реклама
Двуфакторното удостоверяване (2FA) е един от най-разпространените постижения в онлайн сигурността. По-рано тази седмица, избухна новина, че е била хакната.
Грант Блакеман - дизайнер и собственик на акаунта @gb Instagram - събуди се, че сметката му в Gmail се е компрометирала и хакери са откраднали дръжката му в Instagram. Това беше въпреки активирането на 2FA.
2FA: Кратката версия
2FA е стратегия за по-трудно хакване на онлайн акаунти. Колегата ми Тина написа страхотна статия за какво е 2FA и защо трябва да го използвате Какво е двуфакторно удостоверяване и защо трябва да го използватеДвуфакторното удостоверяване (2FA) е метод за защита, който изисква два различни начина за доказване на вашата идентичност. Често се използва в ежедневието. Например плащането с кредитна карта изисква не само картата, ... Прочетете още ; ако искате по-подробно въведение, трябва да го проверите.
При типична еднофакторна настройка за удостоверяване (1FA) използвате само парола. Това го прави невероятно уязвим; ако някой има вашата парола, той може да влезе като вас. За съжаление, това е настройката, която повечето уебсайтове използват.
2FA добавя допълнителен фактор: обикновено еднократен код, изпратен на вашия телефон, когато влезете в акаунта си от ново устройство или местоположение. Някой, който се опитва да проникне във вашия акаунт, трябва не само да открадне паролата ви, но и на теория да има достъп до телефона ви, когато се опитва да влезе. Повече услуги като Apple и Google внедряват 2FA Заключете тези услуги сега с двуфакторна автентификацияДвуфакторното удостоверяване е интелигентният начин за защита на вашите онлайн акаунти. Нека да разгледаме някои от услугите, които можете да заключите с по-добра сигурност. Прочетете още .
Историята на Грант
Историята на Грант е много подобна на писателя на Wired Writ Mat Honan Мат целият си дигитален живот беше унищожен от хакери, които искаха да получат достъп до него неговият акаунт в Twitter: той има потребителското име @mat. Грант, подобно, има и двете букви @gb Instagram акаунт което го направи мишена.
На неговата Ело акаунт Грант описва как, докато е имал акаунта си в Instagram, той се занимава с нежелани имейли за нулиране на парола няколко пъти седмично. Това е голям червен флаг, който някой се опитва да хакне в акаунта ви. Понякога той получава 2FA код за Gmail акаунта, който беше прикачен към неговия акаунт в Instagram.
Една сутрин нещата бяха различни. Събуди се до текст, в който казваше, че паролата му за акаунт в Google е променена. За щастие той успя да си върне достъпа до своя акаунт в Gmail, но хакерите бяха действали бързо и изтриха акаунта му в Instagram, открадвайки дръжката @gb за себе си.
Това, което се случи с Грант, е особено притеснително, защото се случи въпреки, че той използва 2FA.
Главини и слаби точки
И хаковете на Мат, и на Грант разчитаха на хакери, използващи слаби точки в други услуги, за да влязат в ключов акаунт в профила си: техния Gmail акаунт. От това хакерите успяха да направят стандартно нулиране на паролата във всеки акаунт, свързан с този имейл адрес. Ако хакер получи достъп до моя Gmail, той ще може да получи достъп до акаунта ми тук в MakeUseOf, моя Steam акаунт и всичко останало.
Мат има написа отличен, подробен разказ за това как точно е бил хакнат. В него се обяснява как хакерите са получили достъп, използвайки слаби точки в сигурността на Amazon, за да поемат неговия акаунт, използвали информацията те спечелиха от там, за да получат достъп до неговия акаунт в Apple, а след това го използваха, за да влязат в неговия Gmail акаунт - и целия му цифров живот.
Положението на Грант беше различно. Хакът на Мат нямаше да работи, ако беше активирал 2FA в профила си в Gmail. В случая на Грант ги заобиколиха. Спецификите на случилото се с Грант не са толкова ясни, но някои подробности могат да се изведат. Пишейки в акаунта си Ello, Грант казва:
Така че, доколкото мога да разбера, атаката всъщност започна с доставчика ми на мобилни телефони, което по някакъв начин позволи някакво ниво на достъп или социално инженеринг в моя акаунт в Google, който след това позволи на хакерите да получат имейл за нулиране на парола от Instagram, като им даде контрол върху сметката.
Хакерите активираха пренасочване на обаждания в акаунта на мобилния му телефон. Дали това е позволило да им бъде изпратен 2FA кодът или са използвали друг метод, за да го заобиколят, не е ясно. Така или иначе, компрометирайки акаунта на мобилния телефон на Грант, те получиха достъп до неговия Gmail и след това до неговия Instagram.
Избягвайте сами тази ситуация
Първо, основният изход от това не е, че 2FA е счупен и не си струва да се настройва. Това е отлична настройка за сигурност, която трябва да използвате; просто не е броня. Вместо да използвате телефонния си номер за удостоверяване, можете направете го по-сигурен, като използвате Authy или Google Удостоверител Може ли проверката в две стъпки да бъде по-малко дразнеща? Гарантирани четири тайни хака за подобряване на сигурносттаИскате ли защита на профила? Горещо предлагам да се даде възможност за това, което се нарича "двуфакторна" автентификация. Прочетете още . Ако хакерите на Грант успеят да пренасочат текста за потвърждение, това би го спряло.
Второ, помислете защо хората биха искали да ви хакнат. Ако държите ценни потребителски имена или имена на домейни, сте изложени на повишен риск. По същия начин, ако вие сте знаменитост, която е по-вероятно да бъдете хакнати 4 начина да избегнете хакване като знаменитостИзтичащите знаменитости през 2014 г. направиха заглавия по целия свят. Уверете се, че не ви се случва с тези съвети. Прочетете още . Ако не сте в нито една от тези ситуации, е по-вероятно да бъдете взломен от познат или опортюнистичен хак, след като паролата ви изтече онлайн. И в двата случая най-добрата защита е сигурна, уникални пароли за всяка отделна услуга. Аз лично използвам 1Password кое е полезен начин да защитите паролите си Нека 1Password за Mac управлява вашите пароли и сигурни данниВъпреки новата функция iCloud Keychain в OS X Mavericks, все още предпочитам силата на управление на паролите си в класическия и популярен 1Password на AgileBits, сега в четвъртата му версия. Прочетете още и е достъпна на всяка голяма платформа.
Трето, сведете до минимум въздействието на сметките на хъба. Профилите на хъба улесняват живота ви, но и за хакерите. Настройте таен акаунт за електронна поща и го използвайте като акаунт за нулиране на паролата за важните ви онлайн услуги. Мат направи това, но нападателите успяха да видят първата и последната буква от него; те видяха m••••[email protected]. Бъдете малко по-въображаеми. Трябва да използвате този имейл и за важни акаунти. Особено такива, които имат прикачена финансова информация като Amazon. По този начин, дори ако хакерите получат достъп до вашите акаунти в центъра, те няма да получат достъп до важни услуги.
И накрая, избягвайте публикуването на чувствителна информация онлайн. Хакерите на Мат намериха адреса му с търсене на WhoIs - който ви казва информация за това кой е собственик на сайт - което им помогна да влязат в акаунта му в Amazon. Броят на клетките на Грант вероятно е достъпен и някъде онлайн. И двата им имейл адреса на хъба бяха публично достъпни, което даде на хакерите отправна точка.
Обичам 2FA, но мога да разбера как това би променило мнението на някои хора за това. Какви стъпки предприемате, за да защитите себе си след хака на Мат Хонан и Грант Блакеман?
Кредити за изображения: 1Password.