Yli 90% Gmail-käyttäjistä ei käytä kaksilukuista todentamista
Ajattele sitä näin. Sano, että haluat laittaa lukon etuoviisi kotiisi suojaamiseksi. Turvallisuusalan ammattilaiset ovat väittäneet, että paras lukotyyppi on parempi kuin halvempaa lukkoa. Toki, on järkevää. Mutta jos tämä kalliimpi lukko ei ole sinulle saatavilla, ei ole halvempaa lukkoa vielä parempi kuin ei lukko lainkaan?
Kyllä, app-pohjainen kaksi tekijän todennus on parempi kuin SMS-pohjainen todennus. Mutta jos tekstiviesti on kaikki palvelu tarjoaa, se on silti parempi kuin ei ollenkaan.
Tekstiviesteihin perustuvilla kahdella tekijällä on joitakin heikkouksia, mutta siitä puuttuu asia. Hyökkääjän on vietä aikaa ohita tekstiviestivahvistus. Ja useimmat tavoitteet eivät todennäköisesti ole kovin suuria ponnistuksia.
Miksi tarvitset kaksilukuista todentamista
Kaksitasoinen todennus on nimetty, koska se edellyttää, että sinulla on kaksi asiaa päästäksesi tiliisi: jotain tiedät (salasanasi) ja jotain, mitä sinulla on (lisäsuojauskoodi mobiililaitteestasi tai fyysinen token).
Kun otat SMS-pohjaisen kahden tekijän todennuksen käyttöön, palvelu lähettää matkapuhelinnumerosi tekstiviestin, joka sisältää kertaluonteisen koodin aina, kun kirjaudut uudesta laitteesta. Joten, vaikka jollakulla olisi käyttäjätunnuksesi ja salasanasi kyseiselle tilille, he eivät voi kirjautua tilillesi ilman pääsyä tekstiviesteihisi.
Myös muita kaksitasoisia menetelmiä, kuten puhelimessa olevia sovelluksia, jotka tuottavat väliaikaisia turvakoodeja ja fyysisiä suojausavaimia, jotka sinun on liitettävä tietokoneeseen.
Kaikki kahden tekijän todennustyypit tarjoavat valtavan määrän suojauksia tärkeille tileille, kuten sähköpostiosoitteellesi, sosiaaliselle medialle ja pankkitileille. Tämä pätee erityisesti silloin, kun käytät salasanoja uudelleen. Monet ihmiset käyttävät uudelleen salasanoja useilla verkkosivustoilla, ja kun yhden sivuston salasanatietokanta vuotaa, salasanan avulla voidaan kirjautua heidän sähköpostitileihinsä. Kaksitekstinen todennus pysäyttäisi tämän oikein kappaleissaan.
Tämä ei tarkoita sitä, että sinun pitäisi käyttää salasanoja uudelleen. Älä käytä salasanoja uudelleen. Sinun tulisi käyttää hyvä salasanan ylläpitäjää, jotta voimme seurata vahvoja, ainutlaatuisia salasanoja.
Miksi ihmiset sanovat SMS-todentamisen olevan huono?
- Hyökkääjä voi lauluta sinut ja siirtää puhelinnumerosi uuteen puhelimeen puhelinnumeroon, jossa on huijaus. Tämä on todennäköisin hyökkäys.
- Hyökkääjä voi siepata sinulle tarkoitettuja tekstiviestejä. Esimerkiksi he voivat pilata soluritorniasi lähelläsi, tai hallitus voisi käyttää pääsyä solukkoverkkoon viestien välittämiseen.
Siksi asiantuntijat suosittelevat toisen kaksitahoisen menetelmän käyttöä, jota kansallisvaltiot eivät voi yhtä helposti väärinkäyttää eikä ole haavoittuva, jos matkapuhelinoperaattori antaa puhelinnumerosi jollekin toiselle. Jos saat koodisi puhelimesi sovelluksesta tai fyysisestä turvakoodista, johon olet liittänyt, kaksitasoinen tekijä ei ole altis puhelinverkkoon liittyville ongelmille. Hyökkääjä tarvitsee avaamasi puhelimen tai fyysisen turvakoodin, johon sinun on kirjauduttava sisään.
Varmasti, täydellisessä maailmassa, SMS ei ole ihanteellinen ratkaisu. Olemme selittäneet, miksi turvallisuusasiantuntijat eivät pidä SMS-pohjaista kaksivaiheista todennusta. Mutta vaikka esittelemme asian, yritimme tehdä yhden asian selväksi: SMS-pohjainen kaksitekijäinen todentaminen on paljon, paljon parempaa kuin mikään.
Jotkut ihmiset tarvitsevat enemmän turvallisuutta kuin tekstiviestipalvelut
Keskimääräinen henkilö on hyvin SMS-pohjaisella todennuksella. SMS-pohjainen autentikointi tekee hyökkääjät menevästä ylimääräisestä ongelmasta päästäkseen tilillesi, eikä sinä todennäköisesti ole heidän haasteensa, kun siellä on muita helpompia ja juicier-kohteita. Useimmat ihmiset eivät edes käytä tekstiviestitodennusta, ja verkko olisi paljon turvallisempi paikka, jos kaikki tekisivät.
Henkilöiden, jotka todennäköisesti kohdistetaan hienostuneiden hyökkääjien vuoksi, pitäisi välttää SMS-pohjainen todentaminen. Jos esimerkiksi olet poliitikko, toimittaja, julkkis tai yritysjohtaja, voit olla kohdistettu. Jos olet henkilö, jolla on pääsy arkaluonteisiin yritystietoihin, järjestelmän ylläpitäjä, jolla on syvä pääsy herkkiin järjestelmiin tai vain joku, jolla on paljon rahaa pankissa, saattaa olla liian riskialtista.
Mutta jos olet keskimäärin henkilö, jolla on Gmail- tai Facebook-tili ja kukaan ei ole syytä viettää aikaa saada tilillesi käyttöoikeudet, tekstiviestitunnistus on hieno ja sinun on ehdottomasti sallittava sen sijaan, että käytät mitään.
Olet vain varma kuin heikoin linkki
Toisin sanoen monien, todennäköisesti jopa useimpien palveluiden avulla pääset tiliisi puhelinnumerosi kanssa, vaikka käytätkin sovelluksen luomaa koodia tai fyysistä suojausavainta suurimman osan ajasta. Olet vain yhtä turvallinen kuin järjestelmän heikoin linkki. Yritä tarkistaa, miten voit kirjautua sisään, jos sinulla ei ole normaalia tapaa.
Siksi, jos haluat todella sulkea Google-tilin, sinun ei tarvitse vain välttää SMS-pohjaista kaksivaiheista todennusta. Sinun on myös ilmoittauduttava Googlen Advanced Protection -ohjelmaan, joka Google mainostaa "toimittajille, aktivisteille, yritysjohtajille ja poliittisille kampanjaryhmille." Tämä ilmainen ohjelma edellyttää, että käytät fyysistä turvakoodia kirjautumiseen, mutta se vaatii myös paljon enemmän tietoja tilin palauttamiseksi.
Käytä tekstiviestejä, jos et käytä 2FA: ta juuri nyt
Emme halua saada sinut väärennetyn turvallisuuden tunteen: Jos olet joku, jonka ulkomaiset hallitukset, yrityskyrät tai järjestäytyneet rikolliset todennäköisesti kohdistavat, sinun on ehdottomasti vältettävä SMS-pohjaista kaksitasoista todennusta ja lukitse tilit jotain turvallisempaa.
Jos olet siis keskimääräinen henkilö, joka ei ole vielä ottanut käyttöön kaksitasoista todentamista, älä jätä huomiotta. SMS-pohjainen tekijä tekee sinusta paljon turvallisempaa kuin ei lainkaan kahdenkertaista. Se on turvallisuuden tärkeä lähtökohta.
Kaikkien pitäisi käyttää tekstiviestitodistusta, elleivät he ole käyttäneet jotain parempaa.