Над 90% от потребителите на Gmail не използват удостоверяване с две фактори
Помислете за това по този начин. Кажи, че искате да поставите заключване на входната врата, за да защитите дома си. Професионалистите по сигурността твърдят, че най-добрият тип заключване е по-добър от по-евтините ключалки. Разбира се, има смисъл. Но ако тази по-скъпа ключалка не е достъпна за вас, няма ли по-евтино заключване, което да е по-добре, отколкото да няма заключване изобщо?
Да, двуфакторното удостоверяване на базата на приложения е по-добро от удостоверяването на базата на SMS. Но ако SMS е всичко, което предлага услугата, все още е по-добре, отколкото да не го използвате изобщо.
SMS-базирани два фактора има някои слабости, но това е липсва точка. Нападателят ще трябва да прекара известно време, като заобиколи проверката ви чрез SMS. И повечето цели вероятно не струват толкова много усилия.
Защо ви е необходимо двуфакторно удостоверяване
Двуфакторното удостоверяване е наречено, защото изисква да имате две неща, които да влезете в профила си: нещо, което знаете (паролата си) и нещо, което имате (допълнителен код за защита от мобилното ви устройство или физическо означение).
Когато активирате двуфакторно удостоверяване на базата на SMS, услугата ще изпрати на вашия мобилен телефонен номер текстово съобщение, съдържащо еднократен код, когато влизате от ново устройство. Така че, дори ако някой има потребителско име и парола за този профил, няма да може да се регистрира в профила ви без достъп до текстовите ви съобщения.
Съществуват и други видове двуфакторни методи, включително приложения на вашия телефон, които генерират временни кодове за защита и физически ключове за сигурност, които трябва да включите в компютъра си.
Всеки тип удостоверяване с две фактори осигурява огромно количество защита за важни профили като имейла, социалните ви медии и банковите профили. Това важи особено, ако използвате повторно пароли. Много хора използват повторно пароли на няколко уебсайта и когато изтече базата от данни за пароли на една уеб страница, тази парола може да се използва за влизане в техните имейл акаунти. Двуфакторното удостоверяване щяло да спре това право в своите песни.
Това не означава, че трябва да използвате повторно пароли. Не трябва да използвате повторно пароли. Трябва да използвате добър мениджър на пароли, за да следите силните уникални пароли.
Защо хората казват, че удостоверяването на SMS е лошо?
- Нападателят може да ви предаде и да преместите телефонния си номер към нов телефон на телефонен номер, пренасящ измама. Това е най-вероятната атака.
- Нападателят може да задържа SMS съобщения, предназначени за вас. Например, те биха могли да пропуснат клетъчна кула близо до вас или правителството може да използва достъпа си до клетъчната мрежа за препращане на съобщения.
Ето защо експертите препоръчват да се използва друг двуфакторен метод, който не може да бъде толкова лесно насилван от националните държави, и не е уязвим, ако вашият клетъчен оператор дава вашия телефонен номер на някой друг. Ако получите кода си от приложение на телефона си или физически ключ за защита, който включите, вашият двуфактор не е уязвим за проблеми с телефонната мрежа. Нападателят ще се нуждае от отключения ви телефон или от физическия ключ за сигурност, в който трябва да влезете.
Разбира се, в перфектен свят, SMS не е идеалното решение. Ние обяснихме защо експертите по сигурността не обичат удостоверяването в две стъпки, базирано на SMS. Но дори и когато изложихме този случай, се опитахме да направим едно нещо ясно: SMS-базираното двуфакторно удостоверяване е много, много по-добре от нищо.
Някои хора се нуждаят от повече сигурност, отколкото осигуряват SMS
Средният човек е добре с удостоверяване на базата на SMS за момента. Тестовете, базирани на SMS, наказват атакуващите да претърпят много допълнителни неприятности, за да влязат в профила ви и вероятно не си заслужавате проблеми, когато има други по-лесни и солидни цели. Повечето хора дори не използват SMS удостоверяване, а мрежата ще бъде много по-сигурно място, ако всички го направиха.
Хората, които вероятно ще бъдат насочени от сложни нападатели, трябва да избягват удостоверяване на базата на SMS. Например, ако сте политик, журналист, знаменитост или бизнес лидер, бихте могли да бъдат насочени. Ако сте човек с достъп до чувствителни корпоративни данни, системен администратор с дълбок достъп до чувствителни системи или просто някой с много пари в банката, SMS може да е твърде рисковано.
Но ако сте средният човек с Gmail или Facebook акаунт и никой няма причина да отделя много време за достъп до вашите акаунти, удостоверяването на SMS е добре и трябва да го направите абсолютно безплатно, вместо да използвате нищо.
Вие сте само толкова сигурни, колкото и най-слабата връзка
С други думи, много, вероятно най-много, услуги ви позволяват да влезете в профила си с вашия телефонен номер, дори и да използвате код, генериран от приложение или физически ключ за сигурност, през повечето време. Вие сте толкова сигурни, колкото най-слабата връзка в системата. Опитайте да проверите другите начини, по които можете да влезете, ако нямате нормален метод.
Ето защо, за да заключите профил в Google, не е нужно просто да избегнете двуетапното удостоверяване на базата на SMS. Освен това трябва да се регистрирате в програмата за по-добра защита на Google, която Google рекламира за "журналисти, активисти, бизнес лидери и екипи от политически кампании". Тази безплатна програма изисква да използвате физически ключ за сигурност, но също така изисква много повече информация за възстановяване на профила ви.
Моля, използвайте SMS, ако не използвате 2FA точно сега
Не искаме да ви закачаме в фалшиво чувство за сигурност: Ако сте някой, който може да бъде насочен към чужди правителства, корпоративни шпиони или организирани престъпници, вие абсолютно трябва да избягвате двуфакторна автентификация на базата на SMS и да блокирате вашето сметки с нещо по-сигурно.
Но ако сте средният човек, който все още не е активирал двуфакторната идентификация, не се разубеждавайте: два фактора, базирани на SMS, ще ви направят много по-сигурен, отколкото никой от два фактора. Това е важна базова линия за сигурност.
Всеки трябва да използва проверка чрез SMS, освен ако не използва нещо по-добро.
