Oglas

Dvofaktorna autentifikacija (2FA) jedan je od najomraženijih napretka u mrežnoj sigurnosti. Ranije ovog tjedna, provalila je vijest da je bila hakirana.

Grant Blakeman - dizajner i vlasnik @gb Instagram računa - probudio se kad je našao njegov Gmail račun i hakeri su mu ukrali Instagram ručku. To je unatoč tome što je omogućeno 2FA.

2FA: Kratka verzija

2FA je strategija za otežavanje hakiranja internetskih računa. Moja kolegica Tina napisala je sjajan članak o što je 2FA i zašto biste je trebali koristiti Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristitiDvofaktorna autentifikacija (2FA) sigurnosna je metoda koja zahtijeva dva različita načina dokazivanja vašeg identiteta. Uobičajeno se koristi u svakodnevnom životu. Na primjer, plaćanje kreditnom karticom ne zahtijeva samo karticu, ... Čitaj više ; ako želite detaljniji uvod, pogledajte ga.

U tipičnom jednofaktorskom pristupu za provjeru identiteta (1FA) koristite samo lozinku. To ga čini nevjerojatno ranjivim; ako netko ima vašu lozinku, može se prijaviti kao vi. Nažalost, ovo je postavljanje koje većina web stranica koristi.

instagram viewer

2fa

2FA dodaje dodatni faktor: obično jednokratni kôd poslan na vaš telefon prilikom prijave na novi račun s novog uređaja ili lokacije. Netko tko pokušava provaliti u vaš račun mora ne samo da vam ukrade zaporku, već i teoretski ima pristup vašem telefonu kad se pokuša prijaviti. Više usluga, poput Applea i Googlea, implementiraju 2FA Zaključajte ove usluge sada s dvofaktorskom provjerom autentičnostiDvofaktorska provjera identiteta je pametan način zaštite mrežnih računa. Pogledajmo nekoliko usluga koje možete zaključati uz bolju sigurnost. Čitaj više .

Grant's Story

Grantova je priča vrlo slična knjizi o žičanom piscu Matu Honanu. Mat je cijeli digitalni život uništio od hakera koji su htjeli dobiti pristup njegov Twitter račun: ima korisničko ime @mat. Grant, slično, ima dvoslovno @gb Instagram račun što mu je postalo meta.

gb_instagram

Na njegovom Račun za Ello Grant opisuje kako se, sve dok je imao svoj Instagram račun, nekoliko puta tjedno bavio neželjenim porukama za poništavanje zaporke. To je velika crvena zastava koju netko pokušava provaliti u vaš račun. Povremeno bi dobio 2FA kôd za Gmail račun koji je priložen na njegovom Instagram računu.

Jednog jutra stvari su bile drugačije. Probudio se tekst u kojem je rekao da je promijenjena zaporka za Google račun. Srećom, uspio je vratiti pristup svom Gmail računu, ali hakeri su brzo postupili i izbrisali njegov Instagram račun, ukrali su @gb kvaku za sebe.

Ono što se dogodilo s Grantom posebno je zabrinjavajuće jer se dogodilo unatoč tome što je koristio 2FA.

Glavčine i slabe točke

I Matovi i Grantovi hakeri pouzdali su se u hakere koristeći slabe točke u drugim servisima da bi ušli u ključni račun središta: njihov Gmail račun. Nakon toga, hakeri su uspjeli izvršiti standardno resetiranje zaporke na bilo kojem računu povezanom s tom adresom e-pošte. Ako je haker dobio pristup mom Gmailu, moći će dobiti moj račun ovdje na MakeUseOf, moj Steam račun i sve ostalo.

Mat je napisao izvrstan, detaljan prikaz tačno kako je hakiran. Objašnjava kako su hakeri dobili pristup pomoću slabih točaka Amazonove sigurnosti kako bi preuzeli njegov račun, koristili te podatke od tamo su dobili pristup svom Apple računu, a zatim su ga iskoristili za ulazak na njegov Gmail račun - i cijeli njegov digitalni život.

Grantova situacija bila je drugačija. Mat's hack ne bi funkcionirao da je na njegovom Gmail računu imao omogućen 2FA. U Grantovom slučaju su ih zaobišli. Specifičnosti onoga što se dogodilo s Grantom nisu toliko jasne, ali mogu se izvesti neki detalji. Pišući na svom Ello računu, Grant kaže:

Dakle, koliko mogu reći, napad je zapravo započeo kod mog davatelja mobitela, što je nekako omogućilo neku razinu pristupa ili društvenu inženjering na mom Google računu koji je tada omogućio hakerima da od Instagrama dobiju e-poštu za poništavanje zaporke, dajući im kontrolu nad račun.

Hakeri su omogućili preusmjeravanje poziva na njegov račun na mobitelu. Je li to dopustilo da im se pošalje 2FA kôd ili su se koristili nekom drugom metodom kako bi ih zaobišli. Bilo kako bilo, kompromitiranjem Grantovog računa mobitela dobili su pristup njegovom Gmailu, a zatim i njegovom Instagramu.

Izbjegavajte sami ovu situaciju

Prvo, ključno sredstvo ovoga nije da je 2FA pokvaren i da ga ne vrijedi postavljati. Izvrsna je sigurnosna postavka koju biste trebali koristiti; jednostavno nije neprobojan. Umjesto da za provjeru autentičnosti koristite svoj telefonski broj, možete učinite to sigurnijim koristeći Authy ili Google Autentifikator Može li provjera u dva koraka manje iritirati? Zajamčena četiri tajna haka za poboljšanje sigurnostiŽelite zaštitu od računa od metaka? Toplo predlažem da se omogući ono što se naziva "dvofaktorska" provjera autentičnosti. Čitaj više . Da su Grantovi hakeri uspjeli preusmjeriti tekst za provjeru, to bi zaustavili.

Drugo, razmislite zašto bi vas ljudi htjeli hakirati. Ako imate vrijedna korisnička imena ili imena domena, riskirate. Slično tome, ako ti si slavna osoba, vjerojatnije je da će te biti hakirani 4 načina da se izbjegne hakiranje poput slavnihPropuštene slavne osobe u 2014. godini dobile su naslove diljem svijeta. Pobrinite se da vam se ne dogodi s ovim savjetima. Čitaj više . Ako niste u nijednoj od ovih situacija, vjerovatno će vas probiti netko koga poznajete ili oportunistički hakirati nakon što vam se lozinka proširi na mreži. U oba su slučaja najbolja obrana sigurne, jedinstvene lozinke za svaku pojedinačnu uslugu. Ja osobno koristim 1Password koji je koristan način zaštite svojih lozinki Neka 1Password za Mac upravlja vašim lozinkama i sigurnim podacimaUnatoč novoj značajci iCloud Keychain u OS X Mavericks, i dalje više volim moć upravljanja lozinkama u klasičnom i popularnom 1Password-u AgileBits, koji je sada u svojoj četvrtoj verziji. Čitaj više i dostupan je na svakoj većoj platformi.

1Password

Treće, minimizirajte utjecaj računa sa središtima. Računi na središtima olakšavaju vam život ali i hakere. Postavite tajni račun e-pošte i koristite ga kao račun za poništavanje zaporke za vaše važne mrežne usluge. Mat je to učinio, ali su napadači mogli vidjeti prvo i posljednje slovo toga; vidjeli su m••••[email protected]. Budite malo maštovitiji. Ovu e-poštu trebali biste koristiti i za važne račune. Naročito oni s priloženim financijskim podacima poput Amazona. Na taj način, čak i ako hakeri imaju pristup vašim računima na središtu, neće dobiti pristup važnim uslugama.

Na kraju, izbjegavajte objavljivanje osjetljivih podataka na mreži. Matovi hakeri pronašli su njegovu adresu pomoću WhoIs pretraživanja - koji vam govori informacije o tome tko posjeduje web lokaciju - što im je pomoglo da uđu na njegov Amazonov račun. Grantov broj ćelije vjerojatno je dostupan i negdje putem interneta. Obje su adrese e-pošte na njihovu središtu bile javno dostupne, što je hakerima postalo polazište.

Volim 2FA, ali mogu razumjeti kako bi to promijenilo mišljenje nekih o tome. Koje korake poduzimate kako biste zaštitili sebe nakon hakarenja Mat Honan i Grant Blakeman?

Slikovni krediti: 1Password.