The Importance of Two-Factor Authentication (2 factor authentication)

Most Cybersecurity specialists recommend using Two-Factor Authentication, which besides username and password also request an access code (that can be generated using a token-device – for instance, a smartphone with Google Authenticator, or received via SMS).

Why should I bother to set up and use Second-Factor for an account that “is not so important”?

First, there is no such things as an unimportant account … at least not for black-hats. Maybe you didn’t link your Debit/Credit Card to your Google account, but isn’t it true that you used your GMail address when you opened your bank account? If your answer is yes, then you are already in danger to be attacked!

How? It’s simple! All someone needs to do to gain access to your bank account is to break into your GMail account, read a few of your emails (from which the attacker can determine the bank you have the account at, your Social Security Number, your Full Name, where you live and where you were born!). After collecting the information from your unprotected and “unimportant” account, the attacker will call the bank, in your name, of course and will request a password reset. To prevent this type of attack, some banks use Two-Factor Authentication, but there still are some that do not implement Second-Factor Authentication, so they permit logging in just with a Client ID and Password. If your bank is one of those, then you just lost!

The solution to this type of problem is to turn on 2nd Factor Authentication on every account and every device.

If your answer is “Nah, it won’t happen to me!”, then please go and read the statistics, the chance is very high that you’ll end up just like one of them! Don’t risk it!

Maybe you think “It’s too complicated!”, then you should know that sometimes 2nd Factor Authentication can even simplify your life! As an example, Microsoft accounts have the option to “Sign in with Microsoft Authenticator” and done! You NO longer need any password! Just your outlook.com email address, your smartphone and your finger. You type in the email and automatically receive a prompt on your phone to sign in, which you can approve or reject.

Maybe you ask yourself: But isn’t this just as unsafe as a password? The answer is no, because only you can approve the sign-in request and only from your phone.

But what if my phone breaks? Then you will have to enter your password and confirm the login with a code received through SMS (after you move your SIM card to another phone) and presto! You can now login!

But what if my SIM breaks too? Then you can simply go to Vodafone, Orange, Telekom or any other cell-provider and request to recover your number. Both subscription and pre-paid numbers can be recovered.

So, you can’t get yourself locked out!

To end, I will enumerate the many important people from the field of Cybersecurity who consider it mandatory for anyone who uses technology to switch to 2nd Factor Authentication (short 2FA): Bruce Schneier, Edward Snowden, the NIST organization and the EFF organization (Electronic Frontier Foundation).

 

Importanța autentificării “în doi pași”

(2nd factor authentication)

 

Cei mai mulți specialiști în domeniul siguranței cibernetice recomandă utilizarea tehnologiilor de autentificare “în doi pași”, care pe lângă user și parolă mai cer și un cod de acces (care poate fi generat de către un dispozitiv token – de exemplu un smartphone cu Google Authenticator, sau primit prin SMS).

Dar de ce să mă complic cu second factor pentru un cont care “nu e așa de important”? În primul rând, nu există conturi neimportante … cel puțin nu pentru black-hats. Poate nu ți-ai legat cardul bancar la contul de Google, dar nu-i așa că ai folosit adresa GMail când ți-ai deschis contul la bancă? Dacă raspunsul tau a fost da, atunci deja ești în periocol de a fi atacat!

Cum? Foarte simplu, tot ce trebuie cineva să facă ca să “câștige” acces la contul tău bancar este să îți spargă contul de GMail, să îți citească câteva dintre email-uri (din care va afla la ce bancă ai contul, ce CNP ai, cum te cheamă, unde stai și când te-ai născut!). După ce a colectat informațiile din contul tău neprotejat și “neimportant”, va suna la bancă, în numele tău desigur și va cere resetarea parolei. Pentru a preveni un asemenea atac, unele bănci folosesc autentificare “în doi pași”, dar încă mai sunt bănci neprotejate, care permit logarea cu doar codul de client și parola.

Dacă banca este una dintre acestea, atunci tocmai ai pierdut!

Soluția pentru a evita asemenea probleme este să activezi 2nd factor authentication pe absolut orice cont și pe orice dispozitiv. Dacă raspunsul tău este “Nu o voi păți eu!”, atunci te rog să citești statisticile, șansa ca tu să te numeri printre victime este mare. Nu risca! Poate te gândești “E prea complicat!”, trebuie să știi atunci că uneori autentificare second
factor îți simplifică viața! De exemplu, pentru conturile Microsoft se poate folosi optiunea de “autentificare cu Microsoft Authenticator” și gata, NU mai ai nevoie de parolă! Doar de email-ul outlook.com, de smartphone și de deget. Introduci emailul, și automat primești pe telefon o întrebare dacă aprobi sau respingi încercarea de autentificare.

Poate te întrebi: Dar nu este acest lucru mai nesigur ca o parola? Iar răspunsul este nu, deoarece numai tu ai posibilitatea de a aproba încercarea de autentificare, numai de pe telefonul tău. Dacă mi se strică telefonul? Atunci va trebui să introduci parola, să confirmi autentificarea prin SMS (după ce ai mutat cartela SIM în alt telefon) și vei avea acces la cont. Dar dacă mi se strică și SIM-ul? Atunci te duci pur și simplu la Vodafone, Orange, Telekom (fostul Cosmote) și ceri să îți recuperezi numărul. Se pot recupera numere de abonament, dar și numere de cartele prepaid.

Nu e posibil să rămâi fară posibilitatea de a te autentifica! În final, voi enumera nume mari din domeniul siguranței cibernetice care insistă ca absolut toți utilizatorii de tehnologie să adopte 2FA – Second Factor Authentication: Bruce Schneier, Edward Snowden și organizația NIST!

Author: Ioan Moldovan, IT Consultant at Safetech Innovations.