Joseph Goodman
0 
4168
836
Dvofaktorska provjera autentičnosti (2FA) jedan je od najkorištenijih napretka u mrežnoj sigurnosti. Ranije ovog tjedna provalile su vijesti da je bila hakirana.
Grant Blakeman - dizajner i vlasnik računa @gb na Instagramu - probudio se kad je otkrio da je njegov Gmail račun ugrožen, a hakeri su mu ukrali kvaku na Instagramu. To je unatoč tome što je omogućeno 2FA.
2FA: Kratka verzija
2FA je strategija za otežavanje hakiranja internetskih računa. Moja kolegica Tina napisala je sjajan članak o tome što je 2FA i zašto biste je trebali koristiti Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristiti Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristiti dvofaktorsku provjeru autentičnosti (2FA ) sigurnosna je metoda koja zahtijeva dva različita načina dokazivanja vašeg identiteta. Uobičajeno se koristi u svakodnevnom životu. Na primjer, plaćanje kreditnom karticom ne zahtijeva samo karticu,…; ako želite detaljniji uvod, pogledajte ga.
U uobičajenom jednofaktorskom pristupu za provjeru identiteta (1FA) koristite samo lozinku. To ga čini nevjerojatno ranjivim; ako netko ima vašu lozinku, može se prijaviti kao vi. Nažalost, ovo je postavljanje koje većina web stranica koristi.
2FA dodaje dodatni faktor: obično jednokratni kôd poslan na vaš telefon prilikom prijave na račun s novog uređaja ili lokacije. Netko tko pokušava provaliti u vaš račun mora ne samo da vam ukrade zaporku, već i teoretski ima pristup vašem telefonu kad se pokuša prijaviti. Više usluga, poput Applea i Googlea, implementiraju 2FA zaključavanje ovih usluga sada s dvije -Factor Autentifikacija zaključajte ove usluge sada s dvofaktornom autentifikacijom Dvofaktorska provjera identiteta je pametan način zaštite vaših mrežnih računa. Pogledajmo nekoliko usluga koje možete zaključati uz bolju sigurnost. .
Grantova priča
Grantova je priča vrlo slična knjizi o žičanom Matu Honanu. Mat su cijeli digitalni život uništili hakeri koji su htjeli dobiti pristup njegovom Twitter računu: ima korisničko ime @mat. Grant ima sličan račun na Instagramu @gb s dva slova koji ga je učinio metom.
Na svom Ello računu Grant opisuje kako se, sve dok je imao svoj Instagram račun, nekoliko puta tjedno bavio neželjenim porukama za poništavanje zaporke. To je velika crvena zastava koju netko pokušava probiti na vaš račun. Povremeno bi dobio 2FA kôd za Gmail račun koji je bio prikačen na njegovom Instagram računu.
Jednog jutra stvari su bile drugačije. Probudio se tekst u kojem je pisalo da je promijenjena zaporka za Google račun. Srećom, uspio je vratiti pristup svom Gmail računu, ali hakeri su brzo postupili i izbrisali njegov Instagram račun, ukrali @gb kvaku za sebe.
Ono što se dogodilo s Grantom posebno je zabrinjavajuće jer se dogodilo unatoč tome što je koristio 2FA.
Glavčine i slabe točke
I Matovi i Grantovi hakeri pouzdali su se u hakere koristeći slabe točke u drugim servisima da bi ušli u ključni račun središta: njihov Gmail račun. Nakon toga, hakeri su uspjeli napraviti standardno resetiranje zaporke na bilo kojem računu povezanom s tom adresom e-pošte. Ako je haker dobio pristup mom Gmailu, mogao bi dobiti moj račun ovdje na MakeUseOf, moj Steam račun i sve ostalo.
Mat je napisao izvrstan, detaljan prikaz tačno kako je bio hakiran. Objašnjava kako su hakeri dobili pristup pomoću slabih točaka Amazonove sigurnosti kako bi preuzeli njegov račun, koristili informacije koje su od tamo dobili za pristup njegovom računu Applea, a zatim su to iskoristili za ulazak na njegov Gmail račun - i cijeli njegov digitalni život.
Grantova situacija bila je drugačija. Matov hack ne bi uspio da je na njegovom Gmail računu omogućio 2FA. U Grantovom slučaju su je zaobišli. Specifičnosti onoga što se dogodilo s Grantom nisu toliko jasne, ali mogu se izvesti neki detalji. Pišući na svom Ello računu, Grant kaže:
Dakle, koliko mogu reći, napad je zapravo započeo kod mog davatelja mobitela, što je nekako omogućilo neku razinu pristupa ili društveni inženjering na moj Google račun, što je onda omogućilo hakerima da od Instagrama dobiju e-poštu za vraćanje lozinke, dajući im kontrolu računa.
Hakeri su omogućili prosljeđivanje poziva na njegov račun na mobitelu. Je li to dopustilo da im se pošalje 2FA kôd ili su se koristili nekom drugom metodom da ga zaobiđu. Bilo kako bilo, kompromitiranjem Grantovog računa za mobitel dobili su pristup njegovom Gmailu, a zatim i njegovom Instagramu.
Izbjegavajte sami ovu situaciju
Prvo, ključno sredstvo ovoga nije da je 2FA pokvaren i da ga ne vrijedi postavljati. Izvrsna je sigurnosna postavka koju biste trebali koristiti; jednostavno nije neprobojna. Umjesto korištenja svog telefonskog broja za provjeru autentičnosti možete li ga učiniti sigurnijim koristeći Authy ili Google Autentifikat. Može li provjera u dva koraka biti manje iritirajuća? Četiri tajne hake zajamčeno za poboljšanje sigurnosti Može li provjera u dva koraka manje iritirati? Zajamčeno četiri tajne hake za poboljšanje sigurnosti Želite li sigurnost računa bez metaka? Toplo predlažem da se omogući ono što se naziva "dvofaktorska" provjera autentičnosti. , Da su Grantovi hakeri uspjeli preusmjeriti verifikacijski tekst, to bi zaustavilo.
Drugo, razmislite zašto bi vas ljudi htjeli hakirati. Ako imate vrijedna korisnička imena ili imena domena, riskirate. Slično tome, ako ste slavna osoba, vjerojatnije je da će vas hakirati 4 načina da se izbjegne hakiranje poput slavnih 4 načina da se izbjegne hakiranje poput poznatih osoba Provukla je slavna osoba u 2014. godini na naslovima širom svijeta. Pobrinite se da vam se ne dogodi s ovim savjetima. , Ako niste u nijednoj od ovih situacija, vjerovatno će vas probiti netko koga poznajete ili oportunistički hakirati nakon što vam se lozinka proširi na mreži. U oba su slučaja najbolja obrana sigurne, jedinstvene lozinke za svaku pojedinačnu uslugu. Osobno koristim 1Password koji je koristan način zaštite vaših lozinki. Neka 1Password za Mac upravlja vašim lozinkama i sigurnim podacima Neka 1Password za Mac upravlja vašim lozinkama i sigurnim podacima Unatoč novoj značajci iCloud Keychain u OS X Mavericks, i dalje više volim snagu upravljanje mojim lozinkama u klasičnom i popularnom 1Password-u AgileBits-a, koji je sada u četvrtoj verziji. i dostupan je na svakoj većoj platformi.
Treće, minimizirajte utjecaj računa sa središtima. Računi na središtima olakšavaju vam život ali i hakere. Postavite tajni račun e-pošte i koristite ga kao račun za poništavanje zaporke za vaše važne internetske usluge. Mat je to učinio, ali su napadači mogli vidjeti prvo i posljednje slovo toga; vidjeli su m••••[email protected]. Budite malo maštovitiji. Ovu e-poštu trebali biste koristiti i za važne račune. Naročito oni s priloženim financijskim podacima poput Amazona. Na taj način, čak i ako hakeri dobiju pristup vašim računima na središtu, neće dobiti pristup važnim uslugama.
Na kraju, izbjegavajte objavljivanje osjetljivih podataka na mreži. Matovi hakeri pronašli su njegovu adresu pomoću WhoIs pretraživanja - koji vam govori informacije o tome tko je vlasnik web stranice - što im je pomoglo da uđu na njegov Amazonov račun. Grantov broj mobitela vjerojatno je dostupan i negdje putem interneta. Obje su adrese e-pošte na njihovu središtu bile javno dostupne, što je hakerima postalo polazište.
Volim 2FA, ali mogu shvatiti kako bi se to promijenilo mišljenje nekih ljudi o tome. Koje korake poduzimate kako biste zaštitili sebe nakon hakiranja Mat Honan i Grant Blakeman?
Slikovni krediti: 1Password.