Mainos
Kaksitekijäinen todennus (2FA) on yksi laajimmin mainituista edistyksistä verkkoturvallisuudessa. Aiemmin tällä viikolla, uutiset rikkoivat, että se oli hakkeroitu.
Grant Blakeman - suunnittelija ja @gb Instagram-tilin omistaja - Huomasin hänen Gmail-tilinsä olevan vaarantunut ja hakkerit varastaneet hänen Instagram-kahvansa. Tämä oli siitä huolimatta, että 2FA oli käytössä.
2FA: Lyhyt versio
2FA on strategia, jonka avulla verkkotilejä on vaikeampaa hakkeroida. Kollegani Tina on kirjoittanut loistavan artikkelin aiheesta mikä 2FA on ja miksi sinun pitäisi käyttää sitä Mikä on kaksifaktorinen todennus ja miksi sinun pitäisi käyttää sitäKaksifaktorinen todennus (2FA) on tietoturvamenetelmä, joka edellyttää kahta eri tapaa todistaa henkilöllisyytesi. Sitä käytetään yleisesti arjessa. Esimerkiksi luottokortilla maksaminen ei edellytä vain korttia, ... Lue lisää ; Jos haluat yksityiskohtaisemman johdannon, sinun kannattaa tutustua siihen.
Tyypillisessä yksikerroisessa todennuksessa (1FA) käytetään vain salasanaa. Tämä tekee siitä uskomattoman haavoittuvan; Jos jollakin on salasanasi, hän voi kirjautua sisään sinä. Valitettavasti tämä on useimpien verkkosivustojen käyttöönotto.
2FA lisää uuden tekijän: tyypillisesti kertakirja, joka lähetetään puhelimeesi, kun kirjaudut tilillesi uudesta laitteesta tai sijainnista. Joku, joka yrittää murtautua tilillesi, ei tarvitse vain varastaa salasanaasi, vaan myös käyttää teoriassa pääsyä puhelimeesi yrittäessään kirjautua sisään. Lisää palveluita, kuten Apple ja Google, toteuttavat 2FA: ta Lukitse nämä palvelut nyt kaksifaktorisella todennuksellaKaksikerroinen todennus on fiksu tapa suojata online-tilejäsi. Katsotaanpa muutamia palveluita, jotka voit lukita turvallisuuden parantamiseksi. Lue lisää .
Grantin tarina
Grantin tarina on hyvin samanlainen kuin Wired-kirjailija Mat Honan. Matin koko hänen digitaalisen elämänsä tuhosivat hakkerit, jotka halusivat pääsyn siihen hänen Twitter-tilinsä: hänellä on käyttäjänimi @mat. Grantilla on samoin kaksikirjaiminen kirja @gb Instagram-tili joka teki hänestä kohteen.
Hänen Ello-tili Grant kuvailee, kuinka kauan kuin hänellä on ollut Instagram-tili, hän on ollut tekemisissä pyytämättömien salasanan palautussähköpostien kanssa muutaman kerran viikossa. Se on iso punainen lippu, jonka joku yrittää tunkeutua tilillesi. Toisinaan hän sai 2FA-koodin Gmail-tilille, joka oli liitetty hänen Instagram-tiliinsä.
Yhtenä aamuna asiat olivat erilaisia. Hän heräsi tekstiin, joka kertoi hänelle, että hänen Google-tilin salasana oli vaihdettu. Onneksi hän pystyi palauttamaan pääsyn Gmail-tiliinsä, mutta hakkerit olivat toimineet nopeasti ja poistaneet Instagram-tilinsä varastaen @gb-kahvan itselleen.
Grantille tapahtunut on erityisen huolestuttavaa, koska se tapahtui siitä huolimatta, että hän käytti 2FA: ta.
Navat ja heikot kohdat
Sekä Matin että Grantin hakkerit luottavat hakkereihin, jotka käyttivät muiden palveluiden heikkoja kohtia päästäkseen keskuskeskukseen: heidän Gmail-tiliinsä. Tästä lähtien hakkerit pystyivät palauttamaan normaalin salasanan millä tahansa kyseiseen sähköpostiosoitteeseen liittyvällä tilillä. Jos hakkeri sai pääsyn Gmailiin, he voisivat käyttää tiliäni täällä MakeUseOfissa, Steam-tilini ja kaikkea muuta.
Matolla on kirjoitti erinomaisen ja yksityiskohtaisen selvityksen siitä, kuinka häntä hakkeroitiin. Se selittää, kuinka hakkerit saivat pääsyn Amazonin turvallisuuden heikkojen kohtien kautta hänen tilin haltuunottoon, käyttivät tietoja he saivat sieltä pääsyn hänen Apple-tiliinsä ja sitten käyttivät sitä päästäkseen hänen Gmail-tiliinsä - ja koko hänen digitaaliseen elämään.
Grantin tilanne oli erilainen. Matin hakkeri ei olisi toiminut, jos hän olisi ottanut 2FA: n käyttöön Gmail-tilillään. Grantin tapauksessa he pääsivät sen ympäri. Grantille tapahtuneen yksityiskohdat eivät ole yhtä selkeitä, mutta joistakin yksityiskohdista voidaan päätellä. Kirjoittamalla Ello-tililleen Grant sanoo:
Joten, kuten voin kertoa, hyökkäys todella alkoi matkapuhelinoperaattoriltasi, mikä jotenkin salli jonkin verran pääsyä tai sosiaalista pääsyä suunnittelu Google-tiliini, jonka avulla hakkerit saivat salasanan palautusviestin Instagramsta, antaen heille hallinnan tili.
Hakkerit käyttivät puhelunsiirtoa hänen matkapuhelintililleen. On epäselvää, salliko tämä 2FA-koodin lähettämisen heille vai käyttivätkö he jotakin muuta menetelmää sen kiertämiseen. Joko niin, vaarantamalla Grantin matkapuhelintilin, he saivat pääsyn hänen Gmailiin ja sitten hänen Instagramiin.
Vältä itse tätä tilannetta
Ensinnäkin, avainkulku tästä ei ole se, että 2FA on rikki eikä sitä ole syytä perustaa. Se on erinomainen suojausasetus, jota sinun pitäisi käyttää. se ei vain ole luodinkestävä. Sen sijaan, että käytät puhelinnumeroasi todennukseen, voit tee siitä turvallisempi käyttämällä Authy- tai Google Authenticator -sovelluksia Voiko kaksivaiheinen vahvistus olla vähemmän ärsyttävä? Neljä salaa hakkerointia taattiin parantavan turvallisuuttaHaluatko luodinkestävän tilin turvallisuuden? Ehdotan erittäin sallivan niin sanotun "kaksifaktorisen" todennuksen salliminen. Lue lisää . Jos Grantin hakkerit onnistuisivat ohjaamaan vahvistustekstin uudelleen, se olisi lopettanut sen.
Toiseksi pohdi, miksi ihmiset haluaisivat hakkeroida sinua. Jos sinulla on arvokkaita käyttäjänimiä tai verkkotunnuksia, olet vaarassa. Samoin, jos olet julkkis, johon olet todennäköisesti hakkeroitu 4 tapaa, jolla vältetään tunkeutumisen tapaan tunkeutuneitaVuotta 2014 julkaistut alastonkukat tekivät otsikoita ympäri maailmaa. Varmista, että näitä ei tapahdu sinulle näiden vinkkien avulla. Lue lisää . Jos et ole kummassakaan näistä tilanteista, tuntemaasi henkilö hakkeroi sinut todennäköisemmin tai tapahtuu opportunistisessa hakkeroinnissa sen jälkeen, kun salasanasi on vuotanut verkkoon. Molemmissa tapauksissa paras puolustus on turvallinen, ainutlaatuinen salasana jokaiselle palvelulle. Minä käytän henkilökohtaisesti 1Password mikä on hyödyllinen tapa suojata salasanasi Anna 1Password for Mac -sovelluksen hallita salasanojasi ja suojattuja tietojaHuolimatta OS X Mavericksin uudesta iCloud Keychain -ominaisuudesta, pidän silti parempana salasanojesi hallintaa AgileBitsin klassisessa ja suositussa 1Passwordissa, nyt sen 4. versiossa. Lue lisää ja se on saatavana kaikilla suurilla alustoilla.
Kolmanneksi minimoi keskittymätilien vaikutus. Hub-tilit helpottavat elämää sinulle, mutta myös hakkereille. Luo salainen sähköpostitili ja käytä sitä tärkeiden verkkopalveluidesi salasanan palautustilinä. Mat oli tehnyt tämän, mutta hyökkääjät pystyivät tarkastelemaan sen ensimmäistä ja viimeistä kirjainta; he näkivät m••••[email protected]. Ole vähän mielikuvituksellinen. Sinun tulisi käyttää tätä sähköpostia myös tärkeille tileille. Varsinkin ne, joihin on liitetty taloudellisia tietoja, kuten Amazon. Tällä tavoin, vaikka hakkerit saisivat pääsyn keskustiliisi, he eivät pääse tärkeisiin palveluihin.
Vältä lopuksi arkaluontoisten tietojen lähettäminen verkkoon. Matin hakkerit löysivät hänen osoitteensa WhoIs-haun avulla - joka kertoo sinulle tietoja siitä, kuka omistaa sivuston - mikä auttoi heitä pääsemään hänen Amazon-tiliinsä. Grantin solunumero oli todennäköisesti saatavana myös jossain verkossa. Molemmat keskittimen sähköpostiosoitteet olivat julkisesti saatavilla, mikä antoi hakkereille lähtökohdan.
Rakastan 2FA: ta, mutta ymmärrän kuinka tämä muuttaisi joidenkin mielipiteitä siitä. Mihin toimiin ryhdyt suojaamaan itseäsi Mat Honanin ja Grant Blakemanin hakkeroinnin jälkeen?
Kuvapisteet: 1Password.
