Annons
Tvåfaktorautentisering (2FA) är ett av de mest utrålade framstegen inom online-säkerhet. Tidigare i veckan, nyheter bröt att det hade hackats.
Grant Blakeman - en designer och ägare av @gb Instagram-kontot - vaknade för att hitta att hans Gmail-konto hade äventyrats och hackare hade stulit hans Instagram-handtag. Detta trots att 2FA var aktiverat.
2FA: The Short Version
2FA är en strategi för att göra online-konton svårare att hacka. Min kollega Tina har skrivit en bra artikel om vad 2FA är och varför du ska använda det Vad är tvåfaktorautentisering och varför du ska använda denTvåfaktorautentisering (2FA) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet. Det används ofta i vardagen. Att till exempel betala med kreditkort kräver inte bara kortet, ... Läs mer ; Om du vill ha en mer detaljerad introduktion bör du kolla in den.
I en typisk inställning för enfaktorautentisering (1FA) använder du bara ett lösenord. Detta gör det otroligt sårbart; om någon har ditt lösenord kan de logga in som du. Tyvärr är detta installationen som de flesta webbplatser använder.
2FA lägger till en ytterligare faktor: vanligtvis en engångskod som skickas till din telefon när du loggar in på ditt konto från en ny enhet eller plats. Någon som försöker bryta in ditt konto måste inte bara stjäla ditt lösenord utan också i teorin ha åtkomst till din telefon när de försöker logga in. Fler tjänster, som Apple och Google, implementerar 2FA Lås ner dessa tjänster nu med tvåfaktorautentiseringTvåfaktorautentisering är det smarta sättet att skydda dina onlinekonton. Låt oss ta en titt på några av de tjänster du kan låsa ner med bättre säkerhet. Läs mer .
Grants berättelse
Grants berättelse är mycket lik den trådbundna författaren Mat Honans. Mat hade hela sitt digitala liv förstört av hackare som ville få tillgång till sitt Twitter-konto: han har användarnamnet @mat. Bevilja, på samma sätt, har två bokstäver @gb Instagram-konto vilket gjorde honom till ett mål.
På hans Ello-konto Grant beskriver hur han, så länge han hade sitt Instagram-konto, har hanterat oönskade e-postmeddelanden om lösenordsåterställning några gånger i veckan. Det är en stor röd flagga som någon försöker hacka till ditt konto. Ibland fick han en 2FA-kod för Gmail-kontot som var kopplat till hans Instagram-konto.
En morgon var saker annorlunda. Han vaknade till en text som berättade att hans lösenord för Google-kontot hade ändrats. Lyckligtvis kunde han få åtkomst till sitt Gmail-konto men hackarna hade agerat snabbt och tagit bort sitt Instagram-konto och stulit @gb-handtaget för sig själva.
Det som hände med Grant är särskilt oroande eftersom det inträffade trots att han använde 2FA.
Nav och svaga punkter
Både Mat's och Grants hackar förlitade sig på att hackare använder svaga punkter i andra tjänster för att komma in på ett viktigt navkonto: deras Gmail-konto. Från detta kunde hackarna göra en standardåterställning av lösenord för alla konton som är kopplade till den e-postadressen. Om en hackare fick tillgång till mitt Gmail kan de få tillgång till mitt konto här på MakeUseOf, mitt Steam-konto och allt annat.
Matten har skrev en utmärkt, detaljerad redogörelse för exakt hur han hackades. Det förklarar hur hackarna fick tillgång med svaga punkter i Amazons säkerhet för att ta över hans konto, använde informationen de fick därifrån för att få åtkomst till hans Apple-konto och använde det sedan för att komma in på hans Gmail-konto - och hela hans digitala liv.
Grants situation var annorlunda. Mat's hack skulle inte ha fungerat om han hade aktiverat 2FA på sitt Gmail-konto. I Grants fall kom de runt det. Specifikationerna om vad som hände med Grant är inte lika tydliga men vissa detaljer kan dras. Grant skriver på sitt Ello-konto och säger:
Så, så långt jag kan veta, började attacken faktiskt med min mobiltelefonleverantör, som på något sätt tillät viss åtkomst eller social konstruktion till mitt Google-konto, vilket sedan tillät hackarna att få ett e-postmeddelande om återställning av lösenord från Instagram, vilket gav dem kontroll över kontot.
Hackarna aktiverade vidarekoppling på hans mobiltelefonkonto. Huruvida detta tillät 2FA-koden att skickas till dem eller om de använde en annan metod för att komma runt det är oklart. Hur som helst genom att kompromissa med Grants mobiltelefonkonto fick de tillgång till hans Gmail och sedan till hans Instagram.
Undvik själv denna situation
För det första är den viktigaste uttagningen av detta inte att 2FA är trasig och inte värt att installera. Det är en utmärkt säkerhetsinställning du bör använda; det är bara inte skuddsäkert. Istället för att använda ditt telefonnummer för autentisering kan du göra det göra det säkrare med Authy eller Google Authenticator Kan verifiering i två steg vara mindre irriterande? Fyra hemliga hackar garanterade att förbättra säkerhetenVill du ha kortsäker kontosäkerhet? Jag föreslår starkt att du aktiverar det som kallas "tvåfaktors" -autentisering. Läs mer . Om Grants hackare lyckades omdirigera verifieringstexten skulle detta ha stoppat den.
För det andra, överväga varför människor skulle vilja hacka dig. Om du har värdefulla användarnamn eller domännamn har du en ökad risk. På samma sätt, om du är en kändis, det är mer troligt att du blir hackad 4 sätt att undvika att bli hackade som en kändisLäckta kändis nakenbilder 2014 gjorde rubriker runt om i världen. Se till att det inte händer dig med dessa tips. Läs mer . Om du inte befinner dig i någon av dessa situationer är det mer troligt att du blir hackad av någon du känner eller i en opportunistisk hack efter att ditt lösenord har läckt ut online. I båda fallen är det bästa försvaret säkra, unika lösenord för varje enskild tjänst. Jag använder personligen 1Password vilket är ett användbart sätt att säkra dina lösenord Låt 1Password for Mac hantera dina lösenord och säkra dataTrots den nya iCloud Keychain-funktionen i OS X Mavericks föredrar jag fortfarande kraften i att hantera mina lösenord i AgileBits klassiska och populära 1Password, nu i sin fjärde version. Läs mer och finns på alla större plattformar.
För det tredje, minimera effekten av navkonton. Hub-konton gör livet enkelt för dig men också för hackare. Ställ in ett hemligt e-postkonto och använd det som lösenord-återställningskonto för dina viktiga onlinetjänster. Matte hade gjort detta men angriparna kunde se de första och sista bokstäverna i det; de såg m•••• [email protected]. Var lite mer fantasifull. Du bör också använda det här e-postmeddelandet för viktiga konton. Särskilt de som har bifogad finansiell information som Amazon. På det sättet, även om hackare får tillgång till dina navkonton, får de inte tillgång till viktiga tjänster.
Slutligen undvika att publicera känslig information online. Mat's hackare hittade hans adress med en WhoIs-uppslagning - som berättar information om vem som äger en webbplats - vilket hjälpte dem att komma in på hans Amazon-konto. Grants cellnummer var troligtvis tillgängligt någonstans online också. Båda deras nav-e-postadresser var offentligt tillgängliga vilket gav hackare en utgångspunkt.
Jag älskar 2FA men jag kan förstå hur detta skulle förändra vissa människors åsikt om det. Vilka åtgärder vidtar du för att skydda dig själv efter att Mat Honan och Grant Blakeman hacks?
Bildkrediter: 1Password.