Over 90% av Gmail-brukerne bruker ikke tofaktorautentisering
Tenk på det slik. Si at du vil sette en lås på inngangsdøren for å beskytte hjemmet ditt. Sikkerhetsprofessorer argumenterer for at den beste typen låse tilgjengelig er langt bedre enn billigere låser. Sikker, er fornuftig. Men hvis den dyrere lås ikke er tilgjengelig for deg, er det ikke å ha en billigere lås fortsatt bedre enn å ikke ha en lås i det hele tatt?
Ja, appbasert tofaktorautentisering er bedre enn SMS-basert godkjenning. Men hvis SMS er alle et tilbud, er det fortsatt bedre enn å ikke bruke det i det hele tatt.
SMS-basert to faktor har noen svakheter, men det mangler poenget. En angriper må bruke tid på å omgå din SMS-bekreftelse. Og de fleste mål er sannsynligvis ikke verdt så mye innsats.
Hvorfor du trenger tofaktorautentisering
Tofaktorautentisering heter det fordi det krever at du har to ting å komme inn på kontoen din: noe du vet (ditt passord) og noe du har (en ekstra sikkerhetskode fra mobilenheten eller et fysisk token).
Når du aktiverer SMS-basert tofaktorautentisering, sender tjenesten din mobiltelefonnummer en tekstmelding som inneholder en engangskode når du logger inn fra en ny enhet. Så selv om noen har ditt brukernavn og passord for den kontoen, kan de ikke logge på kontoen din uten tilgang til tekstmeldingene dine.
Det finnes også andre typer tofaktormetoder, inkludert programmer på telefonen din, som genererer midlertidige sikkerhetskoder og fysiske sikkerhetsnøkler du må koble til datamaskinen din.
Enhver type tofaktorautentisering gir en stor beskyttelse mot viktige kontoer som e-post, sosiale medier og bankkontoer. Dette gjelder spesielt hvis du bruker passordene på nytt. Mange bruker på nytt passord på flere nettsteder, og når et nettsteds passorddatabase lekker, kan dette passordet brukes til å logge på e-postkontoene sine. Tofaktorautentisering stopper dette rett i sporene.
Det betyr ikke at du bør bruke passordene på nytt. Du bør ikke bruke passordene på nytt. Du bør bruke en god passordbehandling for å holde oversikt over sterke, unike passord.
Hvorfor sier folk at SMS-godkjenning er dårlig?
- En angriper kan etterligne deg og flytte telefonnummeret til en ny telefon i et telefonnummer som viser svindel. Dette er det mest sannsynlige angrepet.
- En angriper kan fange SMS-meldinger beregnet på deg. For eksempel kan de spoof et celletårn i nærheten av deg, eller en regjering kan bruke sin tilgang til mobilnettet for å videresende meldinger.
Derfor anbefaler eksperter å bruke en annen tofaktormetode, en som ikke kan bli så enkelt misbrukt av nasjonalstatene og ikke sårbar hvis mobiloperatøren gir telefonnummeret ditt til noen andre. Hvis du får koden din fra en app på telefonen eller en fysisk sikkerhetsnøkkel du plugger inn, er tofaktoren ikke sårbar for problemer med telefonnettverket. Angriperen trenger din ulåst telefon eller den fysiske sikkerhetsnøkkelen du må logge på.
Visst, i en perfekt verden, er SMS ikke den ideelle løsningen. Vi har forklart hvorfor sikkerhetseksperter ikke liker SMS-basert to-trinns autentisering. Men selv når vi la det ut, forsøkte vi å gjøre en ting klar: SMS-basert tofaktorautentisering er mye, mye bedre enn ingenting.
Noen mennesker trenger mer sikkerhet enn SMS gir
Den gjennomsnittlige personen har det bra med SMS-basert godkjenning for nå. SMS-basert autentisering gjør at angriperne går gjennom mye ekstra problemer med å komme inn på kontoen din, og du er sannsynligvis ikke verdt deres problemer når det er andre enklere og juicier mål der ute. De fleste bruker ikke engang SMS-autentisering, og Internett vil være et mye sikrere sted hvis alle gjorde det.
Folk som sannsynligvis vil bli målrettet av sofistikerte angripere, bør unngå SMS-basert godkjenning. Hvis du for eksempel er politiker, journalist, kjendis eller bedriftsleder, kan du bli målrettet. Hvis du er en person med tilgang til sensitive bedriftens data, kan en systemadministrator med dyp tilgang til sensitive systemer, eller bare noen med mye penger i banken, være for risikabelt.
Men hvis du er den gjennomsnittlige personen med en Gmail- eller Facebook-konto, og ingen har en grunn til å tilbringe en masse tid på å få tilgang til kontoene dine, er SMS-godkjenning greit, og du bør absolutt aktivere det i stedet for å bruke ingenting i det hele tatt.
Du er bare like sikker som den svakeste lenken
Med andre ord, mange sannsynligvis til og med de fleste tjenester, kan du komme inn på kontoen din med telefonnummeret ditt, selv om du bruker en app-generert kode eller en fysisk sikkerhetsnøkkel det meste av tiden. Du er bare like sikker som den svakeste lenken i systemet. Prøv å sjekke de andre måtene du kan logge på hvis du ikke har normal metode.
Det er derfor, for å virkelig låse ned en Google-konto, trenger du ikke bare å unngå SMS-basert to-trinns autentisering. Du må også registrere deg i Googles avanserte beskyttelsesprogram, som Google annonserer for "journalister, aktivister, bedriftsledere og politiske kampanjeteam." Dette gratis programmet krever at du bruker en fysisk sikkerhetsnøkkel til å logge på, men det krever også mye mer informasjon for å gjenopprette kontoen din.
Vennligst bruk SMS hvis du ikke bruker 2FA akkurat nå
Vi ønsker ikke å sette deg i en falsk følelse av sikkerhet: Hvis du er noen som sannsynligvis vil bli målrettet av utenlandske myndigheter, bedriftsspioner eller organiserte kriminelle, bør du absolutt unngå sms-basert tofaktorautentisering og låse ned din kontoer med noe sikrere.
Men hvis du er den gjennomsnittlige personen som ikke har aktivert tofaktorautentisering ennå, ikke bli avskrekket: SMS-basert to faktorer vil gjøre deg mye sikrere enn ingen tofaktorer i det hele tatt. Det er en viktig grunnlinje for sikkerhet.
Alle bør bruke SMS-bekreftelse med mindre de bruker noe bedre.
