L'autenticazione a due fattori SMS non è perfetta, ma è comunque necessario utilizzarla

Sommario:

L'autenticazione a due fattori SMS non è perfetta, ma è comunque necessario utilizzarla
L'autenticazione a due fattori SMS non è perfetta, ma è comunque necessario utilizzarla

Video: L'autenticazione a due fattori SMS non è perfetta, ma è comunque necessario utilizzarla

Video: L'autenticazione a due fattori SMS non è perfetta, ma è comunque necessario utilizzarla
Video: Come cancellare la cache su Mac - YouTube 2024, Novembre
Anonim
Nella ricerca della perfetta sicurezza, il perfetto è il nemico del bene. Le persone criticano l'autenticazione a due fattori basata su SMS sulla scia del trucco Reddit, ma l'utilizzo di due fattori basati su SMS è ancora molto meglio che non utilizzare l'autenticazione a due fattori.
Nella ricerca della perfetta sicurezza, il perfetto è il nemico del bene. Le persone criticano l'autenticazione a due fattori basata su SMS sulla scia del trucco Reddit, ma l'utilizzo di due fattori basati su SMS è ancora molto meglio che non utilizzare l'autenticazione a due fattori.

Oltre il 90% degli utenti di Gmail non utilizza l'autenticazione a due fattori

I professionisti della sicurezza che parlano della verifica tramite SMS non sono abbastanza bravi stanno diventando troppo avanti rispetto a se stessi. Oltre il 90% degli utenti di Gmail non utilizza affatto l'autenticazione a due fattori, secondo una presentazione che l'ingegnere di Google Grzegorz Milka ha dato a USENIX Enigma 2018. La cosa numero uno che la maggior parte delle persone può fare per proteggersi online è quella di abilitare qualsiasi tipo di autenticazione a due fattori per i loro account importanti.
I professionisti della sicurezza che parlano della verifica tramite SMS non sono abbastanza bravi stanno diventando troppo avanti rispetto a se stessi. Oltre il 90% degli utenti di Gmail non utilizza affatto l'autenticazione a due fattori, secondo una presentazione che l'ingegnere di Google Grzegorz Milka ha dato a USENIX Enigma 2018. La cosa numero uno che la maggior parte delle persone può fare per proteggersi online è quella di abilitare qualsiasi tipo di autenticazione a due fattori per i loro account importanti.

Pensa in questo modo. Dì che vuoi mettere un lucchetto sulla porta principale per proteggere la tua casa. I professionisti della sicurezza stanno discutendo sul fatto che il miglior tipo di serratura disponibile è molto meglio di serrature meno costose. Certo, ha un senso. Ma se quella serratura più costosa non è disponibile per te, non sta avendo un blocco più economico ancora meglio di non avere un blocco?

Sì, l'autenticazione a due fattori basata su app è migliore dell'autenticazione basata su SMS. Ma se gli SMS sono tutti servizi offerti, è comunque meglio che non utilizzarli affatto.

Il fattore due basato su SMS presenta alcuni punti deboli, ma manca il punto. Un utente malintenzionato dovrà trascorrere del tempo ignorando la verifica SMS. E la maggior parte degli obiettivi probabilmente non vale la pena.

Perché hai bisogno dell'autenticazione a due fattori

L'autenticazione a due fattori è denominata perché richiede che tu abbia due cose da inserire nel tuo account: qualcosa che conosci (la tua password) e qualcosa che hai (un ulteriore codice di sicurezza dal tuo dispositivo mobile o un token fisico).

Quando abiliti l'autenticazione a due fattori basata su SMS, il servizio invierà al tuo numero di cellulare un messaggio di testo contenente un codice monouso ogni volta che effettui l'accesso da un nuovo dispositivo. Pertanto, anche se qualcuno ha il tuo nome utente e la password per quell'account, non potranno accedere al tuo account senza accedere ai tuoi messaggi di testo.

Esistono anche altri tipi di metodi a due fattori, tra cui le app sul telefono che generano codici di sicurezza temporanei e chiavi di sicurezza fisica che devi collegare al tuo computer.

Qualsiasi tipo di autenticazione a due fattori offre un'enorme protezione per account importanti come la posta elettronica, i social media e i conti bancari. Questo è particolarmente vero se riutilizzi le password. Molte persone riutilizzano le password su più siti Web e, quando il database delle password di un sito Web perde, tale password può essere utilizzata per accedere ai propri account di posta elettronica. L'autenticazione a due fattori avrebbe fermato questo diritto sulle sue tracce.

Ciò non significa che dovresti riutilizzare le password. Non dovresti riutilizzare le password. Dovresti utilizzare un buon gestore di password per tenere traccia delle password forti e uniche.

Perché le persone dicono che l'autenticazione degli SMS è sbagliata?

  • Un utente malintenzionato potrebbe impersonare te e spostare il tuo numero di telefono su un nuovo telefono in un numero di telefono che esegue la truffa. Questo è l'attacco più probabile.
  • Un utente malintenzionato potrebbe intercettare i messaggi SMS destinati a te. Ad esempio, potrebbero spoofare una torre cellulare vicino a te, o un governo potrebbe utilizzare il suo accesso alla rete cellulare per inoltrare i messaggi.

Ecco perché gli esperti raccomandano di utilizzare un altro metodo a due fattori, uno che non può essere abusato facilmente dagli stati nazionali e non è vulnerabile se il tuo gestore di telefonia cellulare fornisce il tuo numero di telefono a qualcun altro. Se si ottiene il codice da un'app sul telefono o da una chiave di sicurezza fisica che si collega, il fattore a due fattori non è vulnerabile ai problemi con la rete telefonica. L'utente malintenzionato avrebbe bisogno del tuo telefono sbloccato o della chiave di sicurezza fisica che devi accedere.

Certo, in un mondo perfetto, SMS non è la soluzione ideale. Abbiamo spiegato perché agli esperti di sicurezza non piace l'autenticazione in due passaggi basata su SMS. Ma, anche quando abbiamo esposto il caso, abbiamo cercato di chiarire una cosa: l'autenticazione a due fattori basata su SMS è molto, molto meglio di niente.

Alcune persone hanno bisogno di più sicurezza di quelle fornite da SMS

Per ora la persona media sta bene con l'autenticazione basata su SMS. L'autenticazione basata su SMS fa sì che gli attaccanti subiscano un sacco di problemi extra per entrare nel tuo account e probabilmente non ne vale la pena quando ci sono altri obiettivi più facili e più succulenti. La maggior parte delle persone non usa nemmeno l'autenticazione SMS e il Web sarebbe un posto molto più sicuro se lo facessero tutti.

Le persone che potrebbero essere prese di mira da aggressori sofisticati dovrebbero evitare l'autenticazione basata su SMS. Ad esempio, se sei un politico, un giornalista, una celebrità o un uomo d'affari, potresti essere preso di mira. Se sei una persona con accesso a dati aziendali sensibili, un amministratore di sistema con accesso approfondito a sistemi sensibili o solo qualcuno con un sacco di soldi in banca, gli SMS potrebbero essere troppo rischiosi.

Ma se sei la persona media con un account Gmail o Facebook e nessuno ha una ragione per passare un po 'di tempo a ottenere l'accesso ai tuoi account, l'autenticazione SMS va bene e devi assolutamente abilitarlo piuttosto che non usare nulla.

Sei solo sicuro come il link più debole

Ecco un'altra sfortunata verità su cui tutti sembrano sorvolare: anche se si evita l'autenticazione a due fattori basata su SMS per un account, SMS è probabilmente disponibile come metodo di fallback. Ad esempio, anche se generi codici con un'app per accedere al tuo account Google, puoi recuperare il tuo account utilizzando il tuo numero di telefono. Questo per proteggerti se perdi l'accesso al tuo telefono o token a due fattori.
Ecco un'altra sfortunata verità su cui tutti sembrano sorvolare: anche se si evita l'autenticazione a due fattori basata su SMS per un account, SMS è probabilmente disponibile come metodo di fallback. Ad esempio, anche se generi codici con un'app per accedere al tuo account Google, puoi recuperare il tuo account utilizzando il tuo numero di telefono. Questo per proteggerti se perdi l'accesso al tuo telefono o token a due fattori.

In altre parole, molti, probabilmente anche la maggior parte dei servizi, ti consentono di accedere al tuo account con il tuo numero di telefono, anche se per la maggior parte del tempo utilizzi un codice generato dall'app o una chiave di sicurezza fisica. Sei sicuro solo quanto il link più debole del sistema. Prova a verificare gli altri modi in cui puoi accedere se non hai il tuo metodo normale.

Ecco perché, per bloccare davvero un account Google, non devi solo evitare l'autenticazione in due passaggi basata su SMS. Devi anche iscriverti al Programma di protezione avanzata di Google, che è pubblicizzato da Google per "giornalisti, attivisti, leader aziendali e team di campagne politiche". Questo programma gratuito richiede l'utilizzo di una chiave di sicurezza fisica per l'accesso, ma richiede anche molto di più informazioni per recuperare il tuo account.

Si prega di utilizzare SMS se non si sta utilizzando 2FA Right Now

Non vogliamo cullarti in un falso senso di sicurezza: se sei qualcuno che potrebbe essere preso di mira da governi stranieri, spie aziendali o criminali organizzati, devi assolutamente evitare l'autenticazione a due fattori basata su SMS e bloccare il tuo conti con qualcosa di più sicuro.

Ma se sei la persona media che non ha ancora abilitato l'autenticazione a due fattori, non essere dissuaso: due fattori basati su SMS ti renderanno molto più sicuro di nessun fattore a due. È una base importante per la sicurezza.

Tutti dovrebbero usare la verifica SMS a meno che non stiano usando qualcosa di meglio.

Consigliato: