Annonse
To-faktor autentisering (2FA) er en av de mest spionerte fremskrittene innen online sikkerhet. Tidligere denne uken, nyheter brøt at det var blitt hacket.
Grant Blakeman - en designer og eier av @gb Instagram-kontoen - våknet for å finne at Gmail-kontoen hans hadde gått på akkord, og hackere hadde stjålet Instagram-håndtaket hans. Dette til tross for at 2FA var aktivert.
2FA: The Short Version
2FA er en strategi for å gjøre nettkontoer vanskeligere å hacke. Min kollega Tina har skrevet en flott artikkel om hva 2FA er, og hvorfor du bør bruke den Hva er tofaktorautentisering, og hvorfor du bør bruke denTo-faktor autentisering (2FA) er en sikkerhetsmetode som krever to forskjellige måter å bevise identiteten din på. Det brukes ofte i hverdagen. For eksempel å betale med kredittkort krever ikke bare kortet, ... Les mer ; Hvis du vil ha en mer detaljert introduksjon, bør du sjekke den ut.
I et typisk enfaktors autentiseringsoppsett (1FA) bruker du bare et passord. Dette gjør det utrolig sårbart; hvis noen har passordet ditt, kan de logge inn som deg. Dessverre er dette oppsettet de fleste nettsteder bruker.
2FA legger til en ekstra faktor: vanligvis en engangskode sendt til telefonen din når du logger på kontoen din fra en ny enhet eller et annet sted. Noen som prøver å bryte seg inn på kontoen din, trenger ikke bare å stjele passordet ditt, men også i teorien ha tilgang til telefonen din når de prøver å logge inn. Flere tjenester, som Apple og Google, implementerer 2FA Lås ned disse tjenestene nå med tofaktorautentiseringTo-faktor autentisering er den smarte måten å beskytte dine online kontoer. La oss ta en titt på noen av tjenestene du kan låse ned med bedre sikkerhet. Les mer .
Grants historie
Grants historie er veldig lik Wired-forfatteren Mat Honans. Mat fikk hele sitt digitale liv ødelagt av hackere som ønsket å få tilgang til Twitter-kontoen hans: han har brukernavnet @mat. Tildeling, på samme måte, har to-bokstaven @gb Instagram-konto noe som gjorde ham til et mål.
På hans Ello-konto Grant beskriver hvordan han, så lenge han hadde Instagram-kontoen, har hatt å gjøre med uønskede e-postadresser for tilbakestilling av passord noen ganger i uken. Det er et stort rødt flagg som noen prøver å hacke til kontoen din. Noen ganger fikk han en 2FA-kode for Gmail-kontoen som var knyttet til Instagram-kontoen hans.
En morgen var ting annerledes. Han våknet til en tekst som fortalte at passordet til Google-kontoen hans hadde blitt endret. Heldigvis klarte han å få tilgang til Gmail-kontoen sin, men hackerne hadde opptrådt raskt og slettet Instagram-kontoen sin, og stjålet @gb-håndtaket for seg selv.
Det som skjedde med Grant er spesielt bekymringsfullt fordi det skjedde til tross for at han brukte 2FA.
Hubs og svake poeng
Både Mat's og Grants hacks stolte på at hackere bruker svake punkter i andre tjenester for å komme inn på en nøkkelknutepunkt: Gmail-kontoen deres. Fra dette kunne hackerne gjøre en standard tilbakestilling av passord på en hvilken som helst konto tilknyttet den e-postadressen. Hvis en hacker fikk tilgang til Gmail-en min, vil de kunne få tilgang til kontoen min her på MakeUseOf, Steam-kontoen min og alt annet.
Mat har skrev en utmerket, detaljert beretning om nøyaktig hvordan han ble hacket. Det forklarer hvordan hackerne fikk tilgang ved hjelp av svake punkter i Amazons sikkerhet for å overta kontoen hans, brukte informasjonen de fikk derfra for å få tilgang til Apple-kontoen hans og deretter brukt den til å komme inn på Gmail-kontoen hans - og hele hans digitale liv.
Grants situasjon var annerledes. Matens hack ville ikke fungert hvis han hadde hatt 2FA aktivert på Gmail-kontoen sin. I Grants tilfelle kom de rundt det. Spesifikasjonene av hva som skjedde med Grant er ikke like klare, men noen detaljer kan utledes. Grant skriver på Ello-kontoen sin og sier:
Så langt jeg kan vite startet angrepet faktisk med mobiltelefoneleverandøren min, som på en eller annen måte tillot et visst tilgang eller sosialt prosjektering på Google-kontoen min, som deretter tillot hackerne å motta en passord-tilbakestilling av e-post fra Instagram, noe som ga dem kontroll over kontoen.
Hackerne aktiverte viderekobling av telefonen på mobiltelefonkontoen hans. Om dette tillot 2FA-koden å bli sendt til dem eller om de brukte en annen metode for å komme seg rundt det, er uklart. Uansett, ved å kompromittere Grants mobiltelefonkonto fikk de tilgang til Gmail og deretter Instagram.
Unngå denne situasjonen selv
For det første er den viktigste takeawayen fra dette ikke at 2FA er ødelagt og ikke verdt å sette opp. Det er et utmerket sikkerhetsoppsett du bør bruke; den er bare ikke skuddsikker. I stedet for å bruke telefonnummeret ditt til godkjenning, kan du gjøre det gjør det sikrere ved å bruke Authy eller Google Authenticator Kan to-trinns bekreftelse være mindre irriterende? Fire hemmelige hacks garantert å forbedre sikkerhetenVil du ha kortsikker kontosikkerhet? Jeg foreslår på det sterkeste å aktivere det som kalles "to-faktor" autentisering. Les mer . Hvis Grants hackere klarte å omdirigere bekreftelsesteksten, ville dette stoppet den.
For det andre, vurder hvorfor folk vil hacke deg. Hvis du har verdifulle brukernavn eller domenenavn, er du i en økt risiko. Tilsvarende hvis du er en kjendis, det er mer sannsynlig at du blir hacket 4 måter å unngå å bli hacket som en kjendisLekkede kjendisnakener i 2014 fikk overskrifter over hele verden. Forsikre deg om at det ikke skjer med deg med disse tipsene. Les mer . Hvis du ikke er i noen av disse situasjonene, er det mer sannsynlig at du blir hacket av noen du kjenner eller i et opportunistisk hack etter at passordet ditt har blitt lekket på nettet. I begge tilfeller er det beste forsvaret sikre, unike passord for hver enkelt tjeneste. Jeg bruker personlig 1Password som er en nyttig måte å sikre passordene dine La 1Password for Mac administrere passord og sikre dataTil tross for den nye iCloud Keychain-funksjonen i OS X Mavericks, foretrekker jeg fremdeles kraften i å administrere passordene mine i AgileBits klassiske og populære 1Password, nå i sin fjerde versjon. Les mer og er tilgjengelig på alle større plattformer.
For det tredje, minimer effekten av hub-kontoer. Hub-kontoer gjør livet enkelt for deg, men også for hackere. Sett opp en hemmelig e-postkonto og bruk den som tilbakestilling av passord for dine viktige online tjenester. Mat hadde gjort dette, men angriperne kunne se de første og siste bokstavene i den; de så m•••• n@me.com. Vær litt mer fantasifull. Du bør bruke denne e-posten til viktige kontoer også. Spesielt de som har knyttet finansiell informasjon som Amazon. På den måten, selv om hackere får tilgang til hub-kontoene dine, får de ikke tilgang til viktige tjenester.
Til slutt, unngå å legge ut sensitiv informasjon på nettet. Mat's hackere fant adressen hans ved hjelp av et WhoIs-oppslag - som forteller deg informasjon om hvem som eier et nettsted - som hjalp dem å komme inn på Amazon-kontoen hans. Grants cellenummer var sannsynligvis tilgjengelig et sted på nettet også. Begge e-postadressene til deres nav var offentlig tilgjengelig, noe som ga hackere et utgangspunkt.
Jeg elsker 2FA, men jeg kan forstå hvordan dette vil endre noen menneskers mening om det. Hvilke grep tar du for å beskytte deg selv etter at Mat Honan og Grant Blakeman hacks?
Bildetillegg: 1Password.