loader

SMS Two-Factor Auth is niet perfect, maar je moet het nog steeds gebruiken

Anonim

In een zoektocht naar perfecte veiligheid is het perfecte de vijand van het goede. Mensen bekritiseren SMS-gebaseerde tweefactorauthenticatie in het kielzog van de Reddit-hack, maar het gebruik van op sms gebaseerde twee factoren is nog steeds veel beter dan helemaal geen gebruik te maken van two-factor authenticatie.

Meer dan 90% van Gmail-gebruikers gebruikt geen twee-factorenauthenticatie

Beveiligingsprofessionals die praten over het niet goed genoeg zijn van sms-verificatie lopen zelf te ver voor. Meer dan 90% van de Gmail-gebruikers gebruikt helemaal geen twee-factorenauthenticatie, volgens een presentatie die Google-technicus Grzegorz Milka op USENIX Enigma 2018 gaf. Het belangrijkste ding dat de meeste mensen kunnen doen om zichzelf online te beschermen, is om elk type twee-factor-authenticatie voor hun belangrijke accounts.

Denk er zo over na. Stel dat je een slot op je voordeur wilt zetten om je huis te beschermen. Beveiligingsprofessionals argumenteren dat het beste type slot dat verkrijgbaar is, veel beter is dan goedkopere sloten. Zeker, logisch. Maar als dat duurdere slot niet voor u beschikbaar is, is het niet goedkoper om een ​​slot te hebben dan helemaal geen slot te hebben?

Ja, app-gebaseerde two-factor-authenticatie is beter dan op sms gebaseerde authenticatie. Maar als sms een service-aanbod is, is het nog steeds beter dan helemaal niet gebruiken.

SMS-gebaseerde twee factoren heeft enkele zwakke punten, maar dat is het punt missen. Een aanvaller moet tijd besteden aan het omzeilen van je sms-verificatie. En de meeste doelen zijn waarschijnlijk niet zoveel moeite waard.

Waarom u authenticatie met twee factoren nodig hebt

Twee-factor-authenticatie wordt genoemd omdat u twee dingen nodig heeft om in uw account te komen: iets dat u kent (uw wachtwoord) en iets dat u hebt (een extra beveiligingscode van uw mobiele apparaat of een fysieke token).

Wanneer u op sms gebaseerde tweefactorauthenticatie inschakelt, stuurt de service uw mobiele telefoonnummer een sms met een eenmalige code telkens wanneer u zich aanmeldt vanaf een nieuw apparaat. Dus zelfs als iemand uw gebruikersnaam en wachtwoord voor dat account heeft, kunnen ze zich niet aanmelden bij uw account zonder toegang te hebben tot uw sms-berichten.

Er zijn ook andere typen tweefactiemethoden, waaronder apps op uw telefoon die tijdelijke beveiligingscodes genereren en fysieke beveiligingssleutels die u op uw computer moet aansluiten.

Elk type verificatie met twee factoren biedt een enorme hoeveelheid bescherming voor belangrijke accounts zoals uw e-mail, sociale media en bankrekeningen. Dit geldt vooral als u wachtwoorden opnieuw gebruikt. Veel mensen hergebruiken wachtwoorden op meerdere websites en wanneer de wachtwoorddatabase van een website lekt, kan dat wachtwoord worden gebruikt om in te loggen op hun e-mailaccounts. Twee-factor authenticatie zou dit recht in zijn tracks stoppen.

Dat betekent niet dat je wachtwoorden opnieuw moet gebruiken. U moet wachtwoorden niet opnieuw gebruiken. Gebruik een goede wachtwoordbeheerder om sterke, unieke wachtwoorden bij te houden.

Waarom zeggen mensen dat sms-verificatie slecht is?

Sms-gebaseerde tweefactorauthenticatie wordt niet als ideaal beschouwd omdat iemand je telefoonnummer kan stelen of je sms-berichten kan onderscheppen. Bijvoorbeeld:

  • Een aanvaller kan u nabootsen en uw telefoonnummer verplaatsen naar een nieuwe telefoon in een telefoonnummer dat zwendel porteert. Dit is de meest waarschijnlijke aanval.
  • Een aanvaller kan SMS-berichten onderscheppen die voor jou bedoeld zijn. Ze kunnen bijvoorbeeld een celtoren bij u in de buurt houden of een overheid kan de toegang tot het mobiele netwerk gebruiken om berichten door te sturen.

Daarom raden experts aan om een ​​andere twee-factorenmethode te gebruiken, een methode die niet zo gemakkelijk door natiestaten kan worden misbruikt en niet kwetsbaar is als je mobiele provider je telefoonnummer aan iemand anders geeft. Als u uw code ontvangt van een app op uw telefoon of een fysieke beveiligingssleutel die u aansluit, is uw tweeledige factor niet kwetsbaar voor problemen met het telefoonnetwerk. De aanvaller heeft je ontgrendelde telefoon of de fysieke beveiligingssleutel nodig waarop je je moet aanmelden.

Zeker, in een perfecte wereld is sms niet de ideale oplossing. We hebben uitgelegd waarom beveiligingsdeskundigen niet van SMS-gebaseerde tweestapsverificatie houden. Maar zelfs toen we die zaak uiteenzetten, probeerden we één ding duidelijk te maken: op sms gebaseerde authenticatie op basis van twee factoren is veel, veel beter dan niets.

Sommige mensen hebben meer beveiliging nodig dan SMS biedt

De gemiddelde persoon gaat prima met SMS-gebaseerde authenticatie voor nu. Sms-gebaseerde authenticatie zorgt ervoor dat aanvallers veel extra moeite doen om in je account te komen, en je bent hun problemen waarschijnlijk niet waard als er andere, gemakkelijkere en sappiger doelen zijn. De meeste mensen gebruiken zelfs geen sms-authenticatie, en het web zou een stuk veiliger zijn als iedereen dat wel zou doen.

Mensen die waarschijnlijk het doelwit zijn van geavanceerde aanvallers, moeten sms-gebaseerde authenticatie vermijden. Als u bijvoorbeeld een politicus, journalist, beroemdheid of bedrijfsleider bent, kunt u doelwit zijn. Als u een persoon bent met toegang tot gevoelige bedrijfsgegevens, een systeembeheerder met diepe toegang tot gevoelige systemen of gewoon iemand met veel geld op de bank, kan sms te riskant zijn.

Maar als u de gemiddelde persoon bent met een Gmail- of Facebook-account en niemand een reden heeft om veel tijd te besteden aan het verkrijgen van toegang tot uw accounts, is sms-verificatie prima en moet u deze absoluut inschakelen in plaats van helemaal niets te gebruiken.

Je bent alleen zo veilig als de zwakste schakel

Hier is nog een ongelukkige waarheid die iedereen lijkt te verdoezelen: zelfs als je sms-gebaseerde tweefactorauthenticatie voor een account vermijdt, is sms waarschijnlijk beschikbaar als terugvalmethode. Als u bijvoorbeeld codes genereert met een app om in te loggen op uw Google-account, kunt u uw account herstellen met uw telefoonnummer. Dit is om u te beschermen als u ooit de toegang tot uw telefoon met twee factoren of token verliest.

Met andere woorden, veel - waarschijnlijk zelfs de meeste - services laten u met uw telefoonnummer in uw account komen, ook als u meestal een door een app gegenereerde code of een fysieke beveiligingssleutel gebruikt. Je bent alleen zo veilig als de zwakste schakel in het systeem. Probeer de andere manieren te bekijken waarop u kunt inloggen als u niet over uw normale methode beschikt.

Daarom moet u, om echt een Google-account te vergrendelen, niet alleen SMS-gebaseerde authenticatie in twee stappen vermijden. Je moet je ook inschrijven voor het Advanced Protection Program van Google, dat Google adverteert voor 'journalisten, activisten, bedrijfsleiders en politieke campagneteams'. Dit gratis programma vereist dat je een fysieke beveiligingssleutel gebruikt om in te loggen, maar het vereist ook veel meer informatie om uw account te herstellen.

Gebruik alstublieft SMS als u nu geen 2FA gebruikt

We willen je niet laten wennen aan een vals gevoel van veiligheid: als je iemand bent die waarschijnlijk het doelwit is van buitenlandse regeringen, bedrijfsspionnen of georganiseerde criminelen, moet je absoluut sms-gebaseerde tweefactorauthenticatie vermijden en je accounts met iets veiliger.

Maar als u de gemiddelde persoon bent die nog geen authenticatie met twee factoren heeft ingeschakeld, moet u niet worden afgeschrikt: op SMS gebaseerde factor twee maakt u veel veiliger dan helemaal geen twee factoren. Het is een belangrijke basislijn voor beveiliging.

Iedereen zou sms-verificatie moeten gebruiken, tenzij ze iets beters gebruiken.

Editor'S Choice