Διαφήμιση
Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) είναι μια από τις πιο ευρέως διαδεδομένες εξελίξεις στην ασφάλεια στο διαδίκτυο. Νωρίτερα αυτή την εβδομάδα, τα νέα έσπασε ότι είχε χάσει.
Grant Blakeman - ένας σχεδιαστής και ιδιοκτήτης του λογαριασμού @ gb Instagram - ξύπνησε για να βρει ότι ο λογαριασμός του στο Gmail είχε συμβιβαστεί και οι χάκερ είχαν κλέψει τη λαβή του Instagram. Αυτό συνέβη παρά την ενεργοποίηση του 2FA.
2FA: Η σύντομη έκδοση
Το 2FA είναι μια στρατηγική για τη δημιουργία σκληρότερων λογαριασμών στο διαδίκτυο. Η συνάδελφός μου Τίνα έχει γράψει ένα μεγάλο άρθρο τι είναι το 2FA και γιατί πρέπει να το χρησιμοποιήσετε Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων, και γιατί πρέπει να το χρησιμοποιήσετεΟ έλεγχος ταυτότητας με δύο παράγοντες (2FA) είναι μια μέθοδος ασφαλείας που απαιτεί δύο διαφορετικούς τρόπους απόδειξης της ταυτότητάς σας. Χρησιμοποιείται συνήθως στην καθημερινή ζωή. Για παράδειγμα, η πληρωμή με πιστωτική κάρτα απαιτεί όχι μόνο την κάρτα, ... Διαβάστε περισσότερα ; αν θέλετε μια πιο λεπτομερή εισαγωγή, θα πρέπει να το ελέγξετε.
Σε μια τυπική ρύθμιση ταυτότητας ενός παράγοντα (1FA) χρησιμοποιείτε μόνο έναν κωδικό πρόσβασης. Αυτό το καθιστά απίστευτα ευάλωτο. αν κάποιος έχει τον κωδικό πρόσβασής σας, μπορεί να συνδεθεί όπως εσείς. Δυστυχώς, αυτή είναι η ρύθμιση που χρησιμοποιούν οι περισσότεροι ιστότοποι.
Το 2FA προσθέτει έναν επιπλέον παράγοντα: συνήθως ένα κωδικό μιας ώρας που αποστέλλεται στο τηλέφωνό σας όταν συνδέεστε στο λογαριασμό σας από μια νέα συσκευή ή τοποθεσία. Κάποιος που προσπαθεί να εισέλθει στο λογαριασμό σας πρέπει όχι μόνο να κλέψει τον κωδικό πρόσβασής σας, αλλά και θεωρητικά να έχει πρόσβαση στο τηλέφωνό σας όταν προσπαθεί να συνδεθεί. Περισσότερες υπηρεσίες, όπως η Apple και η Google, υλοποιούν το 2FA Κλείστε τις υπηρεσίες αυτές τώρα με έλεγχο ταυτότητας δύο παραγόντωνΟ έλεγχος ταυτότητας δύο παραγόντων είναι ο έξυπνος τρόπος προστασίας των online λογαριασμών σας. Ας ρίξουμε μια ματιά σε μερικές από τις υπηρεσίες που μπορείτε να κλειδώσετε-κάτω με την καλύτερη ασφάλεια. Διαβάστε περισσότερα .
Η ιστορία της Grant
Η ιστορία της Grant μοιάζει πολύ με τον ενσύρματο συγγραφέα Mat Honan. Το Mat είχε καταστρέψει ολόκληρη την ψηφιακή του ζωή από τους χάκερ που ήθελαν να έχουν πρόσβαση λογαριασμό του Twitter: έχει το όνομα χρήστη @mat. Η επιχορήγηση, παρομοίως, έχει και τα δύο γράμματα @ gb λογαριασμό Instagram που τον έκαναν στόχο.
Στο δικό του Λογαριασμός Ello Η Grant περιγράφει τον τρόπο με τον οποίο, για όσο καιρό είχε λογαριασμό Instagram, ασχολείται με μηνύματα ηλεκτρονικού ταχυδρομείου επαναφοράς κωδικών πρόσβασης ανεπιθύμητα μερικές φορές την εβδομάδα. Αυτή είναι μια μεγάλη κόκκινη σημαία που κάποιος προσπαθεί να εισβάλει στον λογαριασμό σας. Περιστασιακά θα έλαβε κωδικό 2FA για τον λογαριασμό Gmail που είχε επισυνάψει στον λογαριασμό του Instagram.
Ένα πρωί τα πράγματα ήταν διαφορετικά. Ξύπνησε σε ένα κείμενο που του έλεγε ότι ο κωδικός πρόσβασης του Λογαριασμού Google είχε αλλάξει. Ευτυχώς, ήταν σε θέση να ανακτήσει την πρόσβαση στο λογαριασμό του Gmail, αλλά οι χάκερ είχαν ενεργήσει γρήγορα και διαγράφονταν το λογαριασμό Instagram του, κλέβοντας τον χειριστή @ gb για τον εαυτό τους.
Αυτό που συνέβη με την Grant είναι ιδιαίτερα ανησυχητικό γιατί συνέβη παρά το γεγονός ότι χρησιμοποίησε 2FA.
Hubs και Αδύνατα σημεία
Και οι αμυχές του Mat και του Grant βασίστηκαν σε χάκερ που χρησιμοποιούν αδύνατα σημεία σε άλλες υπηρεσίες για να μπουν σε ένα βασικό κόμβο: ο λογαριασμός τους στο Gmail. Από αυτό, οι χάκερ μπόρεσαν να κάνουν μια κανονική επαναφορά κωδικού πρόσβασης σε οποιονδήποτε λογαριασμό που σχετίζεται με τη συγκεκριμένη διεύθυνση ηλεκτρονικού ταχυδρομείου. Εάν ένας χάκερ είχε πρόσβαση στο Gmail μου, θα μπορούσαν να έχουν πρόσβαση στο λογαριασμό μου εδώ στο MakeUseOf, στον λογαριασμό μου στο Steam και σε όλα τα υπόλοιπα.
Το Mat έχει έγραψε μια εξαίρετη, λεπτομερή περιγραφή του πώς ακριβώς ήταν hacked. Εξηγεί πώς οι χάκερ απέκτησαν πρόσβαση χρησιμοποιώντας αδύνατα σημεία στην ασφάλεια του Αμαζονίου για να αναλάβουν το λογαριασμό του, χρησιμοποίησαν τις πληροφορίες κέρδισαν από εκεί για να αποκτήσουν πρόσβαση στον λογαριασμό του Apple και στη συνέχεια το χρησιμοποίησαν για να μπουν στο λογαριασμό του Gmail - και ολόκληρο το ψηφιακό του ΖΩΗ.
Η κατάσταση του Grant ήταν διαφορετική. Το hack του Mat δεν θα είχε δουλέψει αν είχε ενεργοποιήσει το 2FA στον λογαριασμό του στο Gmail. Στην περίπτωση της Grant, πήραν γύρω της. Οι ιδιαιτερότητες του τι συνέβη με την Grant δεν είναι τόσο σαφείς, αλλά μπορούν να συναχθούν ορισμένες λεπτομέρειες. Γράφοντας στο λογαριασμό του Ello, ο Grant λέει:
Έτσι, όσο μπορώ να πω, η επίθεση στην πραγματικότητα ξεκίνησε με τον πάροχο κινητής τηλεφωνίας μου, που με κάποιο τρόπο επέτρεψε κάποιο επίπεδο πρόσβασης ή κοινωνικό μηχανική στο λογαριασμό μου στο Google, η οποία επέτρεψε στους χάκερ να λάβουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου για την επαναφορά του κωδικού πρόσβασης από το Instagram, δίνοντάς του τον έλεγχο ο λογαριασμός.
Οι χάκερ επέτρεψαν την προώθηση κλήσεων στον λογαριασμό κινητού τηλεφώνου του. Είτε αυτό επέτρεπε να τους αποσταλεί ο κώδικας 2FA είτε χρησιμοποίησαν άλλη μέθοδο για να το πλησιάσουν, είναι ασαφές. Είτε έτσι είτε αλλιώς, με το συμβιβασμό του λογαριασμού κινητής τηλεφωνίας Grant, αποκτήθηκε πρόσβαση στο Gmail και στη συνέχεια στο Instagram του.
Αποφεύγετε μόνοι σας αυτήν την κατάσταση
Πρώτον, το βασικό καράβι από αυτό δεν είναι ότι το 2FA είναι σπασμένο και δεν αξίζει να εγκατασταθεί. Είναι μια εξαιρετική ρύθμιση ασφάλειας που πρέπει να χρησιμοποιείτε. δεν είναι απλά αλεξίσφαιρα. Αντί να χρησιμοποιείτε τον αριθμό τηλεφώνου σας για έλεγχο ταυτότητας, μπορείτε να το κάνετε πιο ασφαλές χρησιμοποιώντας Authy ή Google Authenticator Μπορεί η επαλήθευση σε δύο βήματα να είναι λιγότερο ερεθιστική; Τέσσερις μυστικές αμυχές εγγυημένες για τη βελτίωση της ασφάλειαςΘέλετε ασφάλεια λογαριασμού από σφαίρες; Προτείνω ιδιαίτερα να ενεργοποιήσετε αυτό που ονομάζεται έλεγχος ταυτότητας "δύο παραγόντων". Διαβάστε περισσότερα . Εάν οι χάκερ της Grant κατάφεραν να ανακατευθύνσουν το κείμενο επαλήθευσης, αυτό θα το σταματούσε.
Δεύτερον, σκεφτείτε γιατί οι άνθρωποι θα ήθελαν να σας hack. Εάν έχετε πολύτιμα ονόματα χρήστη ή ονόματα τομέα, έχετε αυξημένο κίνδυνο. Ομοίως, εάν είστε ένας διασημότητα είναι πιο πιθανό να χάσετε 4 τρόποι για να αποφύγετε να έχετε πειραχτεί σαν μια διασημότηταΔιαρροές γυμνιστών γυμνιστών το 2014 έκαναν πρωτοσέλιδα σε όλο τον κόσμο. Βεβαιωθείτε ότι δεν σας συμβεί με αυτές τις συμβουλές. Διαβάστε περισσότερα . Αν δεν βρίσκεστε σε καμία από αυτές τις καταστάσεις, είναι πιθανότερο να χάσετε από κάποιον που γνωρίζετε ή σε μια ευκαιριακή αδράνεια, αφού ο κωδικός πρόσβασης σας διαρρεύσει στο διαδίκτυο. Και στις δύο περιπτώσεις, η καλύτερη άμυνα είναι ασφαλής, μοναδικοί κωδικοί πρόσβασης για κάθε μεμονωμένη υπηρεσία. Εγώ προσωπικά χρησιμοποιώ 1Password το οποίο είναι ένας χρήσιμος τρόπος για να εξασφαλίσετε τους κωδικούς πρόσβασής σας Αφήστε 1Password για Mac Διαχειριστείτε τους κωδικούς σας & ασφαλή δεδομέναΠαρά το νέο χαρακτηριστικό iCloud Keychain στο OS X Mavericks, εξακολουθώ να προτιμώ τη δύναμη διαχείρισης των κωδικών μου στο κλασσικό και δημοφιλές 1Password του AgileBits, τώρα στην 4η του έκδοση. Διαβάστε περισσότερα και είναι διαθέσιμο σε κάθε μεγάλη πλατφόρμα.
Τρίτον, ελαχιστοποιήστε την επίδραση των λογαριασμών των κόμβων. Οι λογαριασμοί Hub καθιστούν τη ζωή εύκολη για εσάς, αλλά και για χάκερ. Ορίστε έναν μυστικό λογαριασμό ηλεκτρονικού ταχυδρομείου και χρησιμοποιήστε τον ως λογαριασμό αποκατάστασης κωδικού πρόσβασης για τις σημαντικές υπηρεσίες σας στο διαδίκτυο. Το Mat είχε κάνει αυτό, αλλά οι επιτιθέμενοι μπόρεσαν να δουν την πρώτη και τελευταία επιστολή του. είδαν [email protected]. Είναι λίγο πιο φανταστικό. Θα πρέπει να χρησιμοποιήσετε αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου και για σημαντικούς λογαριασμούς. Ειδικά εκείνες που έχουν οικονομικές πληροφορίες συνδεδεμένες όπως το Amazon. Με αυτόν τον τρόπο, ακόμη και αν οι χάκερ αποκτήσουν πρόσβαση στους λογαριασμούς σας, δεν θα έχουν πρόσβαση σε σημαντικές υπηρεσίες.
Τέλος, αποφύγετε τη δημοσίευση ευαίσθητων πληροφοριών στο διαδίκτυο. Οι hackers του Mat βρήκαν τη διεύθυνση του χρησιμοποιώντας μια αναζήτηση WhoIs - η οποία σας λέει πληροφορίες για το ποιος κατέχει έναν ιστότοπο - ο οποίος τους βοήθησε να μπουν στο λογαριασμό του στο Amazon. Ο αριθμός των κυττάρων του Grant ήταν πιθανόν διαθέσιμος κάπου και σε απευθείας σύνδεση. Και οι δύο διευθύνσεις ηλεκτρονικού ταχυδρομείου τους ήταν διαθέσιμες στο κοινό, οι οποίες έδωσαν αφετηρία στους χάκερς.
Μου αρέσει το 2FA αλλά μπορώ να καταλάβω πώς αυτό θα άλλαζε τη γνώμη κάποιων ανθρώπων γι 'αυτό. Ποια βήματα παίρνετε για να προστατέψετε τον εαυτό σας μετά από τις αμυχές Mat Honan και Grant Blakeman;
Συντελεστές εικόνας: 1Password.
