Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) είναι μια από τις πιο ευρέως διαδεδομένες εξελίξεις στην ασφάλεια στο διαδίκτυο. Νωρίτερα αυτή την εβδομάδα, οι ειδήσεις έσπασε ότι είχε χάσει.
Ο Grant Blakeman - ένας σχεδιαστής και ιδιοκτήτης του λογαριασμού @ gb Instagram - ξύπνησε για να βρει τον λογαριασμό του στο Gmail να έχει συμβιβαστεί και οι χάκερς είχαν κλέψει τη λαβή του Instagram. Αυτό συνέβη παρά την ενεργοποίηση του 2FA.
2FA: Η σύντομη έκδοση
2FA είναι μια στρατηγική για να καταστήσει τους λογαριασμούς στο διαδίκτυο πιο δύσκολο να hack. Η συνάδελφός μου Tina έχει γράψει ένα μεγάλο άρθρο σχετικά με το τι είναι το 2FA και γιατί πρέπει να το χρησιμοποιήσετε. Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί πρέπει να το χρησιμοποιήσετε Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί πρέπει να το χρησιμοποιήσετε Έλεγχος ταυτότητας δύο παραγόντων ) είναι μια μέθοδος ασφαλείας που απαιτεί δύο διαφορετικούς τρόπους απόδειξης της ταυτότητάς σας. Χρησιμοποιείται συνήθως στην καθημερινή ζωή. Για παράδειγμα, η πληρωμή με μια πιστωτική κάρτα απαιτεί όχι μόνο την κάρτα, ... Διαβάστε περισσότερα; αν θέλετε μια πιο λεπτομερή εισαγωγή, θα πρέπει να το ελέγξετε.
Σε μια τυπική ρύθμιση ταυτότητας ενός παράγοντα (1FA) χρησιμοποιείτε μόνο έναν κωδικό πρόσβασης. Αυτό το καθιστά απίστευτα ευάλωτο. αν κάποιος έχει τον κωδικό πρόσβασής σας, μπορεί να συνδεθεί όπως εσείς. Δυστυχώς, αυτή είναι η ρύθμιση που χρησιμοποιούν οι περισσότεροι ιστότοποι.
Το 2FA προσθέτει έναν πρόσθετο παράγοντα: συνήθως έναν κωδικό μιας ώρας που αποστέλλεται στο τηλέφωνό σας όταν συνδέεστε στο λογαριασμό σας από μια νέα συσκευή ή τοποθεσία. Κάποιος που προσπαθεί να εισέλθει στο λογαριασμό σας πρέπει όχι μόνο να κλέψει τον κωδικό πρόσβασής σας, αλλά και θεωρητικά να έχει πρόσβαση στο τηλέφωνό σας όταν προσπαθεί να συνδεθεί. Περισσότερες υπηρεσίες, όπως η Apple και η Google, υλοποιούν το 2FA Lock Down These Services Now With Two -Έλεγχος ταυτότητας φακέλου Κλείδωμα των υπηρεσιών αυτών τώρα με έλεγχο ταυτότητας δύο παραγόντων Ο έλεγχος ταυτότητας δύο παραγόντων είναι ο έξυπνος τρόπος για να προστατεύσετε τους λογαριασμούς σας στο διαδίκτυο. Ας ρίξουμε μια ματιά σε μερικές από τις υπηρεσίες που μπορείτε να κλειδώσετε-κάτω με την καλύτερη ασφάλεια. Διαβάστε περισσότερα .
Η ιστορία της Grant
Η ιστορία της Grant μοιάζει πολύ με τον ενσύρματο συγγραφέα Mat Honan. Το Mat είχε καταστρέψει ολόκληρη την ψηφιακή του ζωή από τους χάκερ που ήθελαν να αποκτήσουν πρόσβαση στο λογαριασμό του Twitter: έχει το όνομα χρήστη @mat. Η Grant, ομοίως, έχει το λογαριασμό των 2 γραμμάτων @ gb Instagram που τον έκανε στόχο.
Στον λογαριασμό του Ello, ο Grant περιγράφει πώς, για όσο καιρό είχε λογαριασμό Instagram, έχει ασχοληθεί με ανεπιθύμητα ηλεκτρονικά μηνύματα επαναφοράς κωδικού πρόσβασης μερικές φορές την εβδομάδα. Αυτή είναι μια μεγάλη κόκκινη σημαία που κάποιος προσπαθεί να χάσει στο λογαριασμό σας. Περιστασιακά θα έλαβε έναν κωδικό 2FA για τον λογαριασμό Gmail που είχε επισυνάψει στον λογαριασμό του Instagram.
Ένα πρωί τα πράγματα ήταν διαφορετικά. Ξύπνησε σε ένα κείμενο που του έλεγε ότι ο κωδικός πρόσβασης του Λογαριασμού Google είχε αλλάξει. Ευτυχώς, ήταν σε θέση να ανακτήσει την πρόσβαση στο λογαριασμό του Gmail, αλλά οι χάκερ είχαν ενεργήσει γρήγορα και διαγράφονταν το λογαριασμό Instagram του, κλέβοντας τον χειριστή @ gb για τον εαυτό τους.
Αυτό που συνέβη με τον Grant είναι ιδιαίτερα ανησυχητικό γιατί συνέβη παρά το γεγονός ότι χρησιμοποίησε το 2FA.
Hubs και Αδύναμοι Πόντοι
Και οι αμυχές του Mat και του Grant βασίζονταν σε χάκερ που χρησιμοποιούσαν αδύναμα σημεία σε άλλες υπηρεσίες για να μπουν σε έναν κεντρικό λογαριασμό κόμβου: τον λογαριασμό τους στο Gmail. Από αυτό, οι χάκερ μπόρεσαν να κάνουν μια τυπική επαναφορά κωδικού πρόσβασης σε οποιονδήποτε λογαριασμό που σχετίζεται με τη συγκεκριμένη διεύθυνση ηλεκτρονικού ταχυδρομείου. Αν ένας χάκερ είχε πρόσβαση στο Gmail μου, θα μπορούσαν να έχουν πρόσβαση στο λογαριασμό μου εδώ στο MakeUseOf, στον λογαριασμό μου στο Steam και σε όλα τα υπόλοιπα.
Ο Mat έχει γράψει μια εξαιρετική, λεπτομερή περιγραφή του πώς ακριβώς ήταν hacked. Εξηγεί πώς οι χάκερ απέκτησαν πρόσβαση χρησιμοποιώντας αδύνατα σημεία στην ασφάλεια του Amazon για να αναλάβουν το λογαριασμό του, χρησιμοποίησαν τις πληροφορίες που απέκτησαν από εκεί για να αποκτήσουν πρόσβαση στο λογαριασμό του Apple και στη συνέχεια το χρησιμοποίησαν για να μπουν στο λογαριασμό του Gmail - και ολόκληρη την ψηφιακή του ζωή.
Η κατάσταση του Grant ήταν διαφορετική. Το hack του Mat δεν θα είχε δουλέψει αν είχε ενεργοποιήσει το 2FA στον λογαριασμό του στο Gmail. Στην περίπτωση της Grant πήραν γύρω της. Οι ιδιαιτερότητες του τι συνέβη στην Grant δεν είναι τόσο σαφείς, αλλά μπορούν να συναχθούν ορισμένες λεπτομέρειες. Γράφοντας στο λογαριασμό του Ello, ο Grant λέει:
Έτσι, όσο μπορούμε να πούμε, η επίθεση άρχισε πραγματικά με τον πάροχο κινητής τηλεφωνίας μου, ο οποίος με κάποιο τρόπο επέτρεψε σε κάποιον βαθμό πρόσβαση ή κοινωνική μηχανική στον λογαριασμό μου στο Google, ο οποίος έδωσε τη δυνατότητα στους χάκερς να λάβουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου επαναφοράς κωδικού πρόσβασης από το Instagram, του λογαριασμού.
Οι χάκερ επέτρεψαν την προώθηση κλήσεων στον λογαριασμό κινητού τηλεφώνου του. Είτε αυτό επέτρεπε την αποστολή του κώδικα 2FA σε αυτά είτε χρησιμοποίησαν άλλη μέθοδο για να το πετύχουν, είναι ασαφές. Είτε έτσι είτε αλλιώς, με το συμβιβασμό του λογαριασμού κινητής τηλεφωνίας του Grant, αποκτήθηκε πρόσβαση στο Gmail του και στη συνέχεια στο Instagram του.
Αποφεύγετε μόνοι σας αυτήν την κατάσταση
Πρώτον, το βασικό καράβι από αυτό δεν είναι ότι το 2FA είναι σπασμένο και δεν αξίζει να εγκατασταθεί. Είναι μια εξαιρετική ρύθμιση ασφαλείας που πρέπει να χρησιμοποιείτε. δεν είναι μόνο αλεξίσφαιρα. Αντί να χρησιμοποιείτε τον αριθμό τηλεφώνου σας για έλεγχο ταυτότητας, μπορείτε να το κάνετε πιο ασφαλές χρησιμοποιώντας Authy ή Google Authenticator. Η επαλήθευση σε δύο βήματα μπορεί να είναι λιγότερο ερεθιστική; Τέσσερις μυστικές αμυχές εγγυημένες για τη βελτίωση της ασφάλειας Μπορεί η επαλήθευση σε δύο βήματα να είναι λιγότερο ερεθιστική; Τέσσερις μυστικές αμυχές εγγυημένες για τη βελτίωση της ασφάλειας Θέλετε ασφάλεια bullet-proof; Προτείνω ιδιαίτερα να ενεργοποιήσετε αυτό που ονομάζεται έλεγχος ταυτότητας "δύο παραγόντων". Διαβάστε περισσότερα . Εάν οι hackers της Grant κατάφεραν να ανακατευθύνουν το κείμενο επαλήθευσης, αυτό θα είχε σταματήσει.
Δεύτερον, εξετάστε γιατί οι άνθρωποι θα ήθελαν να σας hack. Εάν έχετε πολύτιμα ονόματα χρήστη ή ονόματα τομέα, έχετε αυξημένο κίνδυνο. Ομοίως, αν είστε διασημότητα είστε πιο πιθανό να χάκερς 4 τρόποι για να αποφύγετε να πειραχτεί σαν μια διασημότητα 4 τρόποι για να αποφύγετε να πειραχτεί σαν μια διασημότητα Διαρροές γυμνιστών γυμνιστών το 2014 έκανε τίτλους σε όλο τον κόσμο. Βεβαιωθείτε ότι δεν σας συμβεί με αυτές τις συμβουλές. Διαβάστε περισσότερα . Εάν δεν βρίσκεστε σε καμία από αυτές τις καταστάσεις, είναι πιθανότερο να χάσετε από κάποιον που γνωρίζετε ή σε μια ευκαιριακή αδράνεια, αφού ο κωδικός πρόσβασης σας διαρρεύσει στο διαδίκτυο. Και στις δύο περιπτώσεις, η καλύτερη άμυνα είναι ασφαλής, μοναδικοί κωδικοί πρόσβασης για κάθε μεμονωμένη υπηρεσία. Προσωπικά χρησιμοποιώ το 1Password που είναι ένας χρήσιμος τρόπος για να εξασφαλίσετε τους κωδικούς πρόσβασής σας Αφήστε το 1Password για Mac Διαχειριστείτε τους κωδικούς σας & Secure Data Ας 1Password για Mac Διαχειριστείτε τους κωδικούς σας & Ασφαλής Δεδομένα Παρά το νέο χαρακτηριστικό iCloud Keychain στο OS X Mavericks, προτιμώ ακόμα τη δύναμη διαχειρίζομαι τους κωδικούς μου στο κλασσικό και δημοφιλές 1Password του AgileBits, τώρα στην 4η του έκδοση. Διαβάστε περισσότερα και είναι διαθέσιμη σε κάθε μεγάλη πλατφόρμα.
Τρίτον, ελαχιστοποιήστε την επίδραση των λογαριασμών των κόμβων. Οι λογαριασμοί Hub καθιστούν τη ζωή εύκολη για σας, αλλά και για χάκερ. Ορίστε έναν μυστικό λογαριασμό ηλεκτρονικού ταχυδρομείου και χρησιμοποιήστε τον ως λογαριασμό επαναφοράς κωδικού πρόσβασης για τις σημαντικές υπηρεσίες σας στο διαδίκτυο. Το Mat είχε κάνει αυτό αλλά οι επιτιθέμενοι μπόρεσαν να δουν την πρώτη και τελευταία επιστολή του. είδα το [email protected]. Να είστε λίγο πιο φανταστικό. Θα πρέπει να χρησιμοποιήσετε αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου και για σημαντικούς λογαριασμούς. Ειδικά εκείνες που έχουν οικονομικές πληροφορίες συνδεδεμένες όπως το Amazon. Με αυτόν τον τρόπο, ακόμη και αν οι χάκερ αποκτήσουν πρόσβαση στους λογαριασμούς σας, δεν θα έχουν πρόσβαση σε σημαντικές υπηρεσίες.
Τέλος, αποφύγετε τη δημοσίευση ευαίσθητων πληροφοριών στο διαδίκτυο. Οι χάκερ του Mat βρήκαν τη διεύθυνσή του χρησιμοποιώντας μια αναζήτηση WhoIs - η οποία σας ενημερώνει για το ποιος κατέχει έναν ιστότοπο - ο οποίος τον βοήθησε να μπει στον λογαριασμό του στο Amazon. Ο αριθμός των κυττάρων του Grant ήταν πιθανόν διαθέσιμος και κάπου στο διαδίκτυο. Και οι δύο διευθύνσεις ηλεκτρονικού ταχυδρομείου τους ήταν διαθέσιμες στο κοινό, οι οποίες έδωσαν αφετηρία στους χάκερς.
Μου αρέσει το 2FA αλλά μπορώ να καταλάβω πώς αυτό θα άλλαζε τη γνώμη κάποιων ανθρώπων γι 'αυτό. Ποια μέτρα παίρνετε για να προστατέψετε τον εαυτό σας μετά από τις αμυχές Mat Honan και Grant Blakeman;
Εικόνες Credits: 1Password.