reklama
Dvoufaktorové ověřování (2FA) je jedním z nejrozšířenějších pokroků v online bezpečnosti. Začátkem tohoto týdne novinky přinesly, že to bylo hacknuto.
Grant Blakeman - návrhář a majitel účtu @gb Instagram - probudil se, když zjistil, že jeho účet Gmail byl ohrožen, a hackeři ukradli jeho popisovač Instagramu. To bylo navzdory tomu, že bylo povoleno 2FA.
2FA: Krátká verze
2FA je strategie pro ztěžování hackování online účtů. Moje kolegyně Tina o tom napsala skvělý článek co je 2FA a proč byste ji měli používat Co je dvoufaktorové ověření a proč byste ho měli používatDvoufázové ověřování (2FA) je bezpečnostní metoda, která vyžaduje dva různé způsoby prokázání vaší identity. Běžně se používá v každodenním životě. Například platba kreditní kartou vyžaduje nejen kartu, ... Přečtěte si více ; Pokud chcete podrobnější úvod, měli byste se na to podívat.
V typickém nastavení jednofaktorové autentizace (1FA) používáte pouze heslo. Díky tomu je neuvěřitelně zranitelný; pokud má někdo vaše heslo, může se přihlásit jako vy. Bohužel, toto je nastavení, které většina webových stránek používá.
2FA přidává další faktor: obvykle jednorázový kód zaslaný do telefonu při přihlášení k účtu z nového zařízení nebo umístění. Někdo, kdo se snaží proniknout do vašeho účtu, musí nejen ukrást vaše heslo, ale také teoreticky mít přístup k vašemu telefonu, když se pokusí přihlásit. Další služby, jako jsou Apple a Google, implementují 2FA Uzamkněte tyto služby nyní pomocí dvoufaktorového ověřeníDvoufaktorové ověřování je chytrý způsob, jak chránit své online účty. Pojďme se podívat na několik služeb, které můžete uzamknout, s lepším zabezpečením. Přečtěte si více .
Grantův příběh
Příběh Granta je velmi podobný příběhu Wired Writera Mata Honana. Mat nechal celý svůj digitální život zničit hackery, kteří chtěli získat přístup jeho účet Twitter: má uživatelské jméno @mat. Grant má podobně dvě písmena @gb Instagram account což z něj učinilo cíl.
Na jeho Účet Ello Grant popisuje, jak dlouho, dokud má účet na Instagramu, řeší několikrát týdně nevyžádané e-maily s obnovením hesla. To je velká červená vlajka, kterou se někdo snaží proniknout na váš účet. Občas dostane 2FA kód pro účet Gmail, který byl připojen k jeho účtu Instagram.
Jednoho rána se věci změnily. Probudil se k textu, který mu řekl, že jeho heslo k účtu Google bylo změněno. Naštěstí se mu podařilo znovu získat přístup ke svému účtu Gmail, ale hackeři jednali rychle a smazali jeho účet Instagram, čímž si sami ukradli úchyt @gb.
Co se stalo Grantovi, je obzvláště znepokojující, protože k němu došlo i přes něj pomocí 2FA.
Náboje a slabé body
Hacky Mat a Granta se spoléhali na hackery, kteří využívají slabá místa v jiných službách, aby se dostali do účtu klíčového uzlu: svého účtu Gmail. Z tohoto důvodu mohli hackeři provést standardní reset hesla na libovolném účtu přidruženém k této e-mailové adrese. Pokud hacker získal přístup k mému Gmailu, mohl by získat přístup k mému účtu zde na MakeUseOf, mém účtu Steam a všem ostatním.
Mat má napsal vynikající a podrobný popis toho, jak přesně byl hacknut. Vysvětluje to, jak hackeři získali přístup pomocí slabých stránek v zabezpečení Amazonu, aby převzali jeho účet, a tyto informace použili odtamtud získali přístup ke svému účtu Apple a poté je použili k tomu, aby se dostali do jeho účtu Gmail - a jeho celého digitálního účtu život.
Grantova situace byla jiná. Matův hack by nepracoval, kdyby měl na svém účtu Gmail povoleno 2FA. V Grantově případě to obešli. Specifika toho, co se stalo s Grantem, není tak jasná, ale některé podrobnosti lze odvodit. Na svůj účet Ello Grant říká:
Takže, pokud mohu říci, útok ve skutečnosti začal u mého mobilního operátora, který nějak umožnil určitou úroveň přístupu nebo sociální inženýrství do mého účtu Google, které pak umožnilo hackerům obdržet e-mail s resetováním hesla z Instagramu, což jim dává kontrolu nad účet.
Hackeři na svém účtu mobilního telefonu povolili přesměrování hovorů. To, zda jim to umožnilo zaslání kódu 2FA, nebo použili jinou metodu k jeho obcházení, není jasné. Ať tak či onak, kompromitováním Grantova účtu mobilního telefonu získali přístup k jeho Gmailu a poté k Instagramu.
Vyvarujte se této situace sami
Zaprvé, klíčem k tomu není to, že 2FA je rozbitá a nestojí za nastavení. Je to vynikající nastavení zabezpečení, které byste měli používat; to prostě není neprůstřelné. Spíše než použití vašeho telefonního čísla pro ověření, můžete zajistit větší bezpečnost pomocí Authy nebo Google Authenticator Může být dvoufázové ověření méně dráždivé? Čtyři tajné hacky zaručené pro zvýšení bezpečnostiChcete zabezpečení účtu neprůstřelné? Velmi doporučuji povolit tzv. Dvoufaktorové ověřování. Přečtěte si více . Pokud se hackerům Granta podařilo přesměrovat ověřovací text, zastavilo by to.
Za druhé, zvažte, proč by vás lidé chtěli hacknout. Pokud vlastníte hodnotná uživatelská jména nebo doménová jména, máte zvýšené riziko. Podobně, pokud jste celebrita, s větší pravděpodobností budete hacknuti 4 způsoby, jak se vyhnout hackování jako celebritaUniklé akty celebrit v roce 2014 zaznamenaly titulky po celém světě. S těmito tipy se ujistěte, že se vám to nestane. Přečtěte si více . Pokud se nenacházíte v žádné z těchto situací, je pravděpodobné, že vás někdo napadne někdo, koho znáte, nebo oportunistický hacker poté, co vaše heslo dostane online. V obou případech je nejlepší obranou bezpečné, jedinečné heslo pro každou jednotlivou službu. Já osobně používám 1Password který je užitečný způsob, jak zabezpečit vaše hesla Nechte 1 hesel pro Mac spravovat vaše hesla a zabezpečená dataNavzdory nové funkci iCloud Keychain v OS X Mavericks, stále dávám přednost správě hesel v klasickém a populárním 1Password AgileBits, nyní ve 4. verzi. Přečtěte si více a je k dispozici na všech hlavních platformách.
Zatřetí, minimalizujte dopad účtů rozbočovačů. Účty hub usnadňují život vám, ale i hackerům. Nastavte si tajný e-mailový účet a použijte jej jako účet pro resetování hesla pro důležité online služby. Mat to udělal, ale útočníci si mohli prohlédnout jeho první a poslední písmena; viděli m••••[email protected]. Buďte trochu nápaditější. Tento e-mail byste také měli použít pro důležité účty. Zejména ty, které mají připojené finanční informace, jako je Amazon. Tímto způsobem, i když hackeři získají přístup k vašim účtům rozbočovačů, nezískají přístup k důležitým službám.
Nakonec se vyhněte zveřejňování citlivých informací online. Matovi hackeři našli jeho adresu pomocí vyhledávání WhoIs - které vám řekne informace o tom, kdo vlastní web - což jim pomohlo dostat se na jeho Amazonský účet. Počet buněk Granta byl pravděpodobně k dispozici také někde online. Obě jejich e-mailové adresy rozbočovače byly veřejně dostupné, což hackerům poskytlo výchozí bod.
Miluji 2FA, ale chápu, jak by to změnilo názor některých lidí na to. Jaké kroky podnikáte k ochraně sebe sama po hacknutích Mata Honana a Granta Blakemana?
Obrazové kredity: 1Password.
