Σε αυτό το σημείο, η επαλήθευση δύο βημάτων (2FA) έχει γίνει το νέο χρυσό πρότυπο για την ασφάλεια. Η πρώτη φορά που τη συνάντησα ήταν στον ιστότοπο της τράπεζάς μου. Τότε, ως άφραγκος φοιτητής, δεν καταλάβαινα γιατί ήταν σημαντική. Είμαι ακόμα άφραγκος φοιτητής, αλλά τώρα καταλαβαίνω γιατί μια υπηρεσία online τραπεζικής χρειάζεται επαλήθευση δύο βημάτων. Αυτό που ακόμα δεν καταλαβαίνω είναι γιατί ο λογαριασμός μου στο Grammarly επιμένει σε αυτήν.
Επαλήθευση δύο βημάτων (2FA) Αυτό συμβαίνει όταν εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας, μόνο και μόνο για να εκπλαγείτε από το τρομερό μήνυμα: "Παρακαλώ εισάγετε τον κωδικό που στάλθηκε στη [διεύθυνση email σας]". Θεωρητικά, πρόκειται για ένα επιπλέον επίπεδο ασφάλειας. Ακόμα κι αν κάποιος έχει τα διαπιστευτήριά σας, εξακολουθεί να χρειάζεται πρόσβαση στο email ή το τηλέφωνό σας. Αλλά στην πράξη, η επαλήθευση σε δύο βήματα αποτελεί μεγαλύτερο πρόβλημα για τον χρήστη παρά για τον χάκερ.
Γρήγοροι σύνδεσμοι
Η πρόσβαση είναι υπερβολικά περίπλοκη.
Δεν θα έπρεπε να ελέγχετε τα φρένα σας πριν από κάθε ταξίδι.
Ουσιαστικά, ο σκοπός της επαλήθευσης δύο βημάτων είναι να δυσκολέψει την πρόσβαση και ναι, λειτουργεί—όχι μόνο για τους χάκερ, αλλά και για μένα. Οι πιθανότητες το άτομο που συνδέεται να μην είμαι εγώ αλλά κάποιος χάκερ είναι ελάχιστες, ωστόσο εγώ είμαι αυτός που τιμωρείται με το να περνάει τα όριά του. Τώρα χρειάζομαι τουλάχιστον δύο παράθυρα ανοιχτά για να συνδεθώ οπουδήποτε. Πρώτα, τον ιστότοπο. Μετά, το email μου, για να λάβω τον κωδικό. Ακόμα χειρότερα, αν η επαλήθευση δύο βημάτων βασίζεται σε SMS, πρέπει να έχω το τηλέφωνό μου πρόχειρο.
Είναι το ίδιο δίλημμα που ενυπάρχει σε οποιοδήποτε μέτρο ασφαλείας. Μπορείτε να αποτρέψετε την βλάβη των φρένων του αυτοκινήτου σας ελέγχοντάς τα πριν από κάθε ταξίδι. Είναι λογικό: Αν δεν θέλετε να χαλάσουν τα φρένα σας, αν θέλετε να αποφύγετε ατυχήματα και να ζήσετε περισσότερο, θα πρέπει να ελέγχετε τα φρένα του αυτοκινήτου σας κάθε φορά. Αλλά κανείς δεν το κάνει επειδή δεν είναι πρακτικό. Αυτό συμβαίνει με τον έλεγχο ταυτότητας δύο παραγόντων.
Η χρήση ενός VPN κάνει τα πράγματα χειρότερα. Σχεδόν πάντα έχω ένα VPN σε λειτουργία. Αυτό σημαίνει ότι το αφελές σημείο ελέγχου επαλήθευσης δύο βημάτων είναι "...Είναι η ίδια διεύθυνση IP;«Με διδάσκει σχεδόν κάθε φορά. Η χρήση ενός VPN καταστρέφει συνεχώς τον παράγοντα απορρήτου, αλλά χωρίς αυτό, είμαι αναγκασμένος σε αυτόν τον ατελείωτο κύκλο εξαργύρωσης κωδικών. Τι υποτίθεται λοιπόν ότι πρέπει να κάνει κανείς, εκτός από το να παίρνει το email ή το τηλέφωνό του κάθε φορά που θέλει να συνδεθεί;»
ψευδή αίσθηση ασφάλειας
Οι καλές συνήθειες είναι πιο σημαντικές από τη συνεχή ανανέωση.
Υπάρχει προφανώς διαφορά μεταξύ του να έχεις Καλές συνήθειες ασφάλειας ηλεκτρονικού ταχυδρομείου Για να μην αναφέρουμε ότι πρέπει να περνάτε από δύσκολες στιγμές κάθε φορά που συνδέεστε. Δεν χρειάζεστε αυστηρό ποιοτικό έλεγχο εάν έχετε ένα καλό σύστημα διασφάλισης ποιότητας. Εάν οδηγείτε ήδη υπεύθυνα και αντικαθιστάτε τα φρένα σας τακτικά, δεν χρειάζεται να τα ελέγχετε πριν από κάθε ταξίδι. Η ίδια λογική ισχύει και εδώ.
Δεν μπορώ να μετρήσω πόσες φορές προσπάθησα να συνδεθώ στον Λογαριασμό μου Google από το τηλέφωνό μου, μόνο και μόνο για να μου σταλεί ένα μήνυμα επαλήθευσης στην ίδια τη συσκευή. Αν κάποιος έχει το τηλέφωνό μου, το παιχνίδι τελείωσε—δεν χρειάζεται καν τον κωδικό πρόσβασής μου. Ένα email ή ένας κωδικός SMS του δίνει τα κλειδιά. Ωστόσο, ο έλεγχος ταυτότητας δύο παραγόντων μέσω SMS εξακολουθεί να είναι πανταχού παρών. Η αλλαγή SIM είναι μια γνωστή και ενεργή απειλή.Ο έλεγχος ταυτότητας δύο παραγόντων μέσω SMS είναι βολικός, αλλά εξαιρετικά ανασφαλής. Καμία ιστοσελίδα δεν μπορεί να ισχυριστεί σοβαρά ότι δημιούργησε τον λογαριασμό σας. Ασφαλέστερα Με την προσθήκη ελέγχου ταυτότητας δύο παραγόντων μέσω SMS.
Αναξιόπιστος
Ο έλεγχος ταυτότητας δύο παραγόντων βασίζεται σε ασταθείς μεθόδους παράδοσης.
Ενώ ο έλεγχος ταυτότητας δύο παραγόντων θεωρείται ακρογωνιαίος λίθος της σύγχρονης ασφάλειας, απέχει πολύ από το να είναι αξιόπιστος. Οι εμπειρίες μου με την Google ήταν καλές, αλλά ο έλεγχος ταυτότητας δύο παραγόντων της Meta είναι ασυνεπής και της Microsoft είναι εντελώς απαίσιος (θα αναφερθώ σε αυτό αργότερα). Εάν οι μεγάλες εταιρείες τεχνολογίας δεν μπορούν να κατακτήσουν τον έλεγχο ταυτότητας δύο παραγόντων, ποια ελπίδα υπάρχει για τις μικρές επιχειρήσεις; Και εάν βασίζονται σε μια υπηρεσία τρίτου μέρους, τι συμβαίνει όταν αυτή η υπηρεσία σταματήσει να λειτουργεί - θα χάσουμε ξαφνικά την πρόσβαση σε δεκάδες λογαριασμούς ταυτόχρονα;
Ο πάροχος υπηρεσιών μου είχε διακοπή λειτουργίας την περασμένη εβδομάδα. Δεν μπόρεσα να συνδεθώ στον πίνακα ελέγχου μου επειδή δεν έφτασε ποτέ ο κωδικός SMS. Με τον έλεγχο ταυτότητας δύο παραγόντων που βασίζεται σε SMS, ακόμη και η παραμικρή βλάβη δικτύου μπορεί να καταπιεί εντελώς το μήνυμα.
Οι πάροχοι αντιμετωπίζουν τον έλεγχο ταυτότητας δύο παραγόντων ως προαιρετικό δίχτυ ασφαλείας και όχι ως βασικό χαρακτηριστικό. Αυτό σημαίνει ότι δεν ασχολούνται με ισχυρούς μηχανισμούς δημιουργίας αντιγράφων ασφαλείας. Εάν κάθε λογαριασμός που βασίζεται σε κωδικό πρόσβασης απαιτεί πλέον έλεγχο ταυτότητας δύο παραγόντων, γιατί το σύστημα δεν λειτουργεί και με τους δύο τρόπους; Οι λογαριασμοί που έχουν ρυθμιστεί μόνο μέσω τηλεφώνου ή email θα πρέπει επίσης να απαιτούν έναν εφεδρικό κωδικό πρόσβασης. Επειδή όταν ο έλεγχος ταυτότητας δύο παραγόντων πάει στραβά - και συμβαίνει συχνά - έχετε πρόβλημα.
Ακαταστασία στα Εισερχόμενα και Απόρρητο
Τα tokens συνοδεύονται από κρυφές χρεώσεις.
Κάθε προσπάθεια σύνδεσης μετατρέπεται σε email ή σε άλλο μήνυμα που δεν ζήτησα ποτέ. Ο έλεγχος ταυτότητας δύο παραγόντων το καθιστά αναπόφευκτο. Παραδίδω συνεχώς το email ή τον αριθμό τηλεφώνου μου σε εταιρείες που προτιμώ να μην κάνω. Θυμάστε όταν μπορούσατε να εγγραφείτε μόνο με ένα όνομα χρήστη και έναν κωδικό πρόσβασης; Τότε, έπρεπε να επιβεβαιώσετε τον κωδικό πρόσβασής σας. Τώρα επιβεβαιώνετε το email σας. Οι κωδικοί πρόσβασης δεν είναι πλέον της μόδας.
Υπάρχει ένα βαθύτερο ζήτημα απορρήτου. Όταν ο πάροχος email μου χειρίζεται κωδικούς ελέγχου ταυτότητας δύο παραγόντων, ουσιαστικά παρακολουθεί κάθε προσπάθεια σύνδεσης. Το Gmail γνωρίζει πότε προσπαθώ να συνδεθώ στο PayPal. Δεν θέλω να το γνωρίζει αυτό το Gmail.
Η ενεργοποίηση της επαλήθευσης 2 βημάτων μέσω μηνύματος κειμένου είναι χειρότερη από ό,τι νομίζετεΗ εταιρεία τηλεπικοινωνιών μου, η οποία ήδη γνωρίζει τον αριθμό και την τοποθεσία μου, γνωρίζει πλέον ποιες εφαρμογές χρησιμοποιώ και πότε. Ενώ δεν χρησιμοποιούν αυτούς τους κωδικούς για να συνδεθούν για μένα, είναι πολύ ανησυχητικό.
Ακόμα κι αν δεν ανησυχείτε ιδιαίτερα για το απόρρητό σας, σίγουρα θέλετε να έχετε το κεφάλι σας ήσυχο. Δεν θέλω να δίνω τον αριθμό τηλεφώνου μου σε κάθε ιστότοπο στον οποίο εγγράφομαι και στη συνέχεια να βομβαρδίζομαι με ενοχλητικά μηνύματα μάρκετινγκ. Δεν θέλω να πρέπει να απαντώ "stop" σε έναν σύντομο κωδικό και στη συνέχεια να χρεώνομαι γι' αυτό.
Εκτιμώ πραγματικά τα καθαρά εισερχόμενα, ειδικά τα μηνύματά μου στο iPhone. Γι' αυτό μου άρεσε το iOS 26—επειδή επιτέλους έφερε τους φακέλους ανεπιθύμητης αλληλογραφίας στα iPhone. Αλλά στις χειρότερες περιπτώσεις, η υπηρεσία χρησιμοποιεί τον ίδιο αριθμό τόσο για την επαλήθευση σε δύο βήματα όσο και για τα ανεπιθύμητα μηνύματα. Εάν αποκλείσετε έναν αριθμό, θα κλειδωθείτε έξω από τον λογαριασμό σας. Τι τέλεια λύση!
Μόνιμα κλεισίματα
Δεν έχω ξεπεράσει ακόμα την απώλεια του λογαριασμού μου στο Outlook.
Η αδυναμία πρόσβασης στο αντίγραφο ασφαλείας του email, του τηλεφώνου ή της συσκευής σας μπορεί να σας αποκλείσει οριστικά από σημαντικούς λογαριασμούς και η διαδικασία ανάκτησης είναι εξαιρετικά δύσκολη. Έζησα αυτόν τον εφιάλτη με τη Microsoft και περισσότερο από ένα χρόνο αργότερα, εξακολουθώ να πληρώνω το τίμημα.
Είχα μια διεύθυνση email Outlook συνδεδεμένη με το πανεπιστήμιο και την εργασία μου. Κάθε σημαντικός λογαριασμός—Asana, Slack, CMS, ιστοσελίδες εταιρειών, LinkedIn, ο πίνακας ελέγχου του πανεπιστημίου μου, το VPN μου—ήταν συνδεδεμένος με αυτήν τη διεύθυνση.
Ήθελα απλώς να στείλω ένα προσχέδιο της διατριβής μου στον καθηγητή μου. Αλλά το Outlook είχε άλλα σχέδια—με ανάγκασε να επαναλάβω την επαλήθευση. Κανένα πρόβλημα. Εισήγαγα το email και τον κωδικό πρόσβασής μου, αλλά αυτό δεν ήταν αρκετό. Ένας κωδικός επαλήθευσης δύο βημάτων στάλθηκε στο εφεδρικό email μου. Δυστυχώς, το εφεδρικό email ήταν ένα άλλο email του Outlook που απαιτούσε επίσης επαλήθευση δύο βημάτων.
Το email ασφαλείας μου ήταν ο λογαριασμός μου στο Yahoo. Μπορείτε ήδη να μαντέψετε τι συνέβη. Ολόκληρο το σύστημα κατέρρευσε σαν ντόμινο. Καθώς ο χρόνος και η υπομονή μου τελείωναν, πάτησα την επιλογή "Επαναφορά κωδικού πρόσβασης". Απάντησα σωστά σε δύο ερωτήσεις ασφαλείας, αλλά μου είπαν ότι ο λογαριασμός μου ήταν "αποκλεισμένος λόγω ύποπτης δραστηριότητας".
Μέχρι να ανακτήσω την πρόσβαση στον δευτερεύοντα λογαριασμό μου Yahoo και Outlook, ο κύριος λογαριασμός είχε εξαφανιστεί. Το σύστημα ανάκτησης της Microsoft ήθελε τα πρόσφατα θέματα των email μου (κανένα πρόβλημα), τις πρόσφατες επαφές μου (κανένα πρόβλημα) και τη χώρα από την οποία συνδέθηκα (αδύνατο—πάντα χρησιμοποιούσα VPN). Υπέθεσα λάθος τη χώρα. Η απάντηση της Microsoft ήταν να μου αφαιρέσει τη δυνατότητα να προσπαθήσω ξανά. Ήταν μόνιμα κλειδωμένος.
Έπρεπε να αλλάξω παντού τη διεύθυνση email μου, να την εξηγήσω σε καθηγητές και συναδέλφους και να ζητήσω συγγνώμη για την ακαταστασία. Ορισμένες υπηρεσίες εξακολουθούν να μην με επιτρέπουν να ενημερώσω τα στοιχεία σύνδεσής μου χωρίς αυτήν τη διεύθυνση Outlook. Αν αποσυνδεθώ, αυτοί οι λογαριασμοί θα χαθούν για πάντα.
Ναι, οι συνήθειες ασφαλείας μου δεν ήταν ιδανικές. Δεν έπρεπε να χρησιμοποιώ το Outlook ως αντίγραφο ασφαλείας για το Outlook. Θα έπρεπε να ελέγχω τα αντίγραφα ασφαλείας μου πιο τακτικά. Αλλά αυτή η τιμωρία είναι πολύ σκληρή. Η ασφάλεια θα πρέπει να προστατεύει τους χρήστες χωρίς να τους κρατά ομήρους των δικών τους λογαριασμών. Αντ' αυτού, ο νόμος 2FA με κλείδωσε από τη ζωή μου. Και το 2025, η υποστήριξη πελατών δεν θα είναι πλέον μια επιλογή. Θα έχετε ένα chatbot με τεχνητή νοημοσύνη.
Η θεραπεία είναι χειρότερη από την ασθένεια
Με δεδομένα τα πάντα, καταλαβαίνω γιατί ο έλεγχος ταυτότητας δύο παραγόντων (2FA) παρουσιάζεται ως προπύργιο κατά της μη εξουσιοδοτημένης πρόσβασης, αλλά η εφαρμογή του στον πραγματικό κόσμο έχει αποδειχθεί ότι προκαλεί περισσότερα προβλήματα από όσα αξίζει. Η υπερβολική πολυπλοκότητα της πρόσβασης, η αναξιόπιστη φύση της παράδοσης κώδικα, η ακαταστασία και οι παραβιάσεις απορρήτου στα εισερχόμενά μας και η πιθανότητα τρομακτικών μόνιμων διακοπών λειτουργίας - μήπως το κόστος αυτού του επιπλέον επιπέδου ασφάλειας υπερτερεί πραγματικά των επιδιωκόμενων οφελών του;
