loader

SMS 2 중 인증은 완벽하지 않지만 계속 사용해야합니다.

Anonim

완벽한 보안을위한 모험에서 완벽한 것은 선의 적입니다. 사람들은 Reddit 해킹으로 SMS 기반 2 중 인증을 비판하고 있지만 SMS 기반 2 가지 요소를 사용하는 것은 2 중 인증을 전혀 사용하지 않는 것보다 훨씬 낫습니다.

Gmail 사용자의 90 % 이상이 2 단계 인증을 사용하지 않습니다.

SMS 검증이 충분하지 않다고 말하는 보안 전문가는 자기 자신보다 앞서 나가고 있습니다. Google 엔지니어 Grzegorz Milka가 USENIX Enigma 2018에서 발표 한 프리젠 테이션에 따르면 Gmail 사용자의 90 % 이상이 2 중 인증을 전혀 사용하지 않고 있습니다. 온라인에서 스스로를 보호하기 위해 할 수있는 가장 중요한 일은 중요한 계정에 대한 2 단계 인증

이것을 이렇게 생각하십시오. 집을 보호하기 위해 현관 문에 자물쇠를 걸고 싶다고 가정 해보십시오. 보안 전문가들은 가능한 가장 좋은 유형의 잠금 장치가 값싼 잠금 장치보다 나은 점에 대해 논쟁 중입니다. 물론, 의미가 있습니다. 하지만 더 비싼 잠금 장치를 사용할 수 없다면 잠금 장치가 전혀없는 것보다 더 저렴한 잠금 장치를 사용하는 것이 좋습니다.

예, 앱 기반 2 요소 인증이 SMS 기반 인증보다 낫습니다. 그러나 SMS가 모두 서비스 제공이라면, 전혀 사용하지 않는 것보다 더 낫습니다.

SMS 기반의 두 가지 요인에는 몇 가지 단점이 있지만 그 점이 누락되었습니다. 공격자는 SMS 확인을 거치지 않고 시간을 보내야합니다. 그리고 대부분의 목표는 아마도 그렇게 많은 노력을 기울일 가치가 없습니다.

이중 인증이 필요한 이유

2 중 인증은 사용자가 알고있는 것 (암호)과 보유하고있는 것 (모바일 장치의 추가 보안 코드 또는 물리적 토큰)이 필요하기 때문에 두 가지 요소의 인증 이름이 지정됩니다.

SMS 기반 2 단계 인증을 사용하면 새 장치에서 로그인 할 때마다 서비스에서 휴대 전화 번호에 일회성 코드가 포함 된 문자 메시지를 보냅니다. 따라서 누군가 해당 계정의 사용자 이름과 암호를 가지고 있어도 문자 메시지에 액세스 할 수 없으면 계정에 로그인 할 수 없습니다.

임시 보안 코드를 생성하는 휴대 전화의 앱과 컴퓨터에 연결해야하는 물리적 보안 키 등 다른 두 가지 유형의 방법도 있습니다.

모든 유형의 이중 인증은 전자 메일, 소셜 미디어 및 은행 계좌와 같은 중요한 계정에 막대한 양의 보호 기능을 제공합니다. 비밀번호를 다시 사용하는 경우 특히 그렇습니다. 많은 사람들이 여러 웹 사이트에서 암호를 다시 사용하며 한 웹 사이트의 암호 데이터베이스가 유출되면 해당 암호를 사용하여 전자 메일 계정에 로그인 할 수 있습니다. 이중 인증 (two-factor authentication)은이 궤도에서 이러한 권리를 중지시킵니다.

그렇다고해서 비밀번호를 다시 사용해야한다는 의미는 아닙니다. 암호를 다시 사용하면 안됩니다. 강력하고 고유 한 암호를 추적하려면 좋은 암호 관리자를 사용해야합니다.

왜 사람들은 SMS 인증이 좋지 않다고 말합니까?

SMS 기반 2 중 인증은 누군가 전화 번호를 도용하거나 문자 메시지를 가로 챌 수 있으므로 이상적인 것으로 간주되지 않습니다. 예 :

  • 공격자가 사칭하여 전화 번호를 사기 전화 번호로 새 전화로 이동시킬 수 있습니다. 이것은 가장 가능성이있는 공격입니다.
  • 공격자는 사용자를 대상으로하는 SMS 메시지를 가로 챌 수 있습니다. 예를 들어, 가까운 셀 타워를 스푸핑하거나 정부가 메시지를 전달하기 위해 셀룰러 네트워크에 액세스 할 수 있습니다.

그렇기 때문에 전문가들은 국가 차원에서 쉽게 학대를받을 수없고 휴대 전화 통신사가 귀하의 전화 번호를 다른 사람에게 제공하는 경우 취약하지 않은 또 다른 2 단계 방법을 사용하는 것이 좋습니다. 휴대 전화의 앱이나 연결 한 물리적 보안 키에서 코드를 가져 오는 경우 두 가지 요소는 전화 네트워크 문제에 취약하지 않습니다. 침입자는 잠금 해제 된 전화 또는 로그인해야하는 물리적 보안 키가 필요합니다.

물론 완벽한 세상에서 SMS는 이상적인 솔루션이 아닙니다. 보안 전문가가 SMS 기반 2 단계 인증을 좋아하지 않는 이유를 설명했습니다. 그러나이 사례를 제시했을 때도 SMS 기반의 2 중 인증 방식은 아무 것도없는 것보다 훨씬 낫습니다.

어떤 사람들은 SMS 제공보다 더 많은 보안이 필요합니다.

평균적인 사람은 현재 SMS 기반 인증으로 문제가 없습니다. SMS 기반 인증을 사용하면 공격자가 많은 추가 문제를 겪어 계정에 침입 할 수 있습니다. 더 쉽고 흥미 진진한 다른 대상이있을 경우 문제의 가치가 없을 것입니다. 대부분의 사람들은 SMS 인증을 사용하지 않으며 모든 사람이 웹을 사용하면 훨씬 안전한 장소가됩니다.

정교한 공격자가 목표로 삼을 가능성이있는 사람들은 SMS 기반 인증을 피해야합니다. 예를 들어, 정치인, 저널리스트, 유명 인사 또는 비즈니스 리더 인 경우 타겟팅 할 수 있습니다. 민감한 회사 데이터에 액세스 할 수있는 사람이거나 민감한 시스템에 대한 심층 액세스 권한을 가진 시스템 관리자 또는 은행에 많은 돈이있는 사람은 SMS가 너무 위험 할 수 있습니다.

하지만 Gmail이나 Facebook 계정을 가진 보통 사람이라면 아무도 계정에 액세스하는 데 많은 시간을 할애 할 이유가 없기 때문에 SMS 인증은 괜찮므로 아무 것도 사용하지 않고 절대적으로 사용하도록 설정해야합니다.

가장 약한 링크로만 보안을 유지할 수 있습니다.

모두가 비꼬는 또 다른 불행한 진실이 있습니다. SMS 기반의 2 단계 인증을 사용하지 않아도 SMS는 대체 수단으로 사용할 수 있습니다. 예를 들어 앱으로 코드를 생성하여 Google 계정에 로그인하는 경우에도 전화 번호를 사용하여 계정을 복구 할 수 있습니다. 이는 2 중 요소 전화 또는 토큰에 대한 액세스 권한을 잃어 버리면 보호하기위한 것입니다.

즉, 앱 생성 코드 또는 대부분의 실제 보안 키를 사용하는 경우에도 대부분의 서비스가 전화 번호로 계정에 액세스 할 수 있습니다. 시스템의 가장 약한 링크만큼 안전합니다. 일반적인 방법이없는 경우 로그인 할 수있는 다른 방법을 확인해보십시오.

그래서 Google 계정을 정말로 잠 그려면 SMS 기반 2 단계 인증을 피할 필요가 없습니다. 또한 Google의 "고급 보호 프로그램"에 가입해야합니다.이 프로그램은 "언론인, 활동가, 비즈니스 리더 및 정치 캠페인 팀"을 대상으로 광고합니다.이 무료 프로그램을 사용하려면 로그인 할 때 물리적 보안 키를 사용해야하지만, 귀하의 계정을 복구하는 정보.

지금 2FA를 사용하지 않는 경우 SMS를 사용하십시오.

우리는 당신을 거짓된 보안 감각으로 들여 보내고 싶지 않습니다. 외국 정부, 기업 간첩 또는 조직 범죄자의 대상이 될 가능성이 큰 사람이라면 SMS 기반 2 중 인증을 피하고 더 안전한 것을 가진 계정.

그러나 2 단계 인증을 사용하지 않는 보통 사람이라면 설득력을 잃지 마십시오. SMS 기반의 두 가지 요소는 두 가지 요소가없는 것보다 훨씬 안전합니다. 보안을위한 중요한 기준선입니다.

모든 사람이 더 나은 것을 사용하지 않는 한 SMS 확인을 사용해야합니다.

에디터의 선택