Google w tym miesiącu zaczął odsuwać ludzi od otrzymywania dwuetapowych kodów weryfikacyjnych przez SMS-y. Począwszy od ostatniego tygodnia, gdy logujesz się na swoje konto, możesz otrzymać zaproszenie od Google, aby zacząć otrzymywać monity za pośrednictwem aplikacji Google zamiast sześciocyfrowych kodów za pomocą aplikacji do SMS-ów.

Google robi to, ponieważ nowe monity są bezpieczniejsze niż SMS-y. Dzięki nim proces logowania do konta jest szybszy i łatwiejszy. Czas na szybkie pytania i odpowiedzi:

Czekaj, co to jest weryfikacja dwuetapowa?

Weryfikacja dwuetapowa (2SV, jeśli masz do czynienia z całą zwięzłością, choć nazywa się to również uwierzytelnianiem dwuskładnikowym lub 2FA), dodaje warstwę bezpieczeństwa do twoich kont internetowych, od Amazon, Apple i Google do Facebooka, Instagrama i Twittera. Zamiast wpisywać tylko swoje hasło dostępu do konta, musisz podać swoje hasło - pierwszy czynnik weryfikacji - a następnie kod wysłany przez SMS lub monit przez aplikację uwierzytelniającą - drugi czynnik. Oznacza to, że haker będzie musiał wykraść zarówno twoje hasło, jak i telefon, aby włamać się na twoje konto.

Dlaczego więc odejście od SMS-ów?

Z prostego faktu, że odbieranie kodów 2SV przez SMS jest mniej bezpieczne niż przy użyciu aplikacji uwierzytelniającej. Hakerzy byli w stanie oszukać nośniki do przenoszenia numeru telefonu na nowe urządzenie w ruchu zwanym SIM. Może to być tak proste, jak znajomość numeru telefonu i czterech ostatnich cyfr numeru ubezpieczenia społecznego, które od czasu do czasu wyciekają z banków i dużych korporacji. Gdy haker przekieruje Twój numer telefonu, nie potrzebuje już telefonu, aby uzyskać dostęp do kodów 2SV.

Ponadto, jeśli zsynchronizujesz wiadomości tekstowe z laptopem lub tabletem, wtedy haker może uzyskać dostęp do kodów SMS, odchodząc z takim urządzeniem.

Ponadto istnieją słabe punkty w samym systemie telefonii komórkowej. W tak zwanym ataku SS7 haker może śledzić system telefonii komórkowej, słuchać rozmów, przechwytywać wiadomości tekstowe i widzieć lokalizację telefonu.

Wszystkie powyższe scenariusze są złą wiadomością dla osób otrzymujących kody 2SV za pośrednictwem wiadomości SMS.

Co powinienem zamiast tego użyć?

Aplikacja do uwierzytelniania, taka jak Google Authenticator, Microsoft Authenticator lub Authy. Ma tę zaletę, że nie musi polegać na swoim przewoźniku; kody pozostają w aplikacji, nawet jeśli hakerowi uda się przenieść swój numer do nowego telefonu. Kody wygasają szybko, zwykle po około 30 sekundach.

Oprócz tego, że jest bezpieczniejsza niż SMS, aplikacja do uwierzytelniania jest szybsza; Wystarczy tylko dotknąć przycisku, aby zweryfikować swoją tożsamość zamiast kłopotów z ręcznym wprowadzaniem sześciocyfrowego kodu.

Co to jest monit Google?

Google Prompt pozwala otrzymywać kody bez użycia SMS-a ani osobnej aplikacji uwierzytelniającej. Został wypalony w Google Now na Androida i wyszukiwarce Google na iOS. Dowiedz się, jak skonfigurować monit Google.

Czy potrzebuję nawet weryfikacji dwuetapowej, jeśli wiadomości SMS są tak podatne na ataki?

Tak! Oprócz tworzenia silnych haseł i korzystania z różnych haseł dla każdego konta, skonfigurowanie weryfikacji dwuetapowej to najlepszy krok do zabezpieczenia kont online - nawet jeśli nalegasz na otrzymywanie kodów przez SMS. Weryfikacja dwuetapowa przez SMS jest lepsza niż weryfikacja jednoetapowa, w której haker musi jedynie uzyskać lub odgadnąć hasło, aby uzyskać dostęp do swoich danych. Nie bądź niskim owocem z kontem, które jest najłatwiejszym celem dla hakerów.

Ale dwuetapowa weryfikacja to kłopot

To nie jest pytanie, ale moim przeciwnikiem byłoby to, że jest to mniej kłopotów, gdy zostanie to zrobione poprawnie, a otrzymujesz kody za pośrednictwem Google Prompt lub aplikacji uwierzytelniającej, gdzie nie musisz wprowadzać sześciocyfrowych kodów. Oczywiście, nawet wtedy zmusza Cię do podjęcia dodatkowego kroku polegającego na chwytaniu i naciskaniu telefonu po wprowadzeniu hasła w celu zalogowania się na jedno z twoich kont. Twierdzę jednak, że kłopot w drugim etapie dwuetapowej weryfikacji blednie w porównaniu z kłopotami z hackowaniem. W najlepszym razie uzyskanie ataku hakera to kłopot. Częściej jest to mieszanka gniewu, bólu i zamieszania.