Skelbimas
Dviejų veiksnių autentifikavimas (2FA) yra vienas iš populiariausių internetinės saugos pasiekimų. Anksčiau šią savaitę žinia nutrūko, kad ji buvo nulaužta.
Grantas Blakemanas - dizaineris ir @gb „Instagram“ paskyros savininkas - pajuto, kad jo „Gmail“ paskyrai kilo pavojus, o įsilaužėliai pavogė jo „Instagram“ rankeną. Nepaisant to, kad buvo įjungta 2FA.
2FA: trumpoji versija
2FA yra strategija, kaip internetines paskyras padaryti sunkiau nulaužti. Mano kolegė Tina parašė puikų straipsnį apie kas yra 2FA ir kodėl turėtumėte juo naudotis Kas yra dviejų veiksnių autentifikavimas ir kodėl jūs turėtumėte juo naudotisDviejų faktorių autentifikavimas (2FA) yra saugos metodas, kuriam reikia dviejų skirtingų būdų įrodyti jūsų tapatybę. Jis dažniausiai naudojamas kasdieniame gyvenime. Pavyzdžiui, norėdami atsiskaityti kreditine kortele, ne tik ... Skaityti daugiau ; jei norite išsamesnės įžangos, turėtumėte ją patikrinti.
Įprastoje vieno faktoriaus autentifikavimo sąrankoje (1FA) naudojate tik slaptažodį. Tai daro jį nepaprastai pažeidžiamą; jei kas nors turi tavo slaptažodį, jis gali prisijungti kaip tu. Deja, tai yra sąranka, kurią naudoja dauguma svetainių.
2FA prideda papildomą veiksnį: paprastai tai yra vienkartinis kodas, siunčiamas į jūsų telefoną, kai prisijungiate prie savo sąskaitos iš naujo įrenginio ar vietos. Kažkas, bandantis įsilaužti į jūsų sąskaitą, turi ne tik pavogti slaptažodį, bet ir teoriškai turėti prieigą prie jūsų telefono, kai bando prisijungti. Daugiau paslaugų, pavyzdžiui, „Apple“ ir „Google“, įgyvendina 2FA Užrakinkite šias paslaugas dabar naudodami dviejų faktorių autentifikavimąDviejų veiksnių autentifikavimas yra protingas būdas apsaugoti savo internetines paskyras. Pažvelkime į kelias paslaugas, kurias galite užrakinti užtikrindami geresnį saugumą. Skaityti daugiau .
Granto istorija
Granto istorija labai panaši į laidų rašytojo Mato Honano pasakojimą. Matą visą savo skaitmeninį gyvenimą sunaikino įsilaužėliai, norintys patekti į jį jo „Twitter“ paskyroje: jis turi vartotojo vardą @mat. Panašiai ir Grantas turi dvi raides @gb „Instagram“ paskyra kuris pavertė jį taikiniu.
Ant jo „Ello“ sąskaita Grantas aprašo, kaip jis turėjo savo „Instagram“ paskyrą keletą kartų per savaitę su nepageidaujamais slaptažodžio nustatymo el. Laiškais. Tai didelė raudona vėliava, kurią kažkas bando įsilaužti į jūsų sąskaitą. Retkarčiais jis gautų 2FA kodą „Gmail“ paskyrai, kuris buvo pridėtas prie jo „Instagram“ paskyros.
Vieną rytą viskas buvo kitaip. Jis pabudo prie teksto, kuriame jam pasakyta, kad jo „Google“ paskyros slaptažodis buvo pakeistas. Laimei, jam pavyko atgauti prieigą prie savo „Gmail“ paskyros, tačiau įsilaužėliai greitai sureagavo ir ištrynė jo „Instagram“ paskyrą, pavogdami sau „@gb“ rankeną.
Tai, kas nutiko Grantui, kelia ypač didelį nerimą, nes nutiko nepaisant to, kad jis naudojo 2FA.
Stebulės ir silpnosios vietos
Tiek „Mat“, tiek „Grant“ įsilaužimai rėmėsi įsilaužėliais, naudojančiais silpnąsias vietas kitose paslaugose, kad patektų į pagrindinio centro sąskaitą: savo „Gmail“ paskyrą. Nuo to įsilaužėliai galėjo atlikti standartinio slaptažodžio nustatymą bet kurioje paskyroje, susietoje su tuo el. Pašto adresu. Jei įsilaužėlis gautų prieigą prie mano „Gmail“, jie galėtų gauti prieigą prie mano paskyros čia, esančioje „MakeUseOf“, mano „Steam“ paskyroje ir visa kita.
Mat turi parašė puikų, išsamų pasakojimą, kaip tiksliai jis buvo nulaužtas. Tai paaiškina, kaip įsilaužėliai įgijo prieigą naudodamiesi silpnosiomis „Amazon“ saugumo vietomis, kad galėtų perimti jo sąskaitą, pasinaudojo informacija jie iš ten gavo prieigą prie jo „Apple“ paskyros, o paskui pasinaudojo tuo, kad patektų į jo „Gmail“ paskyrą - ir visą savo skaitmeninį gyvenimas.
Granto padėtis buvo kitokia. Mat Hackas nebūtų dirbęs, jei jis „Gmail“ paskyroje būtų įgalinęs 2FA. Grant'o atveju jie tai išvengė. Tai, kas atsitiko Grantui, nėra tokia aiški, tačiau galima daryti išvadą apie kai kurias detales. Rašydamas savo „Ello“ paskyroje, Grantas sako:
Taigi, kiek galiu pasakyti, išpuolis iš tikrųjų prasidėjo mano mobiliųjų telefonų tiekėjui, kuris kažkokiu būdu leido pasiekti tam tikrą prieigos ar socialinį lygį inžinerija į mano „Google“ paskyrą, kuri įsilaužėliams leido iš „Instagram“ gauti slaptažodžio nustatymo el. laišką, suteikiant jiems galimybę valdyti paskyra.
Piratai įgalino skambučių peradresavimą į jo mobiliojo telefono sąskaitą. Neaišku, ar tai leido jiems nusiųsti 2FA kodą, ar jie pasinaudojo kitu metodu. Bet kokiu atveju, padarydami pavojų Granto mobiliojo telefono abonementui, jie įgijo prieigą prie jo „Gmail“, tada - jo „Instagram“.
Pats venkite šios situacijos
Pirma, esminis dalykas yra tai, kad 2FA neveikia ir nėra vertas jo nustatyti. Tai puiki saugos sąranka, kurią turėtumėte naudoti; jis tiesiog nėra neperšaunamas. Užuot naudodami telefono numerį autentifikavimui, galite padarykite tai saugesnį naudodami Authy arba „Google Authenticator“ Ar patvirtinimas dviem etapais gali būti mažiau dirginantis? Keturi slapti įsilaužimai garantuoti, kad pagerės saugumasAr norite neperšaunamos sąskaitos saugumo? Aš labai siūlau įgalinti tai, kas vadinama „dviejų veiksnių“ autentifikavimu. Skaityti daugiau . Jei „Grant“ įsilaužėliams pavyktų nukreipti patvirtinimo tekstą, tai būtų jį sustabdę.
Antra, pagalvokite, kodėl žmonės norėtų jus nulaužti. Jei turite vertingų naudotojų ar domenų vardų, jūs rizikuojate. Panašiai, jei esate garsenybė, kuriai labiau tikėtina, jog bus įsilaužta 4 būdai, kaip išvengti įsilaužimo kaip įžymybė2014 metais nutekėję garsenybių nuogai sukūrė antraštes visame pasaulyje. Įsitikinkite, kad šie dalykai jums neatsitiks. Skaityti daugiau . Jei nesate nė vienoje iš šių situacijų, labiau tikėtina, kad jus nulaužys pažįstamas asmuo arba oportunistinis įsilaužimas, kai jūsų slaptažodis nutekės internete. Abiem atvejais geriausia gynyba yra saugūs, unikalūs kiekvienos paslaugos slaptažodžiai. Aš asmeniškai naudojuosi 1Pardas kuris yra naudingas būdas apsaugoti savo slaptažodžius Leiskite „1Password for Mac“ tvarkyti savo slaptažodžius ir saugius duomenisNepaisant naujos „iCloud Keychain“ funkcijos „OS X Mavericks“, aš vis tiek renkuosi savo slaptažodžių tvarkymo galią klasikiniame ir populiariajame „AgileBits“ „1Password“, dabar jo 4-ajame variante. Skaityti daugiau ir yra prieinamas visose pagrindinėse platformose.
Trečia, sumažinkite centrų paskyrų poveikį. „Hub“ paskyros palengvina ne tik jūsų, bet ir įsilaužėlių gyvenimą. Nustatykite slaptą el. Pašto abonementą ir naudokite jį kaip slaptažodžio nustatymo paskyrą savo svarbioms internetinėms paslaugoms. Matas tai padarė, tačiau užpuolikai galėjo pamatyti pirmąją ir paskutinę jo raides; jie pamatė m••••[email protected]. Būkite šiek tiek vaizduotės. Šį el. Laišką turėtumėte naudoti ir svarbioms paskyroms. Ypač tie, kurie turi finansinę informaciją, tokią kaip „Amazon“. Tokiu būdu, net jei įsilaužėliai gaus prieigą prie jūsų centro paskyrų, jie negaus prieigos prie svarbių paslaugų.
Galiausiai venkite slaptos informacijos internete. „Mat“ įsilaužėliai rado jo adresą naudodami „WhoIs“ paiešką - joje nurodoma informacija apie tai, kam priklauso svetainė - tai padėjo jiems patekti į jo „Amazon“ paskyrą. Grantas mobiliojo telefono numerį greičiausiai taip pat galėjo rasti internete. Abu jų centrų el. Pašto adresai buvo viešai prieinami, o tai įsilaužėliams davė pradžią.
Aš myliu 2FA, bet suprantu, kaip tai pakeistų kai kurių žmonių nuomonę apie tai. Kokių priemonių imatės siekdami apsisaugoti po „Mat Honan“ ir „Grant Blakeman“ nulaužimų?
Vaizdo kreditai: 1Pardas.