Ingen metod är perfekt, men fysiska säkerhetsnycklar är en pålitlig form av multifaktorautentisering. Kredit:Shutterstock
När det gäller personlig cybersäkerhet, du kanske tror att du gör okej. Kanske har du konfigurerat multifaktorautentisering på din telefon så att du måste ange en kod som skickas till dig via SMS innan du kan logga in på din e-post eller bankkonto från en ny enhet.
Vad du kanske inte inser är att nya bedrägerier har gjort autentisering med en kod som skickats via SMS, e-post eller röstsamtal mindre säkra än de brukade vara.
Multifaktorautentisering är listad i Australian Cyber Security Centres Essential Eight Maturity Model som en rekommenderad säkerhetsåtgärd för företag för att minska risken för cyberattacker.
Förra månaden, i en uppdaterad lista, autentisering via SMS, e-post eller röstsamtal nedgraderades, indikerar att de inte längre anses vara optimala för säkerheten.
Här är vad du bör göra istället.
Vad är multifaktorautentisering?
När vi loggar in på en app eller enhet, vi brukar bli tillfrågade om någon form av identitetskontroll. Detta är ofta något vi känner till (som ett lösenord), men det kan också vara något vi har (som en säkerhetsnyckel eller ett passerkort) eller något vi är (som ett fingeravtryck).
Den sista av dessa är ofta att föredra eftersom, medan du kan glömma ett lösenord eller ett kort, din biometriska signatur finns alltid med dig.
Multifaktorautentisering är när mer än en identitetskontroll utförs via olika kanaler. Till exempel, det är vanligt nuförtiden att ange ditt lösenord, och en extra autentiseringskod du behöver ange skickas till din telefon via SMS, e-post eller röstbrevlåda.
Många tjänster, som banker, erbjuder redan denna funktion. Du skickas en "engångskod" till din telefon för att bekräfta behörighet att genomföra en transaktion.
Detta är bra eftersom:
Hur kunde detta gå fel?
Anta att en cyberbrottsling har stulit din telefon, men du har den låst via fingeravtryck. Om brottslingen vill äventyra ditt bankkonto och försöker logga in, din bank skickar en autentiseringskod till din telefon.
Beroende på hur dina telefoninställningar är konfigurerade, koden kan dyka upp på din telefonskärm, även när den fortfarande är låst. Brottslingen kunde sedan mata in koden och komma åt ditt bankkonto. Observera att "stör ej"-inställningar på din telefon inte hjälper eftersom meddelandet fortfarande visas, om än tyst. För att undvika detta problem, du måste inaktivera meddelandeförhandsvisningar helt i telefonens inställningar.
Ett mer utarbetat hack involverar "SIM-byte". Om en brottsling har några av dina identitetsuppgifter, de kanske kan övertyga din telefonleverantör om att de är du och begära att ett nytt SIM-kort kopplat till ditt telefonnummer skickas till dem. På det sättet, varje gång en autentiseringskod skickas från ett av dina konton, det kommer att gå till hackaren istället för dig.
Detta hände en teknikjournalist i USA för ett par år sedan, som beskrev upplevelsen:"Vid 21.00 på tisdag, 22 augusti bytte en hackare sitt eget SIM-kort mot mitt, förmodligen genom att ringa T-Mobile. Detta, i tur och ordning, stäng av nätverkstjänster till min telefon och, ögonblick senare, tillät hackaren att ändra de flesta av mina Gmail-lösenord, mitt Facebook-lösenord, och sms:a för min räkning. Alla tvåfaktorsmeddelanden gick, som standard, till mitt telefonnummer så jag fick ingen av dem och på ungefär två minuter blev jag utelåst från mitt digitala liv."
Sedan är det frågan om du vill lämna ditt telefonnummer till tjänsten du använder. Facebook har de senaste dagarna blivit utsatta för beskyllning för att ha krävt användare att uppge sitt telefonnummer för att säkra sina konton, men sedan låta andra söka efter sin profil via deras telefonnummer. De har också enligt uppgift använt telefonnummer för att rikta in sig på användare med annonser.
Därmed inte sagt att det är en dålig sak att dela upp identitetskontroller, det är bara att skicka en del av en identitetskontroll via en mindre säker kanal främjar en falsk känsla av säkerhet som kan vara värre än att inte använda någon säkerhet alls.
Multifaktorautentisering är viktigt – så länge du gör det via rätt kanaler.
Vilka autentiseringskombinationer är bäst?
Låt oss överväga några kombinationer av multifaktorautentisering som har varierande grad av användarvänlighet och säkerhet.
Ett självklart förstahandsval är något du vet och något du har, säg ett lösenord och ett fysiskt passerkort. En cyberbrottsling måste skaffa båda för att utge sig för att vara dig. Inte omöjligt, men svårt.
En annan kombination är ett lösenord och ett röstavtryck. Ett igenkänningssystem för röstavtryck registrerar dig när du talar en viss lösenfras och matchar sedan din röst när du behöver autentisera din identitet. Detta är attraktivt eftersom du inte kan lämna din röst hemma eller i bilen.
Men kan din röst vara förfalskad? Med hjälp av digital programvara, det kan vara möjligt att ta en befintlig inspelning av din röst, packa upp och sekvensera den igen för att skapa den önskade frasen. Detta är lite utmanande, men inte omöjligt.
En tredje kombination är ett kort och ett röstavtryck. Detta val tar bort behovet av att komma ihåg ett lösenord, som kan bli stulen, och så länge du förvarar den fysiska token (kortet eller nyckeln) säkert, det är väldigt svårt för någon annan att utge sig för dig.
Det finns inga perfekta lösningar ännu och att använda den säkraste versionen av autentisering beror på att den erbjuds av tjänsten du använder, som din bank.
Cybersäkerhet handlar om att hantera risker, så vilken kombination av multifaktorautentisering som passar dina behov beror på balansen du accepterar mellan användbarhet och säkerhet.
Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln. 
