В этом месяце Гугл начал переводить людей от получения кодов двухэтапного подтверждения посредством SMS. Начиная с прошлой недели, когда вы входите в свою учётную запись, вы можете получить приглашение от Гугл, чтобы начать получать подсказки через приложение Google вместо шестизначных кодов через приложение "Сообщения".
Гугл решился на этот шаг, потому что его новые подсказки более безопасны, чем SMS. Они также упрощают процесс входа в аккаунт. Попробуем всё объяснить в формате вопрос-ответ.
Подождите, что такое двухэтапная проверка (подтверждение, аутентификация)?
Двухсшаговая проверка добавляет уровень безопасности для ваших онлайн-аккаунтов в Apple, Google, Facebook, Instagram, Twitter и т.д. Вместо того, чтобы вводить только свой пароль для доступа к учётной записи, вам нужно кроме пароля - первый шаг проверки, ввести код, отправленный по SMS или приглашение через приложение для проверки подлинности - второй шаг. Это означает, что хакеру нужно будет украсть не только ваш пароль, но и телефон, чтобы войти в вашу учётную запись.
Итак, чем не угодили SMS?
Для простых случаев получение проверочных кодов через SMS менее безопасно, чем использование приложения для аутентификации. Хакеры могут обмануть оператора сотовой связи, переносом номера телефона на новое устройство в режиме подмены SIM. Как только хакер перенаправил ваш номер телефона, он больше не нуждается в вашем телефоне, чтобы получить доступ к вашим кодам проверки.
Кроме того, если вы синхронизируете текстовые сообщения с ноутбуком или планшетом, тогда хакер может получить доступ к кодам SMS, украв такое устройство.
Есть так же недостатки в самой работе операторов сотовой связи. В так называемой атаке SS7, хакер может шпионить через систему сотового телефона, прослушивать звонки, перехватывать текстовые сообщения и видеть местоположение вашего телефона.
Все приведенные выше сценарии являются плохими вариантами для тех, кто получает коды проверки по SMS.
Что мне использовать вместо этого?
Приложение для аутентификации, такое как Google Authenticator, Microsoft Authenticator или Authy. Они имеют то преимущество в том, что вам не нужно полагаться на вашего оператора. Коды остаются в приложении, даже если хакеру удается завладеть вашим номером и перенести его на новый телефон. И время действия кодов заканчивается быстро, обычно через 30 секунд или около того.
В дополнение к более безопасной рабте, чем SMS, приложение для проверки подлинности работает быстрее. Вам нужно только нажать кнопку, чтобы подтвердить свою личность, а не вводить вручную шестизначный код.
Что такое Google Prompt?
Google Prompt позволяет получать коды без использования SMS и без отдельного приложения для аутентификации. Он установлен в Google Now на Андроиде и в приложении Поиск Google для iOS. Узнайте, как настроить Google Prompt в
этой статье.
А мне вообще нужна двухэтапная проверка, если SMS настолько уязвим?
Да! Помимо создания надёжных паролей и использования разных паролей для каждой из своих учётных записей, настройка двухэтапной проверки - лучший способ обезопасить ваши онлайн-аккаунты, даже если вы настаиваете на получении кодов через SMS. Двухшаговая проверка через SMS лучше, чем одношаговая проверка, когда хакеру нужно только получить или угадать ваш пароль, чтобы получить доступ к вашим данным (а иногда даже и пароля не нужно). Не будьте соблазнительным объектом атак с учётной записью, которая является самой легкой мишенью для хакеров.
Но двухэтапная проверка - это слишком хлопотно.
Это не вопрос. Но я настаиваю на том, что при выполнении правильных действий у вас будет меньше хлопот, и вы можете получать коды через Google Prompt или приложение для проверки подлинности, где вам не нужно вручную вводить шестизначные коды. Конечно, даже тогда вам придётся предпринять дополнительный шаг по манипуляций с телефоном после ввода пароля для входа в одну из своих учётных записей. Я бы даже сказал, что хлопоты второго шага двухэтапной проверки бледнеют по сравнению с хлопотами при вашем взломе. Ущерб от утечки ваших секретных данных (номеров банковских карт, личных переписок и т.п.) будет гораздо выше, чем сомнительная экономия времени при входе в свои аккаунты.
