To na pewno bezpieczniejsze niż korzystanie tylko z jednego hasła. Ale jeśli możesz, ekspert z Microsoftu radzi, aby korzystać z rozwiązania opartego na aplikacji, a nie SMS-ach.
Microsoft od lat naciska na nowe standardy bezpieczeństwa. Ostatnio firma zwiększyła nieco swoje wysiłki w celu wyeliminowania standardowych haseł, a teraz Alex Weinert, dyrektor ds. bezpieczeństwa tożsamości w Microsoft, przekonuje, aby trzymać się z daleka od metody uwierzytelniania opartej na SMS-ach.
Zanim przejdziemy dalej, wyjaśnijmy jedną rzecz: uwierzytelnianie dwuskładnikowe, czyli two-factor authentication (2FA), nawet jeśli wykorzystuje SMS-y, ciągle jest lepszą metodą niż poleganie wyłącznie na jednym haśle. Logowanie się do usług online tylko za pomocą hasła jest ryzykowne, zwłaszcza gdy używasz tego samego hasła do wielu usług i aplikacji.
Weinert podkreśla, że jest co najmniej kilka metod 2FA, natomiast ta wykorzystująca SMS-y jest najmniej bezpieczna. Tłumaczy, że wiele taktyk wykorzystywanych przez hakerów opiera się na przejmowaniu kont, w tym na kradzieży telefonu. Jeśli stracimy telefon, wówczas nie zapewni on dodatkowej ochrony – haker otrzyma SMS-a na nasz numer i będzie miał odpowiednie hasło dostępu.
SMS-y nie dają rady
Do tego metoda z SMS-ami nie jest w stanie dostosowywać się do zmian na rynku. Nie opiera się na oprogramowaniu, więc nie można wprowadzić zmian na różne ataki hakerskie, postęp technologiczny czy nawet wymagania użytkowników. Ot, SMS-y są zawsze takie same. Ponadto są przesyłane jako wiadomości “jawne”, co oznacza, że każdy cyberprzestępca może je przechwycić, podobnie zresztą jak rozmowy telefoniczne. W ten sposób może zyskać dostęp do kodów logowania.
Weinert wierzy także, że metoda 2FA wykorzystująca SMS-y jest łatwa do złamania za pomocą techniki na tzw. inżynierię społeczną. Wystarczy że haker zadzwoni do operatora, a tam wielu pracowników, jak zauważa Weinert, będzie podatnych na urok osobisty, przymus, przekupstwo czy wymuszenie. I jeśli te wysiłki socjotechniczne zakończą się sukcesem, obsługa klienta może zapewnić dostęp do kanału SMS lub głosowego dla hakera.
Lepsze wyjście? Przedstawiciel Microsoftu radzi korzystać z aplikacji, np. takiej jak Authy, lub nawet sprzętowych kluczy bezpieczeństwa. Są to rozwiązania odporne na inżynierię społeczną, bo tylko użytkownik ma dostęp do kodów generowanych przez aplikacje, a te odświeżają się bardzo szybko – często w ciągu 15-30 sekund.
Jeśli chcesz spróbować czegoś innego i lepiej zabezpieczyć swoje hasła, rozważ korzystanie z Microsoft Authenticator, Google Authenticator lub wspomnianej Authy.
Źródło: TechSpot.com