Hirdetés
A kétfaktoros hitelesítés (2FA) az online biztonság egyik legszélesebb körben említett előrelépése. Korábban a héten, a hír eltörte, hogy feltörték.
Grant Blakeman - tervező és a @gb Instagram-fiók tulajdonosa - felébresztette, hogy a Gmail-fiókja kompromittálódott, és a hackerek ellopták a Instagram kezét. Ennek ellenére a 2FA engedélyezve volt.
2FA: A rövid változat
A 2FA stratégia az online számlák nehezebb feltöréséhez. Tina kollégám nagyszerű cikket írt a mi a 2FA és miért kellene azt használni? Mi a kétfaktoros hitelesítés, és miért kell ezt használni?Két tényezős hitelesítés (2FA) egy olyan biztonsági módszer, amely kétféleképpen megköveteli az identitás igazolását. Általában a mindennapi életben használják. Például hitelkártyával történő fizetés nemcsak a kártyát, hanem a ... Olvass tovább ; ha részletesebb bevezetést szeretne, ellenőrizze azt.
Egy tipikus egytényezős hitelesítési beállításban (1FA) csak jelszót használ. Ez hihetetlenül sebezhetővé teszi; Ha valakinek megvan a jelszava, bejelentkezhet mint te. Sajnos ez a legtöbb webhely által használt beállítás.
A 2FA további tényezőt ad: általában egy egyszeri kódot küld a telefonjára, amikor új eszközről vagy helyről jelentkezik be a fiókjába. Valaki, aki megpróbál betörni a fiókjába, nemcsak el kell lopnia a jelszavát, hanem elméletileg hozzáférnie kell a telefonjához, amikor megpróbál bejelentkezni. Több szolgáltatás, például az Apple és a Google, megvalósítja a 2FA-t Most zárja le ezeket a szolgáltatásokat kétfaktoros hitelesítésselA két tényezővel történő hitelesítés az online számlák védelmének okos módja. Vessen egy pillantást néhány szolgáltatásra, amelyet biztonságosabbá lehet zárni. Olvass tovább .
Grant története
Grant története nagyon hasonlít Mat Honan vezetékes írójának történetéhez. Mat teljes digitális életét olyan hackerek pusztították el, akik hozzáférni akartak Twitter-fiókja: @mat felhasználónévvel rendelkezik. Grant-nak hasonlóan a kétbetűs @gb Instagram-fiók ami őt céllá tette.
Ezen Ello számla Grant leírja, hogy mindaddig, amíg volt Instagram-fiókja, hetente néhányszor foglalkozott kéretlen jelszó-visszaállítási e-mailekkel. Ez egy nagy piros zászló, amelyet valaki megpróbál betörni a fiókjába. Időnként megkap egy 2FA-kódot a Gmail-fiókhoz, amelyet Instagram-fiókjához csatolt.
Egy reggel a dolgok más voltak. Felébresztett egy szöveget, amelyben közli, hogy a Google Fiókjának jelszavát megváltoztatták. Szerencsére sikerült visszanyernie hozzáférését Gmail-fiókjához, de a hackerek gyorsan cselekedtek és törölték Instagram-fiókját, ellopva maguknak a @gb kezelőt.
Ami Granttel történt, különösen aggasztó, mert annak ellenére történt, hogy ő 2FA-t használt.
Hubok és gyenge pontok
Mind Mat, mind Grant hackei olyan hackerekre támaszkodtak, amelyek más szolgáltatások gyenge pontjait használják, hogy bejuthassanak egy kulcsközpont-fiókba: a Gmail-fiókba. Ettől kezdve a hackerek szokásos jelszó-visszaállítást tudtak végezni az e-mail címhez társított bármely fiókban. Ha egy hackerek hozzáférést kaptak a Gmailamhoz, itt hozzáférhetnek a MakeUseOf-fiókomhoz, a Steam-fiókomhoz és minden máshoz.
Matnak van kiváló, részletes beszámolót írt arról, hogy pontosan hogyan csapkodtak rá. Elmagyarázza, hogy a hackerek hogyan jutottak hozzá az Amazon biztonságának gyenge pontjaihoz, hogy átvegyék a fiókját, az információkat onnan szereztek hozzáférést Apple-fiókjához, majd felhasználták Gmail-fiókjába - és az egész digitálisjába élet.
Grant helyzete más volt. Mat hack nem lett volna képes működni, ha a 2FA engedélyezve lett volna Gmail-fiókjában. Grant esetében megkerülték. A Grant-nal történt részletek nem egyértelmûek, de néhány részlet levezethetõ. Írva az Ello számlájára, Grant azt mondja:
Tehát, amennyire el tudom mondani, a támadás valójában a mobiltelefon-szolgáltatónál kezdődött, amely valamilyen módon lehetővé tette a hozzáférést vagy a társadalmi szint elérését beépítése a Google-fiókomba, amely lehetővé tette a hackerek számára, hogy jelszó-visszaállítási e-mailt kapjanak az Instagram-tól, és így ellenőrizzék őket a számla.
A hackerek lehetővé tették a hívásátirányítást a mobiltelefon-fiókjában. Nem világos, hogy ez lehetővé tette-e a 2FA-kód küldését nekik, vagy használtak-e más módszert a megkerülésére. Akárhogy is, azzal, hogy veszélyeztette Grant mobiltelefon-fiókját, hozzáférést kaptak a Gmailhez, majd az Instagramhoz.
Magad kerülje ezt a helyzetet
Először is, a kulcsfontosságú elvonulás ettől nem az, hogy a 2FA megsérült, és nem érdemes beállítani. Ez egy kiváló biztonsági beállítás, amelyet használnia kell; csak nem golyóálló. Ahelyett, hogy a telefonszámát hitelesítéshez használja, megteheti biztonságosabbá teheti az Authy vagy a Google Authenticator használatával Lehet-e a kétlépcsős azonosítás kevésbé irritáló? A biztonság javítását garantáló négy titkos csapkodSzeretne golyóálló fiókbiztonságot? Nagyon javaslom, hogy engedélyezze a kétfaktoros hitelesítést. Olvass tovább . Ha Grant hackereinek sikerült átirányítani az ellenőrző szöveget, akkor ez leállt volna.
Másodszor, fontolja meg, hogy az emberek miért akarnak csapkodni téged. Ha értékes felhasználóneveket vagy domainneveket tárol, akkor fokozott kockázatot jelent. Hasonlóképpen, ha Ön egy híresség, valószínűleg megtámadják 4 út, amellyel elkerülhetők, hogy hírességként csapkodjanak beA 2014-ben kiszivárgott hírességek meztelen címeit tették világszerte. Győződjön meg arról, hogy ezekkel a tippekkel nem történik meg veled. Olvass tovább . Ha nem vagy ezek egyikében sem, akkor valószínűbb, hogy valaki feltört valaki, akit ismerek, vagy opportunista csapkod, miután a jelszava online kiszivárog. Mindkét esetben a legjobb védelem a biztonságos, egyedi jelszavak az egyes szolgáltatásokhoz. Én személy szerint használom 1Password ami hasznos módja a jelszavak biztonságának Hagyja, hogy az 1Password for Mac kezelje jelszavait és biztonságos adataitAz OS X Mavericks új iCloud kulcstartó funkciója ellenére továbbra is jobban szeretem a jelszavaim kezelését az AgileBits klasszikus és népszerű 1Password programjában, most a 4. verziójában. Olvass tovább és minden nagyobb platformon elérhető.
Harmadszor, minimalizálja a hub-fiókok hatását. A hub-fiókok megkönnyítik az életét neked, hanem a hackerek számára is. Hozzon létre egy titkos e-mail fiókot, és használja ezt a jelszó-visszaállítási fiókot a fontos online szolgáltatásokhoz. Mat ezt megtette, de a támadók megtekintették az első és az utolsó betűjét; látták a m••••[email protected] oldalt. Légy kicsit fantáziadús. Ezt az e-mailt fontos fiókokhoz is használnia kell. Különösen azok, amelyekhez pénzügyi információk vannak csatolva, mint például az Amazon. Ilyen módon, még ha a hackerek is hozzáférést kapnak a hub-fiókokhoz, nem férnek hozzá a fontos szolgáltatásokhoz.
Végül kerülje el az érzékeny információk online közzétételét. Mat hackerei a WhoIs keresés segítségével találták meg a címét, amely információkat ad arról, hogy ki rendelkezik egy weboldallal - ez segített nekik bejutni az Amazon-fiókjába. Grant cellája valószínűleg valahol online is elérhető. Mindkét központ e-mail címe nyilvánosan elérhető volt, amely a hackerek számára kiindulási pontot jelentett.
Szeretem a 2FA-t, de megértem, hogy ez hogyan változtatja meg néhány ember véleményét róla. Milyen lépéseket tesz ön védelme érdekében a Mat Honan és Grant Blakeman csapkodása után?
Kép kreditek: 1Password.