Joseph Goodman
0 
4258
1236
Dvoufaktorové ověřování (2FA) je jedním z nejrozšířenějších pokroků v online bezpečnosti. Začátkem tohoto týdne se zprávy rozbily, že byly hacknuty.
Grant Blakeman - návrhář a majitel účtu Instagram @gb - se probudil, když zjistil, že jeho účet Gmail byl ohrožen, a hackeři mu ukradli popisovač Instagramu. To bylo navzdory tomu, že bylo povoleno 2FA.
2FA: Krátká verze
2FA je strategie pro ztěžování hackování online účtů. Moje kolegyně Tina napsal skvělý článek o tom, co je 2FA a proč byste ho měli používat Co je dvoufaktorové ověření a proč byste ho měli používat Co je dvoufaktorové ověření a proč byste měli používat dvoufaktorové ověření (2FA) ) je bezpečnostní metoda, která vyžaduje dva různé způsoby prokázání vaší identity. Běžně se používá v každodenním životě. Například platba kreditní kartou vyžaduje nejen kartu,…; Pokud chcete podrobnější úvod, měli byste se na to podívat.
V typickém nastavení jednofaktorové autentizace (1FA) používáte pouze heslo. Díky tomu je neuvěřitelně zranitelný; pokud má někdo vaše heslo, může se přihlásit jako vy. Bohužel, toto je nastavení, které většina webových stránek používá.
2FA přidává další faktor: obvykle jednorázový kód zaslaný do telefonu při přihlášení k účtu z nového zařízení nebo umístění. Někdo, kdo se snaží proniknout do vašeho účtu, musí nejen ukrást vaše heslo, ale také teoreticky mít přístup k vašemu telefonu, když se pokusí přihlásit. Další služby, jako jsou Apple a Google, implementují 2FA Zamknout tyto služby hned dvěma -Faktorové ověřování Uzamkněte tyto služby nyní pomocí dvoufaktorového ověřování Dvoufaktorové ověřování je chytrý způsob, jak chránit své online účty. Pojďme se podívat na několik služeb, které můžete uzamknout, s lepším zabezpečením. .
Grantův příběh
Grantův příběh je velmi podobný příběhu Wired spisovatele Mata Honana. Mat nechal celý svůj digitální život zničit hackery, kteří chtěli získat přístup ke svému účtu Twitter: má uživatelské jméno @mat. Grant má obdobně dvoumístný účet @gb Instagram, díky němuž byl cílem.
Grant na svém účtu Ello popisuje, jak dlouho, dokud má účet Instagram, několikrát týdně řeší nevyžádané e-maily s obnovením hesla. To je velká červená vlajka, kterou se někdo snaží proniknout na váš účet. Občas dostal 2FA kód pro účet Gmail, který byl připojen k jeho účtu Instagram.
Jednoho rána se věci změnily. Probudil se k textu, který mu řekl, že jeho heslo k účtu Google bylo změněno. Naštěstí se mu podařilo znovu získat přístup ke svému účtu Gmail, ale hackeři jednali rychle a smazali jeho účet Instagram a ukradli úchyt @gb pro sebe.
Co se stalo Grantovi, je obzvláště znepokojivé, protože k němu došlo i přes něj pomocí 2FA.
Náboje a slabé body
Hacky Mat a Granta se spoléhali na hackery, kteří využívali slabá místa v jiných službách, aby se dostali do účtu klíčového uzlu: svého účtu Gmail. Z tohoto důvodu mohli hackeři provést standardní reset hesla na libovolném účtu přidruženém k této e-mailové adrese. Pokud hacker získal přístup k mému Gmailu, mohl by získat přístup k mému účtu zde na MakeUseOf, mém účtu Steam a všem ostatním.
Mat napsal vynikající a podrobný popis toho, jak přesně byl hacknut. Vysvětluje to, jak hackeři získali přístup pomocí slabých stránek v zabezpečení Amazonu, aby převzali jeho účet, použili informace, které odtamtud získali, k přístupu k jeho účtu Apple a poté je použili k tomu, aby se dostali do svého účtu Gmail - a celý svůj digitální život.
Grantova situace byla jiná. Matův hack by nefungoval, kdyby měl na svém účtu Gmail povolen 2FA. V Grantově případě to obešli. Specifika toho, co se stalo Grantovi, nejsou tak jasné, ale některé podrobnosti lze odvodit. Grant na svůj účet Ello říká:
Takže, pokud mohu říci, útok ve skutečnosti začal u mého poskytovatele mobilních telefonů, který nějak umožnil určitou úroveň přístupu nebo sociálního inženýrství na můj účet Google, což pak umožnilo hackerům přijímat e-mail s resetováním hesla od Instagramu, což jim dává kontrolu účtu.
Hackeři na svém účtu mobilního telefonu povolili přesměrování hovorů. To, zda jim to umožnilo zaslání kódu 2FA, nebo použili jinou metodu k jeho obcházení, není jasné. Ať tak či onak, kompromitováním účtu mobilního telefonu Granta získali přístup k jeho Gmailu a poté k Instagramu.
Vyvarujte se této situace sami
Zaprvé, klíčem k tomu není, že 2FA je rozbitá a nestojí za nastavení. Je to vynikající nastavení zabezpečení, které byste měli používat; to prostě není neprůstřelné. Spíše než pomocí svého telefonního čísla pro ověření můžete bezpečnější pomocí Authy nebo Google Authenticator. Může dvoufázové ověření méně dráždit? Čtyři tajné hacky zaručené pro zvýšení bezpečnosti Může dvoufázové ověření méně dráždit? Čtyři tajné hacky zaručené pro zvýšení bezpečnosti Chcete zabezpečit neprůstřelnou ochranu účtu? Velmi doporučuji povolit tzv. Dvoufaktorové ověřování. . Pokud se hackerům Granta podařilo přesměrovat ověřovací text, zastavilo by to.
Za druhé, zvažte, proč by vás lidé chtěli hacknout. Pokud vlastníte hodnotná uživatelská jména nebo doménová jména, hrozí vám zvýšené riziko. Podobně, pokud jste celebritou, budete s větší pravděpodobností hacknuti 4 způsoby, jak se vyhnout hackování jako celebrita 4 způsoby, jak se vyhnout hackování jako celebrita Vynechané akty celebrit v roce 2014 udělaly titulky po celém světě. S těmito tipy se ujistěte, že se vám to nestane. . Pokud se nenacházíte v žádné z těchto situací, je pravděpodobné, že vás někdo napadne někdo, koho znáte, nebo oportunistický hacker poté, co vaše heslo dostane online. V obou případech je nejlepší obranou bezpečné, jedinečné heslo pro každou jednotlivou službu. Já osobně používám 1Password, což je užitečný způsob, jak zabezpečit vaše hesla Nechte 1Password pro Mac spravovat vaše hesla a zabezpečená data Nechat 1Password pro Mac spravovat vaše hesla a zabezpečená data Navzdory nové funkci iCloud Keychain v OS X Mavericks, stále dávám přednost výkonu správu mých hesel v klasickém a populárním 1Password AgileBits, nyní ve 4. verzi. a je k dispozici na všech hlavních platformách.
Zatřetí, minimalizujte dopad účtů rozbočovačů. Účty hub usnadňují život vám, ale i hackerům. Nastavte si tajný e-mailový účet a použijte jej jako účet pro resetování hesla pro důležité online služby. Mat to udělal, ale útočníci si mohli prohlédnout jeho první a poslední písmena; viděli m••••[email protected]. Buďte trochu nápaditější. Tento e-mail byste také měli použít pro důležité účty. Zejména ty, které mají připojené finanční informace, jako je Amazon. Tímto způsobem, i když hackeři získají přístup k účtům rozbočovačů, nezískají přístup k důležitým službám.
Nakonec se vyhněte zveřejňování citlivých informací online. Matovi hackeři našli jeho adresu pomocí vyhledávání WhoIs - které vám řekne informace o tom, kdo vlastní web -, což jim pomohlo dostat se na jeho Amazonský účet. Počet buněk Granta byl pravděpodobně k dispozici také někde online. Obě jejich e-mailové adresy rozbočovače byly veřejně dostupné, což hackerům poskytlo výchozí bod.
Miluji 2FA, ale chápu, jak by to změnilo názor některých lidí na to. Jaké kroky podnikáte, abyste se chránili po hacknutích Mata Honana a Granta Blakemana?
Obrazové kredity: 1Password.