Two-Factor Authentication Hacked: Hvorfor bør du ikke Panic

Annonse

Annonse
Annonse

Tofaktorautentisering (2FA) er en av de mest utbredte fremskrittene i nettverkssikkerhet. Tidligere i uka brøt nyheten at den hadde blitt hacket.

Grant Blakeman - en designer og eier av @gb Instagram-kontoen - våknet for å finne at hans Gmail-konto hadde gått i fare og hackere hadde stjålet sitt Instagram-håndtak. Dette var til tross for at 2FA var aktivert.

2FA: Den korte versjonen

2FA er en strategi for å gjøre online-kontoer vanskeligere å hacke. Min kollega Tina har skrevet en god artikkel om hva 2FA er og hvorfor du bør bruke det. Hva er tofaktorautentisering, og hvorfor du bør bruke det Hva er tofaktorautentisering, og hvorfor du bør bruke det Tofaktorautentisering (2FA) ) er en sikkerhetsmetode som krever to forskjellige måter å bevise din identitet på. Det brukes vanligvis i hverdagen. For eksempel betaler med et kredittkort krever ikke bare kortet, ... Les mer; Hvis du vil ha en mer detaljert introduksjon, bør du sjekke det ut.

I et typisk enfaktorautentiseringsoppsett (1FA) bruker du bare et passord. Dette gjør det utrolig sårbart; hvis noen har passordet ditt, kan de logge inn som deg. Dessverre er dette oppsettet de fleste nettsteder bruker.

2FA

2FA legger til en ekstra faktor: vanligvis en en gangskode sendt til telefonen når du logger deg på kontoen din fra en ny enhet eller et sted. Noen som prøver å bryte inn på kontoen din må ikke bare stjele passordet ditt, men har i teorien også tilgang til telefonen når de prøver å logge inn. Flere tjenester, som Apple og Google, implementerer 2FA Lock Down Disse tjenestene nå med to -Faktorautentisering Lås ned disse tjenestene nå med tofaktorautentisering Tofaktorautentisering er den smarte måten å beskytte dine elektroniske kontoer på. La oss ta en titt på noen av tjenestene du kan låse ned med bedre sikkerhet. Les mer .

Grants historie

Grants historie er svært lik Wired-skribent Mat Honans. Mat hadde hele sitt digitale liv ødelagt av hackere som ønsket å få tilgang til sin Twitter-konto: han har brukernavnet @mat. Grant, på samme måte, har den tobrikke @ gb Instagram-kontoen som gjorde ham til et mål.

gb_instagram

På sin Ello-konto beskriver Grant hvordan, så lenge han har hatt sin Instagram-konto, har han jobbet med uønskede passordgjenopprettede e-postmeldinger et par ganger i uken. Det er et stort rødt flagg som noen prøver å hack inn på kontoen din. Av og til ville han få en 2FA-kode for Gmail-kontoen som var knyttet til sin Instagram-konto.

En morgen var ting annerledes. Han våknet opp til en tekst som forteller at hans passord for Google-kontoen var endret. Heldigvis var han i stand til å gjenvinne tilgang til sin Gmail-konto, men hackerne hadde handlet raskt og slettet sin Instagram-konto og stjal @gb-håndtaket for seg selv.

Det som skjedde med Grant er spesielt bekymringsfullt fordi det skjedde til tross for at han brukte 2FA.

Hubs og svake punkter

Både Mat og Grants hack stod på hackere som brukte svake punkter i andre tjenester for å komme inn på en nøkkelhubkonto: deres Gmail-konto. Fra dette kunne hackerne gjøre en standard passord tilbakestilling på en hvilken som helst konto knyttet til den e-postadressen. Hvis en hacker fikk tilgang til Gmail, kunne de få tilgang til kontoen min her på MakeUseOf, min Steam-konto og alt annet.

Mat har skrevet en utmerket, detaljert oversikt over nøyaktig hvordan han ble hacket. Det forklarer hvordan hackerne fikk tilgang ved å bruke svake punkter i Amazonas sikkerhet for å overta kontoen sin, brukte informasjonen de fikk derfra for å få tilgang til sin Apple-konto, og brukte den til å komme inn på sin Gmail-konto - og hele sitt digitale liv.

Grants situasjon var annerledes. Matts hack ville ikke ha fungert hvis han hadde hatt 2FA aktivert på sin Gmail-konto. I Grants tilfelle kom de rundt. Spesifikasjonene til hva som skjedde med Grant er ikke så klare, men noen detaljer kan utledes. Skriver på sin Ello-konto, sier Grant:

Så vidt jeg kan fortelle, begynte angrepet faktisk med mobilleverandøren, noe som tillot en eller annen grad tilgang eller sosialteknikk til Google-kontoen min, som tillot hackerne å motta en e-postadresse for tilbakestilling av passord fra Instagram, noe som gir dem kontroll av kontoen.

Hackerne aktiverte viderekobling på mobiltelefonen sin. Om dette tillot at 2FA-koden sendes til dem, eller de brukte en annen metode for å komme seg rundt, er det uklart. Uansett, ved å gå på kompromiss med Grants mobiltelefonkonto, fikk de tilgang til Gmail og deretter hans Instagram.

Unngå denne situasjonen selv

For det første er nøkkelen fra dette ikke at 2FA er ødelagt og ikke verdt å sette opp. Det er et utmerket sikkerhetsoppsett du bør bruke; det er bare ikke kollisikkert. I stedet for å bruke telefonnummeret ditt for godkjenning, kan du gjøre det sikrere ved å bruke Authy eller Google Authenticator. Kan to-trinns verifisering være mindre irriterende? Fire hemmelige hacker garantert for å forbedre sikkerheten Kan to-trinns verifisering være mindre irriterende? Fire hemmelige hacker garantert for å forbedre sikkerheten Ønsker du kollisikker kontosikkerhet? Jeg foreslår sterkt å aktivere det som kalles "to-faktor" -autentisering. Les mer . Hvis Grants hackere klarte å omdirigere bekreftelsesteksten, ville dette ha stoppet det.

For det andre, vurder hvorfor folk ønsker å hacke deg. Hvis du har verdifulle brukernavn eller domenenavn, er du i økt risiko. På samme måte, hvis du er en kjendis, er du mer sannsynlig å bli hacket. 4 måter å unngå å bli hacket som en kjendis 4 måter å unngå å bli hacket som en kjendis lekket kjendisnøtter i 2014, gjorde overskrifter rundt om i verden. Pass på at det ikke skjer med deg med disse tipsene. Les mer . Hvis du ikke befinner deg i noen av disse situasjonene, er du mer sannsynlig å bli hacket av noen du kjenner eller i en opportunistisk hack etter at passordet ditt blir lekket online. I begge tilfeller er det beste forsvaret sikkert, unike passord for hver enkelt tjeneste. Jeg bruker personlig 1Password som er en nyttig måte å sikre passordene dine på. La 1Password for Mac Behandle passordene dine og sikre data La 1Password for Mac Behandle passordene dine og sikre data Til tross for den nye iCloud Keychain-funksjonen i OS X Mavericks, foretrekker jeg fortsatt kraften til Administrere passordene mine i AgileBits klassiske og populære 1Password, nå i sin fjerde versjon. Les mer og er tilgjengelig på alle større plattformer.

1Password

For det tredje, minimer effekten av navkontoer. Hub-kontoer gjør livet enkelt for deg, men også for hackere. Sett opp en hemmelig e-postkonto og bruk den som passordgjenopprett konto for viktige Internett-tjenester. Mat hadde gjort dette, men angriperne var i stand til å se den første og siste bokstaver av den; de så m••••[email protected]. Vær litt mer fantasifull. Du bør også bruke denne e-posten for viktige kontoer. Spesielt de som har økonomisk informasjon vedlagt som Amazon. På den måten, selv om hackere får tilgang til hubkontiene, får de ikke tilgang til viktige tjenester.

Til slutt, unngå å legge sensitiv informasjon på nettet. Matts hackere fant sin adresse ved hjelp av en WhoIs oppslag - som forteller deg informasjon om hvem som eier et nettsted - som hjalp dem med å komme inn på sin Amazon-konto. Grants celle nummer var sannsynligvis tilgjengelig et sted på nettet også. Begge deres e-postadresser var offentlig tilgjengelige, noe som ga hackere et utgangspunkt.

Jeg elsker 2FA, men jeg kan forstå hvordan dette ville forandre noen menneskers oppfatning av det. Hvilke skritt tar du for å beskytte deg selv etter Mat Honan og Grant Blakeman hacks?

Image Credits: 1Password.

In this article