Реклама
Двухфакторная аутентификация (2FA) является одним из наиболее широко рекламируемых достижений в онлайн-безопасности. Ранее, на этой неделе, новость сломалась, что он был взломан.
Грант Блейкман - дизайнер и владелец аккаунта @gb в Instagram - проснулся, обнаружив, что его учетная запись Gmail скомпрометирована, и хакеры украли его ручку в Instagram. Это несмотря на то, что 2FA включен.
2FA: короткая версия
2FA - это стратегия усложнения взлома онлайн-аккаунтов. Моя коллега Тина написала отличную статью о что такое 2FA и почему вы должны его использовать Что такое двухфакторная аутентификация и почему ее следует использоватьДвухфакторная аутентификация (2FA) - это метод безопасности, который требует двух разных способов подтверждения вашей личности. Это обычно используется в повседневной жизни. Например, оплата кредитной картой не только требует карты, ... Подробнее ; если вы хотите более подробное введение, вы должны проверить это.
В типичной настройке однофакторной аутентификации (1FA) вы используете только пароль. Это делает его невероятно уязвимым; если у кого-то есть ваш пароль, он может войти как вы. К сожалению, эта настройка используется большинством веб-сайтов.
2FA добавляет дополнительный фактор: как правило, один раз код отправляется на ваш телефон, когда вы входите в свою учетную запись с нового устройства или местоположения. Кто-то, пытающийся проникнуть в вашу учетную запись, должен не только украсть ваш пароль, но и, теоретически, иметь доступ к вашему телефону при попытке войти в систему. Другие сервисы, такие как Apple и Google, внедряют 2FA Блокируйте эти сервисы теперь с двухфакторной аутентификациейДвухфакторная аутентификация - это умный способ защитить ваши онлайн-аккаунты. Давайте рассмотрим некоторые из сервисов, которые вы можете заблокировать с большей безопасностью. Подробнее .
История Гранта
История Гранта очень схожа с историей автора Wired Mat Matan. Вся цифровая жизнь Мата была разрушена хакерами, которые хотели получить доступ к его твиттер-аккаунт: у него есть имя пользователя @mat. Грант, аналогично, имеет двухбуквенный @gb аккаунт в Instagram что сделало его мишенью.
На его Ello аккаунт Грант описывает, что, пока у него был аккаунт в Instagram, он несколько раз в неделю имел дело с нежелательными письмами для сброса пароля. Это большой красный флаг, который кто-то пытается взломать на ваш аккаунт. Время от времени он получал код 2FA для учетной записи Gmail, которая была прикреплена к его учетной записи в Instagram.
Однажды утром все было иначе. Он проснулся от сообщения о том, что его пароль в учетной записи Google был изменен. К счастью, он смог восстановить доступ к своей учетной записи Gmail, но хакеры действовали быстро и удалили свою учетную запись в Instagram, украдя для себя маркер @gb.
То, что случилось с Грантом, вызывает особую тревогу, потому что это произошло несмотря на то, что он использовал 2FA.
Хабы и слабые места
Взломы Мата и Гранта основывались на том, что хакеры использовали слабые места в других сервисах для проникновения в ключевую учетную запись хаба: свою учетную запись Gmail. Исходя из этого, хакеры смогли выполнить стандартный сброс пароля для любой учетной записи, связанной с этим адресом электронной почты. Если хакер получит доступ к моей Gmail, он сможет получить доступ к моей учетной записи здесь, в MakeUseOf, моей учетной записи Steam и ко всему прочему.
Мат имеет написал отличный, подробный отчет о том, как именно его взломали. Он объясняет, как хакеры получили доступ, используя слабые места в безопасности Amazon, чтобы захватить его аккаунт, использовали информацию оттуда они получили доступ к его учетной записи Apple, а затем использовали его, чтобы войти в свою учетную запись Gmail - и всю его цифровую жизнь.
Ситуация Гранта была другой. Взлом Мата не сработал бы, если бы он включил 2FA на своем аккаунте Gmail. В случае с Грантом они обошли это. Особенности того, что случилось с Грантом, не так ясны, но некоторые детали могут быть выведены. В своем отчете Элло Грант пишет:
Итак, насколько я могу судить, атака фактически началась с моего сотового оператора, который каким-то образом позволил некоторый уровень доступа или социальной инжиниринг в моей учетной записи Google, который затем позволял хакерам получать электронную почту для сброса пароля из Instagram, предоставляя им контроль над счет.
Хакеры включили переадресацию звонков на свой мобильный телефон. Неясно, позволяло ли это отправить код 2FA им или они использовали другой способ обойти это. В любом случае, взломав аккаунт Гранта на мобильном телефоне, они получили доступ к его Gmail, а затем к его Instagram.
Избежать этой ситуации самостоятельно
Во-первых, ключевой вывод заключается в том, что 2FA не работает и его не стоит устанавливать. Это отличная настройка безопасности, которую вы должны использовать; это просто не пуленепробиваемый. Вместо того, чтобы использовать свой номер телефона для аутентификации, вы можете сделать его более безопасным с помощью Authy или Google Authenticator Может ли двухэтапная проверка быть менее раздражающей? Четыре секретных хака гарантируют безопасностьВы хотите пуленепробиваемую безопасность аккаунта? Я настоятельно рекомендую включить так называемую двухфакторную аутентификацию. Подробнее . Если бы хакерам Гранта удалось перенаправить текст подтверждения, это остановило бы его.
Во-вторых, подумайте, почему люди хотят взломать вас. Если у вас есть ценные имена пользователей или доменные имена, вы подвергаетесь повышенному риску. Точно так же, если Вы - знаменитость, которую вы скорее всего взломаете 4 способа избежать взлома как знаменитостиУтечка обнаженных знаменитостей в 2014 году попала в заголовки новостей по всему миру. Убедитесь, что это не случится с вами с этими советами. Подробнее . Если вы не находитесь ни в одной из этих ситуаций, у вас больше шансов быть взломанным кем-либо из ваших знакомых или в случае оппортунистического взлома после того, как ваш пароль будет разглашен в Интернете. В обоих случаях лучшая защита - это безопасные уникальные пароли для каждого отдельного сервиса. Я лично пользуюсь 1Password который полезный способ защитить ваши пароли Позвольте 1Password для Mac управлять вашими паролями и безопасными даннымиНесмотря на новую функцию iCloud Keychain в OS X Mavericks, я все еще предпочитаю возможность управлять своими паролями в классическом и популярном 1Password AgileBits, теперь уже в его 4-й версии. Подробнее и доступен на каждой основной платформе.
В-третьих, минимизируйте влияние хаб-аккаунтов. Хаб-аккаунты облегчают жизнь как вам, так и хакерам. Создайте секретную учетную запись электронной почты и используйте ее в качестве учетной записи для сброса пароля для ваших важных онлайн-сервисов. Мэт сделал это, но нападавшие смогли просмотреть первые и последние буквы этого письма; они увидели m••••[email protected]. Будьте немного более изобретательны. Вы должны использовать это письмо также для важных учетных записей. Особенно те, которые имеют финансовую информацию, например, Amazon. Таким образом, даже если хакеры получат доступ к вашим учетным записям, они не получат доступ к важным услугам.
Наконец, избегайте размещения конфиденциальной информации в Интернете. Хакеры Мата нашли его адрес с помощью поиска в WhoIs, который сообщает вам информацию о том, кто владеет сайтом, что помогло им войти в его учетную запись Amazon. Сотовый номер Гранта, вероятно, был также доступен где-то в Интернете. Оба адреса их хабов были общедоступны, что послужило отправной точкой для хакеров.
Я люблю 2FA, но я могу понять, как это изменит мнение некоторых людей об этом. Какие шаги вы предпринимаете, чтобы защитить себя после взлома Мэтта Хонана и Гранта Блейкмена?
Кредиты изображений: 1Password.
