Harry James
0 
3788
606
To-faktor autentificering (2FA) er en af de mest udbredte fremskridt inden for online sikkerhed. Tidligere denne uge brød nyheder om, at det var blevet hacket.
Grant Blakeman - en designer og ejer af @gb Instagram-kontoen - vågnede for at finde, at hans Gmail-konto var kompromitteret, og hackere havde stjålet hans Instagram-greb. Dette til trods for, at 2FA var aktiveret.
2FA: Den korte version
2FA er en strategi for at gøre online-konti sværere at hacke. Min kollega Tina har skrevet en god artikel om, hvad 2FA er, og hvorfor du skal bruge det, hvad der er tofaktorautentisering, og hvorfor du skal bruge det, hvad er tofaktorautentisering, og hvorfor du skal bruge det tofaktorautentisering (2FA ) er en sikkerhedsmetode, der kræver to forskellige måder at bevise din identitet på. Det bruges ofte i hverdagen. For eksempel kræver betaling med et kreditkort ikke kun kortet,…; Hvis du ønsker en mere detaljeret introduktion, skal du tjekke den ud.
I en typisk enfaktorautentiseringsopsætning (1FA) bruger du kun en adgangskode. Dette gør det utroligt sårbart; hvis nogen har din adgangskode, kan de logge ind som dig. Desværre er dette opsætningen, som de fleste websteder bruger.
2FA tilføjer en yderligere faktor: typisk en engangskode, der sendes til din telefon, når du logger ind på din konto fra en ny enhed eller placering. En person, der prøver at bryde ind på din konto, skal ikke kun stjæle din adgangskode, men også i teorien have adgang til din telefon, når de prøver at logge på. Flere tjenester, som Apple og Google, implementerer 2FA Lock Down Disse tjenester nu med to -Faktorgodkendelse Lås disse tjenester ned nu med tofaktorautentisering Tofaktorautentisering er den smarte måde at beskytte dine online konti. Lad os se på nogle af de tjenester, du kan låse ned med bedre sikkerhed. .
Grants historie
Grants historie ligner meget den kabelførte forfatter Mat Honans. Mat havde hele sit digitale liv ødelagt af hackere, der ønskede at få adgang til hans Twitter-konto: han har brugernavnet @mat. Grant har på samme måde den to bogstaver @gb Instagram-konto, der gjorde ham til et mål.
På sin Ello-konto beskriver Grant, hvordan han, så længe han har haft sin Instagram-konto, har brugt uopfordrede e-mails til nulstilling af adgangskode et par gange om ugen. Det er et stort rødt flag, som nogen prøver at hacke til din konto. Lejlighedsvis fik han en 2FA-kode til den Gmail-konto, der var knyttet til hans Instagram-konto.
En morgen var tingene anderledes. Han vågnede op til en tekst, der fortæller, at hans adgangskode til Google-kontoen var blevet ændret. Heldigvis var han i stand til at genvinde adgang til sin Gmail-konto, men hackerne havde handlet hurtigt og slettet hans Instagram-konto og stjålet @gb-grebet for sig selv.
Hvad der skete med Grant er især bekymrende, fordi det skete trods ham, der brugte 2FA.
Hubs og svage punkter
Både Mat's og Grants hacks var afhængige af hackere, der brugte svage punkter i andre tjenester for at komme ind på en nøgleknavkonto: deres Gmail-konto. Fra dette kunne hackerne foretage en standard nulstillet adgangskode på enhver konto, der er tilknyttet denne e-mail-adresse. Hvis en hacker fik adgang til min Gmail, ville de være i stand til at få adgang til min konto her på MakeUseOf, min Steam-konto og alt andet.
Mat har skrevet en fremragende, detaljeret redegørelse for nøjagtigt, hvordan han blev hacket. Det forklarer, hvordan hackerne fik adgang ved hjælp af svage punkter i Amazons sikkerhed til at overtage hans konto, brugte de oplysninger, de fik derfra for at få adgang til hans Apple-konto og derefter brugte dem til at komme ind på hans Gmail-konto - og hele hans digitale liv.
Grants situation var anderledes. Mat's hack ville ikke have fungeret, hvis han havde aktiveret 2FA på sin Gmail-konto. I Grants tilfælde kom de omkring det. Oplysningerne om, hvad der skete med Grant, er ikke så klare, men nogle detaljer kan udledes. Grant skriver på sin Ello-konto:
Så vidt jeg kan vide, begyndte angrebet faktisk med min mobiltelefonudbyder, som på en eller anden måde gav et vist niveau af adgang eller social engineering til min Google-konto, som derefter gjorde det muligt for hackerne at modtage en e-mail til nulstilling af adgangskode fra Instagram, hvilket gav dem kontrol af kontoen.
Hackerne aktiverede viderestilling af opkald på hans mobiltelefonkonto. Hvorvidt dette gjorde det muligt at sende 2FA-koden til dem, eller om de brugte en anden metode til at omgå det, er uklart. Uanset hvad, ved at kompromittere Grants mobiltelefonkonto fik de adgang til hans Gmail og derefter hans Instagram.
Undgå dig selv denne situation
For det første er den vigtigste afhentning herfra ikke, at 2FA er brudt og ikke værd at opsætte. Det er en fremragende sikkerhedsopsætning, du skal bruge; det er bare ikke skudsikkert. I stedet for at bruge dit telefonnummer til godkendelse, kan du gøre det mere sikkert ved hjælp af Authy eller Google Authenticator Kan to-trins-verifikation være mindre irriterende? Fire hemmelige hacks, der er garanteret at forbedre sikkerheden, kan totrinsbekræftelse være mindre irriterende? Fire hemmelige hacks, der er garanteret at forbedre sikkerheden Vil du have skudsikker kontosikkerhed? Jeg foreslår stærkt, at du aktiverer det, der kaldes "to-faktor" -godkendelse. . Hvis Grants hackere formåede at omdirigere bekræftelsesteksten, ville dette have stoppet den.
For det andet skal du overveje, hvorfor folk ønsker at hacke dig. Hvis du har værdifulde brugernavne eller domænenavne, er du i en øget risiko. Tilsvarende, hvis du er en berømthed, er det mere sandsynligt, at du bliver hacket 4 måder at undgå at blive hacket som en berømthed 4 måder at undgå at blive hacket som en berømthed Lækkede berømthedsnøgenheder i 2014 gav overskrifter overalt i verden. Sørg for, at det ikke sker med dig med disse tip. . Hvis du ikke er i nogen af disse situationer, er det mere sandsynligt, at du bliver hacket af en, du kender, eller i et opportunistisk hack, efter at din adgangskode er lækket online. I begge tilfælde er det bedste forsvar sikre, unikke adgangskoder til hver enkelt tjeneste. Jeg bruger personligt 1Password, som er en nyttig måde at sikre dine adgangskoder Lad 1Password til Mac Administrer dine adgangskoder og sikre data Lad 1Password til Mac Administrer dine adgangskoder og sikre data Trods den nye iCloud Keychain-funktion i OS X Mavericks, foretrækker jeg stadig kraften i håndtering af mine adgangskoder i AgileBits klassiske og populære 1Password, nu i sin fjerde version. og er tilgængelig på alle større platforme.
For det tredje skal du minimere virkningen af hub-konti. Hubkonti gør livet let for dig, men også for hackere. Opret en hemmelig e-mail-konto, og brug den som en nulstilling af adgangskode til dine vigtige onlinetjenester. Mat havde gjort dette, men angriberen var i stand til at se de første og sidste bogstaver i det; de så m••••[email protected]. Vær lidt mere fantasifuld. Du skal også bruge denne e-mail til vigtige konti. Især dem, der har knyttet finansielle oplysninger som Amazon. På den måde, selvom hackere får adgang til dine hub-konti, får de ikke adgang til vigtige tjenester.
Endelig skal du undgå at sende følsomme oplysninger online. Mat's hackere fandt hans adresse ved hjælp af et WhoIs-opslag - der fortæller dig oplysninger om, hvem der ejer et websted - som hjalp dem med at komme ind på hans Amazon-konto. Grants cellenummer var sandsynligvis også tilgængeligt et sted online. Begge deres hub-e-mail-adresser var offentligt tilgængelige, hvilket gav hackere et udgangspunkt.
Jeg elsker 2FA, men jeg kan forstå, hvordan dette ville ændre nogle folks mening om det. Hvilke skridt tager du for at beskytte dig selv efter Mat Honan og Grant Blakeman hacks?
Billedkreditter: 1Password.