Oglas
Dvofaktorska avtentikacija (2FA) je eden najbolj razširjenih dosežkov spletne varnosti. V začetku tega tedna razbila se je novica, da je bila vdrta.
Grant Blakeman - oblikovalec in lastnik računa @gb Instagram - zbudil se je, ko je našel Gmail račun, ki so mu ogrozili, hekerji pa so mu ukradli ročaj na Instagramu. To je bilo kljub omogočanju 2FA.
2FA: Kratka različica
2FA je strategija za otežanje kraje spletnih računov. Moja kolegica Tina je napisala odličen članek o kaj je 2FA in zakaj bi ga morali uporabljati Kaj je dvofaktorska overitev in zakaj jo morate uporabljatiDvofaktorska avtentikacija (2FA) je varnostna metoda, ki zahteva dva različna načina dokazovanja vaše identitete. Običajno se uporablja v vsakdanjem življenju. Na primer za plačilo s kreditno kartico ni potrebna samo kartica, ... Preberi več ; Če želite podrobnejši uvod, ga oglejte.
V običajni enofaktorski nastavitvi pristnosti (1FA) uporabljate samo geslo. Zaradi tega je neverjetno ranljiv; če ima kdo vaše geslo, se lahko prijavi kot vi. Na žalost je to večina postavitev spletnih strani.
2FA doda dodaten dejavnik: običajno je enkratna koda poslana v telefon, ko se v račun prijavite z nove naprave ali lokacije. Nekdo, ki poskuša vdreti v vaš račun, mora ne samo ukrasti vaše geslo, ampak tudi teoretično imeti dostop do vašega telefona, ko se poskuša prijaviti. Več storitev, kot sta Apple in Google, izvaja 2FA Zaklenite te storitve zdaj z dvofaktorno overitvijoDvofaktorna avtentikacija je pameten način zaščite vaših spletnih računov. Oglejmo si nekaj storitev, ki jih lahko zaprete z boljšo varnostjo. Preberi več .
Grant's Story
Grantova zgodba je zelo podobna zgodbi o žičniškem pisatelju Matu Honanu Mat je njegovo celotno digitalno življenje uničil hekerji, ki so želeli pridobiti dostop njegov Twitter račun: ima uporabniško ime @mat. Podobno ima tudi Grant dvočrkovno @gb Instagram račun zaradi česar je bil tarča.
Na njegovem Račun Ello Grant opisuje, kako se, dokler je imel svoj Instagram račun, nekajkrat na teden ukvarja z nezaželenimi e-poštnimi sporočili za ponastavitev gesla. To je velika rdeča zastava, ki jo nekdo poskuša vdreti v vaš račun. Občasno bi prejel 2FA kodo za Gmail račun, ki je bil pripet v njegov Instagram račun.
Nekega jutra so bile stvari drugačne. Zbudil se je z besedilom, v katerem je povedal, da je bilo njegovo geslo za Google Račun spremenjeno. Na srečo mu je uspelo pridobiti dostop do svojega Gmail računa, vendar so hekerji hitro ukrepali in izbrisali njegov Instagram račun ter s tem ukradli ročaj @gb.
Kar se je zgodilo z Grantom, je še posebej zaskrbljujoče, saj se je zgodilo kljub temu, da je uporabljal 2FA.
Pesta in šibke točke
Tako Matovi kot Grantovi so se zanašali na hekerje, ki uporabljajo druge točke v drugih storitvah, da bi vstopili v ključni račun središča: njihov Gmail račun. Od tega so hekerji lahko opravili običajno ponastavitev gesla na katerem koli računu, povezanem s tem e-poštnim naslovom. Če bi heker dobil dostop do mojega Gmaila, bi lahko tu dobil dostop do mojega računa na MakeUseOf, moj račun Steam in vse ostalo.
Mat ima napisal odlično, podrobno poročilo o tem, kako natančno je bil heker. Pojasnjuje, kako so hekerji pridobili dostop s šibkimi točkami Amazonove varnosti, da so prevzeli njegov račun, uporabili podatke od tam so pridobili za dostop do njegovega Applovega računa in nato uporabili svoj račun za Gmail - in celoten digitalni račun življenje.
Grantova situacija je bila drugačna. Mat-ov kramp ne bi deloval, če bi v svojem Gmail računu omogočil 2FA. V primeru Grantove so ga zaobšli. Specifike tega, kar se je zgodilo z Grantom, niso tako jasne, vendar je mogoče sklepati na nekatere podrobnosti. Grant piše na svoj Ello račun:
Torej, kolikor lahko vem, se je napad dejansko začel pri mojem ponudniku mobilnih telefonov, ki je nekako omogočil neko stopnjo dostopa ali socialno raven inženiring v moj Google račun, ki je nato hekerjem omogočil, da so od Instagrama prejeli e-pošto za ponastavitev gesla in jim omogočili nadzor nad račun.
Hekerji so omogočili preusmeritev klicev na njegov račun za mobilni telefon. Ali je to omogočilo, da jim je poslala kodo 2FA ali so uporabili drugo metodo, da jo obidejo, ni jasno. Kakor koli, s tem, ko so ogrozili Grantov račun za mobilni telefon, so dobili dostop do njegovega Gmaila in nato njegovega Instagrama.
Izogibajte se tej situaciji sami
Prvič, pri tem ključno ni, da je 2FA pokvarjen in ga ni vredno postavljati. Je odlična varnostna namestitev, ki bi jo morali uporabljati; preprosto ni neprebojna. Namesto da uporabite svojo telefonsko številko za preverjanje pristnosti, lahko poskrbite za varnejšo uporabo z orodjem Authy ali Google Authenticator Ali lahko preverjanje v dveh korakih manj draži? Za izboljšanje varnosti so zagotovljena štirje skrivni krajeAli želite neprebojno varnost računa? Toplo predlagam, da omogočite tako imenovano dvofaktorsko preverjanje pristnosti. Preberi več . Če bi Grantovim hekerjem uspelo preusmeriti besedilo preverjanja, bi to ustavilo.
Drugič, razmislite, zakaj bi vas ljudje radi lovili. Če imate dragocena uporabniška imena ali imena domen, imate večjo nevarnost. Podobno, če ste slavna oseba, večja je verjetnost, da vas bodo pokorili 4 načini, kako se izogniti, da bi bili hakirani kot slavnaIzpuščene zvezdniške nage v letu 2014 so postale naslovnice po vsem svetu. Pazite, da se vam s temi nasveti ne zgodi. Preberi več . Če niste v nobeni od teh situacij, vas bo bolj verjetno, da vas bo nekdo, ki ga poznate, ali v oportunističnem krampju, ko bo geslo prek spleta pricurljalo, prekinelo. V obeh primerih je najboljša obramba varna, edinstvena gesla za vsako posamezno storitev. Jaz osebno uporabljam 1Poslovna beseda kateri je uporaben način za zaščito gesel Naj 1Password za Mac upravlja s svojimi gesli in varnimi podatkiKljub novi funkciji iCloud Keychain v OS X Mavericks imam še vedno raje moč upravljanja z gesli v klasični in priljubljeni različici 1Password AgileBits, ki je zdaj v svoji četrti različici. Preberi več in je na voljo na vsaki večji platformi.
Tretjič, zmanjšajte učinek računov na vozlišču. Računi na vozlišču olajšajo življenje vam, pa tudi hekerjem. Nastavite tajni e-poštni račun in ga uporabite kot račun za ponastavitev gesla za vaše pomembne spletne storitve. Mat je to storil, vendar so si napadalci lahko ogledali prvo in zadnjo črko; videli so m••••[email protected]. Bodite malo bolj domiselni. To e-poštno sporočilo uporabite tudi za pomembne račune. Še posebej tisti, ki imajo priložene finančne informacije, kot je Amazon. Tako tudi če hekerji dobijo dostop do vaših računov v središču, ne bodo imeli dostopa do pomembnih storitev.
Končno se izogibajte objavljanju občutljivih informacij v spletu. Matovi hekerji so našli njegov naslov s pomočjo iskanja WhoIs - ki vam pove podatke o tem, kdo je lastnik spletnega mesta -, kar jim je pomagalo, da so vstopili v njegov račun Amazon. Grantova mobilna številka je bila verjetno na voljo tudi nekje na spletu. Oba njuna e-poštna naslova sta bila javno dostopna, kar je hekerjem omogočilo izhodišče.
Všeč mi je 2FA, vendar lahko razumem, kako bi to spremenilo mnenje nekaterih o tem. Katere korake sprejemate, da zaščitite sebe po napadih Mat Honan in Grant Blakeman?
Slikovni krediti: 1Poslovna beseda.
