短信双因素身份验证并不完美,但您仍应使用它

为了追求完美的安全,完美是善的敌人。 人们在Reddit hack之后批评基于SMS的双因素身份验证 ,但使用基于SMS的双因素仍然比不使用双因素身份验证要好得多。

超过90%的Gmail用户未使用双因素身份验证

谈论短信验证不够好的安全专业人员已经远远领先于自己。 根据谷歌工程师Grzegorz Milka在USENIX Enigma 2018上发表的一篇演讲 ,超过90%的Gmail用户根本没有使用任何双因素身份验证。大多数人在网上保护自己的最重要的事情就是启用任何类型的他们的重要帐户的双因素身份验证。

可以这样想。 假设您想锁上前门以保护您的家。 安全专业人士争辩说,最好的锁定类型比更便宜的锁具更好。 当然,有道理。 但是,如果您无法获得更昂贵的锁,那么没有更便宜的锁仍然比没有锁更好吗?

是的,基于应用程序的双因素身份验证优于基于SMS的身份验证。 但是,如果短信是一个服务提供,它仍然比完全不使用它更好。

基于SMS的两个因素有一些弱点,但这是缺少的。 攻击者必须花时间绕过您的短信验证。 大多数目标可能都不值得付出那么多努力。

为什么需要双因素身份验证

双因素身份验证的名称是因为它要求您有两件事要进入您的帐户:您知道的(您的密码)和您拥有的东西(来自您的移动设备的额外安全代码或物理令牌)。

当您启用基于SMS的双因素身份验证时,只要您从新设备登录,该服务就会向您的手机号码发送包含一次性代码的文本消息。 因此,即使有人拥有该帐户的用户名和密码,他们也无法在不访问您的短信的情况下登录您的帐户。

还有其他类型的双因素方法 ,包括手机上生成临时安全代码的应用程序和必须插入计算机的物理安全密钥

任何类型的双因素身份验证都可以为您的电子邮件,社交媒体和银行帐户等重要帐户提供大量保护。 如果重新使用密码,则尤其如此。 许多人在多个网站上重复使用密码,当一个网站的密码数据库泄露时, 该密码可用于登录他们的电子邮件帐户 双因素身份验证可以在其轨道上阻止这一点。

这并不意味着你应该重新使用密码。 您不应该重复使用密码。 您应该使用一个好的密码管理器来跟踪强大的唯一密码。

为什么人们说短信认证不好?

基于SMS的双因素身份验证不被认为是理想的,因为有人可能会窃取您的电话号码或拦截您的短信。 例如:

  • 攻击者可以冒充您并将您的电话号码移动到移植骗局的电话号码中的新手机上。 这是最有可能的攻击。
  • 攻击者可以拦截打算给您的短信。 例如,他们可以欺骗您附近的蜂窝塔,或者政府可以使用其访问蜂窝网络来转发信息。

这就是为什么专家建议使用另一种双因素方法,一种不容易被民族国家滥用的方法,如果您的手机运营商将您的电话号码提供给其他人,则不会受到影响。 如果您从手机上的应用程序或插入的物理安全密钥获取代码,则您的双因素不容易受到电话网络问题的影响。 攻击者需要您已解锁的手机或您必须登录的物理安全密钥。

当然,在完美的世界中,SMS不是理想的解决方案。 我们已经解释了为什么安全专家不喜欢基于SMS的两步认证 但是,即使我们列出了这个案例,我们也试图明确一点:基于SMS的双因素身份验证比没有更好。

相关: 为什么你不应该使用SMS进行双因素身份验证(以及使用什么)

有些人需要比SMS提供更多的安全性

目前普通人对基于SMS的身份验证没有问题。 基于SMS的身份验证使攻击者在进入您的帐户时会遇到很多额外的麻烦,而且当有其他更容易和更多的目标时,您可能不值得他们惹麻烦。 大多数人甚至不使用SMS身份验证,如果每个人都这样做,网络将是一个更安全的地方。

可能成为复杂攻击者攻击目标的人应该避免基于SMS的身份验证。 例如,如果您是政治家,记者,名人或商业领袖,那么您可能会成为攻击目标。 如果您是可以访问敏感公司数据的人,可以深入访问敏感系统的系统管理员,或者只是银行中有大量资金的人,则SMS可能风险太大。

但是,如果您是拥有Gmail或Facebook帐户的普通人,并且没有人有理由花费大量时间来访问您的帐户,那么SMS身份验证就可以了,您应该绝对启用它而不是根本不使用任何内容。

你只有最薄弱的环节才能安全

这是另一个令人遗憾的事实:每个人似乎都在掩饰:即使您为帐户避免基于SMS的双因素身份验证,SMS也可能作为后备方法使用。 例如,即使您使用应用生成代码以登录Google帐户,也可以使用电话号码恢复帐户 这是为了保护您,如果您失去了对双因素电话或令牌的访问权限

换句话说,即使您在大多数时间使用应用生成的代码或物理安全密钥,许多(甚至是大多数)服务都会让您使用您的电话号码进入您的帐户。 您只能像系统中最薄弱的环节一样安全。 如果您没有正常的方法,请尝试检查您可以登录的其他方式。

这就是为什么要真正锁定Google帐户,您不仅需要避免基于SMS的两步验证。 您还需要加入Google的高级保护计划 ,这是Google为“记者,活动家,商业领袖和政治竞选团队”做广告。此免费计划要求您使用物理安全密钥登录,但它还需要更多恢复帐户的信息。

如果您现在不使用2FA,请使用短信

我们不想让你陷入虚假的安全感:如果你有可能成为外国政府,公司间谍或有组织犯罪分子的目标,你绝对应该避免基于短信的双因素身份验证并锁定你的帐户用更安全的东西。

但是,如果您是尚未启用双因素身份验证的普通人,请不要劝阻:基于SMS的双因素将使您比没有双因素更安全。 这是安全性的重要基准。

每个人都应该使用短信验证,除非他们使用更好的东西。

图片来源: golubovystock /Shutterstock.com。

赞 (0)
分享到:更多 ()