Two-Factor Authentication Hacked: Hvorfor skal du ikke Panic

Reklame

Reklame
Reklame

Two-factor authentication (2FA) er en af ​​de mest fremtrædende fremskridt inden for online sikkerhed. Tidligere i ugen brød brochurer, at det var blevet hacket.

Grant Blakeman - en designer og ejer af @gb Instagram-kontoen - vågnede for at finde, at hans Gmail-konto var gået i stykker, og hackere havde stjålet sit Instagram-håndtag. Dette var på trods af at 2FA var aktiveret.

2FA: Den korte version

2FA er en strategi for at gøre online-konti sværere at hacke. Min kollega Tina har skrevet en god artikel om, hvad 2FA er, og hvorfor skal du bruge det Hvad er tofaktorautentificering, og hvorfor du skal bruge det Hvad er tofaktorautentificering, og hvorfor du skal bruge det Tofaktorautentificering (2FA ) er en sikkerhedsmetode, der kræver to forskellige måder at bevise din identitet på. Det er almindeligt anvendt i hverdagen. For eksempel at betale med et kreditkort kræver ikke kun kortet, ... Læs mere; hvis du vil have en mere detaljeret introduktion, skal du tjekke det ud.

I en typisk one-factor-godkendelsesopsætning (1FA) bruger du kun et kodeord. Dette gør det utrolig sårbart; hvis nogen har dit kodeord, kan de logge ind som dig. Desværre er dette opsætningen af ​​de fleste websites brug.

2FA

2FA tilføjer en ekstra faktor: typisk en engangs kode sendt til din telefon, når du logger ind på din konto fra en ny enhed eller placering. Nogen der forsøger at bryde ind på din konto skal ikke kun stjæle dit kodeord, men også teoretisk have adgang til din telefon, når de prøver at logge ind. Flere tjenester, som Apple og Google, implementerer 2FA Lock Down Disse tjenester nu med to -Faktor-godkendelse Lås disse tjenester nu med tofaktor-godkendelse Two-factor-godkendelse er den smart måde at beskytte dine online-konti på. Lad os tage et kig på nogle af de tjenester, du kan låse ned med bedre sikkerhed. Læs mere .

Grants historie

Grants historie ligner meget Wired-skribent Mat Honans. Mat havde hele sit digitale liv ødelagt af hackere, der ønskede at få adgang til hans Twitter-konto: han har brugernavnet @mat. Grant har tilsvarende den tobogstav @ gb Instagram-konto, der gjorde ham til et mål.

gb_instagram

På hans Ello-konto beskriver Grant, at så længe han har haft sin Instagram-konto, har han været ved at beskæftige sig med uopfordrede adgangskodeindstillinger et par gange om ugen. Det er et stort rødt flag, at nogen prøver at hakke ind på din konto. Lejlighedsvis ville han få en 2FA kode til Gmail-kontoen, der var knyttet til sin Instagram-konto.

En morgen var det anderledes. Han vågnede op til en tekst, der fortæller ham, at hans Google-kontoadgangskode var blevet ændret. Heldigvis var han i stand til at genvinde adgangen til sin Gmail-konto, men hackerne havde handlet hurtigt og slettet sin Instagram-konto og stjal @gb-håndtaget for sig selv.

Hvad der skete med Grant er særligt bekymrende, fordi det skete trods ham ved hjælp af 2FA.

Hubs og svage punkter

Både Mat's og Grant's hacks var afhængige af hackere ved at bruge svage punkter i andre tjenester for at komme ind på en nøglehubkonto: deres Gmail-konto. Herved kunne hackerne lave en standard adgangskode reset på enhver konto, der er forbundet med den email adresse. Hvis en hacker fik adgang til min Gmail, kunne de få adgang til min konto her på MakeUseOf, min Steam-konto og alt andet.

Mat har skrevet en fremragende, detaljeret redegørelse for præcis, hvordan han blev hacket. Det forklarer, hvordan hackerne fik adgang ved at bruge svage punkter i Amazons sikkerhed for at overtage hans konto, brugte de oplysninger, de fik derfra, for at få adgang til hans Apple-konto og derefter brugt det for at komme ind på hans Gmail-konto - og hele hans digitale liv.

Grants situation var anderledes. Matts hack ville ikke have fungeret, hvis han havde fået 2FA aktiveret på sin Gmail-konto. I Grants tilfælde kom de rundt om det. Specifikationen af, hvad der skete med Grant, er ikke så klart, men nogle detaljer kan udledes. Skriver på sin Ello-konto, siger Grant:

Så vidt jeg kan fortælle, startede angrebet faktisk med min mobiludbyder, hvilket på en eller anden måde tillod en vis grad af adgang eller socialteknik til min Google-konto, som derefter tillod hackerne at modtage en e-mail til Password Reset fra Instagram, hvilket gav dem kontrol af kontoen.

Hackerne aktiverede viderestilling på sin mobiltelefon konto. Uanset om dette tillod 2FA-koden, der skal sendes til dem, eller de brugte en anden metode til at omgå det, er det uklart. På nogen måde, ved at gå på kompromis med Grants mobiltelefonkonto, fik de adgang til hans Gmail og derefter hans Instagram.

Undgå denne situation selv

For det første er nøgleudtagningen fra dette ikke, at 2FA er brudt og ikke værd at oprette. Det er en fremragende sikkerhedsopsætning, du skal bruge; det er bare ikke skudtæt. I stedet for at bruge dit telefonnummer til godkendelse kan du gøre det mere sikkert ved at bruge Authy eller Google Authenticator Kan to-trins-verifikation være mindre irriterende? Fire hemmelige hacker garanteret for at forbedre sikkerheden Kan to-trins verifikation være mindre irriterende? Fire hemmelige hacker garanteret for at forbedre sikkerheden Ønsker du kuglebeskyttet kontosikkerhed? Jeg foreslår stærkt at aktivere, hvad der kaldes "to-faktor" -autentificering. Læs mere . Hvis Grants hackere formåede at omdirigere verifikationsteksten, ville det have stoppet det.

For det andet overvej hvorfor folk vil hackere dig. Hvis du har værdifulde brugernavne eller domænenavne, er du i øget risiko. Hvis du er en berømthed, er du mere tilbøjelig til at blive hacket 4 måder at undgå at blive hacket som en berømthed. 4 måder at undgå at blive hacket som en berømt berømt berømthedsnus i 2014 lavede overskrifter rundt om i verden. Sørg for, at det ikke sker med dig med disse tips. Læs mere . Hvis du ikke er i nogen af ​​disse situationer, er du mere tilbøjelig til at blive hacket af en person, du kender eller i et opportunistisk hack, efter at dit kodeord bliver lækket online. I begge tilfælde er det bedste forsvar sikkert, unikke adgangskoder til hver enkelt tjeneste. Jeg bruger personligt 1Password, som er en nyttig måde at sikre dine adgangskoder til. Lad 1Password til Mac administrere dine adgangskoder og sikre data Lad 1Password til Mac administrere dine adgangskoder og sikre data Til trods for den nye iCloud Keychain-funktion i OS X Mavericks foretrækker jeg stadig kraften i styring af mine adgangskoder i AgileBits klassiske og populære 1Password, nu i sin fjerde version. Læs mere og er tilgængelig på alle større platforme.

1Password

For det tredje minimere virkningen af ​​hub konti. Hub konti gør livet nemt for dig, men også for hackere. Opret en hemmelig e-mail-konto og brug det som adgangskode nulstillet konto til dine vigtige onlinetjenester. Mat havde gjort dette, men angriberne kunne se de første og sidste bogstaver af det; de så m••••[email protected] Vær lidt mere fantasifuld. Du bør også bruge denne email til vigtige konti. Især dem der har finansielle oplysninger knyttet til Amazon. På den måde, selvom hackere får adgang til dine hub-konti, får de ikke adgang til vigtige tjenester.

Endelig undgå at bogføre følsomme oplysninger online. Mat's hackere fandt sin adresse ved hjælp af en Whoi's opslag - som fortæller dig oplysninger om, hvem der ejer et websted - hvilket hjalp dem med at komme ind på hans Amazon-konto. Grants celle nummer var sandsynligvis tilgængeligt et eller andet sted online også. Både deres nav-e-mail-adresser var offentligt tilgængelige, hvilket gav hackere et udgangspunkt.

Jeg elsker 2FA, men jeg kan forstå, hvordan dette ville ændre nogle folks opfattelse af det. Hvilke skridt tager du for at beskytte dig selv efter Mat Honan og Grant Blakeman hacks?

Billedkreditter: 1Password.

In this article