook account en niemand heeft een reden om te besteden een heleboel tijd om toegang te krijgen tot uw accounts, SMS-authenticatie is prima en je moet absoluut inschakelen in plaats van helemaal niets.
U bent zo Veilig Als de Zwakste schakel
Hier is nog een ongelukkige waarheid is dat iedereen lijkt te verdoezelen: Zelfs wanneer u geen SMS-twee-factor authenticatie voor een account, SMS is waarschijnlijk beschikbaar als fallback methode. Bijvoorbeeld, zelfs als u codes genereren met een app om in te loggen bij uw Google-account, kunt u uw account herstellen met behulp van uw telefoonnummer. Dit is om u te beschermen als u ooit de toegang tot uw twee-factor telefoon of token.
In andere woorden, veel—waarschijnlijk zelfs de meeste—diensten kunt u krijgen bij uw account met uw telefoonnummer, ook als u een app-gegenereerde code of een fysieke veiligheid sleutel de meeste van de tijd. U bent zo veilig als de zwakste schakel in het systeem. Probeer het controleren van de andere manieren waarop u zich kunt aanmelden als u nog niet uw normale methode.
Dat is de reden waarom, echt lock down een Google-account, je hoeft niet alleen nodig om te voorkomen dat SMS-gebaseerde verificatie in twee stappen. Ook moet u zich inschrijven in Google ‘ s Geavanceerde Bescherming van het Programma, die is Google adverteert voor “journalisten, activisten, ondernemers en politieke campagne teams.” Dit gratis programma, moet u gebruik maken van een fysieke veiligheid-toets om te melden, maar het vraagt ook veel meer informatie om je account te herstellen.
Gebruik van SMS Als Je Geen Gebruik 2FA Nu
We willen niet te wiegen je in een vals gevoel van veiligheid: Als u iemand bent waarschijnlijk te worden gericht door buitenlandse overheden, corporate spionnen, of van de georganiseerde misdaad, die u absoluut moet vermijden SMS-twee-factor authenticatie-en vergrendelen van uw accounts met iets meer veilig.
Maar, als je de gemiddelde persoon die nog niet is ingeschakeld twee-factor authenticatie toch, wees niet ontmoedigd: SMS-twee-factor zal u een veel veiliger dan geen twee-factor. Het is een belangrijke basis voor veiligheid.
Iedereen mag gebruik maken van de SMS-verificatie, tenzij ze met iets beter.
Image Credit: golubovystock/Shutterstock.com.