פרסומת

אימות דו-גורמי (2FA) הוא אחד ההתקדמות המוערכות ביותר בתחום האבטחה המקוונת. מוקדם יותר השבוע, חדשות פרצו כי נפרצו.

גרנט בלקמן - מעצב ו הבעלים של חשבון Instagram ב- gb - התעורר לגלות שחשבון ה- Gmail שלו התפשר וההאקרים גנבו את ידית האינסטגרם שלו. זה היה למרות שה- 2FA הופעל.

2FA: הגרסה הקצרה

2FA היא אסטרטגיה להקשות על חשבונות מקוונים לפריצה. חברי טינה כתב מאמר נהדר בנושא מה זה 2FA ולמה כדאי להשתמש בזה מה זה אימות דו-גורמי, ומדוע עליך להשתמש בואימות דו-גורמי (2FA) הוא שיטת אבטחה הדורשת שתי דרכים שונות להוכחת זהותך. הוא נפוץ בחיי היומיום. למשל תשלום בכרטיס אשראי לא רק מחייב את הכרטיס, ... קרא עוד ; אם אתה רוצה מבוא מפורט יותר אתה צריך לבדוק את זה.

בהגדרת טיפוס אימות גורם אחד (1FA) אתה משתמש רק בסיסמה. זה הופך אותו לפגיע להפליא; אם למישהו יש את הסיסמה שלך הוא יכול להתחבר כמוך. למרבה הצער, זוהי ההתקנה בה רוב אתרי האינטרנט משתמשים.

2fa

2FA מוסיף גורם נוסף: בדרך כלל קוד חד פעמי שנשלח לטלפון שלך כשאתה נכנס לחשבונך ממכשיר או מיקום חדש. מישהו שמנסה לפרוץ לחשבון שלך צריך לא רק לגנוב את הסיסמה שלך, אלא גם, להלכה, גישה לטלפון שלך כאשר הוא מנסה להתחבר.

instagram viewer
שירותים נוספים, כמו אפל וגוגל, מיישמים את 2FA נעל את השירותים כעת באמצעות אימות דו-גורמיאימות דו-גורמי הוא הדרך החכמה להגן על חשבונותיך המקוונים. בואו נסתכל על כמה מהשירותים שתוכלו לנעול בביטחון טוב יותר. קרא עוד .

סיפורו של גרנט

הסיפור של גרנט דומה מאוד לסופר הקוויתי Mat Honan. מאט הרס את כל חייו הדיגיטליים על ידי האקרים שרצו להשיג גישה אליו חשבון הטוויטר שלו: יש לו את שם המשתמש @mat. לגרנט, באופן דומה, יש את שתי האותיות @ gb חשבון אינסטגרם מה שהפך אותו למטרה.

gb_instagram

על שלו חשבון Ello גרנט מתאר כיצד, כל עוד היה לו חשבון האינסטגרם שלו, הוא מתמודד עם אימיילים לאיפוס סיסמאות לא ביקשו כמה פעמים בשבוע. זהו דגל אדום גדול שמישהו מנסה לפרוץ לחשבון שלך. מדי פעם הוא היה מקבל קוד 2FA לחשבון Gmail שצורף לחשבון האינסטגרם שלו.

בוקר אחד הדברים היו שונים. הוא התעורר לטקסט שאמר לו שסיסמת חשבון Google שלו שונתה. למרבה המזל הוא הצליח להחזיר גישה לחשבון ה- Gmail שלו אך ההאקרים פעלו במהירות ומחקו את חשבון האינסטגרם שלו, וגנבו לעצמם את ידית ה- @ gb.

מה שקרה לגרנט מדאיג במיוחד מכיוון שזה התרחש למרות שהוא השתמש ב- 2FA.

רכזות ונקודות חלשות

האקים של Mat ו- Grant הסתמכו על האקרים המשתמשים בנקודות תורפה בשירותים אחרים כדי להיכנס לחשבון רכז מרכזי: חשבון ה- Gmail שלהם. מכאן, האקרים הצליחו לבצע איפוס סיסמה רגיל בכל חשבון המשויך לכתובת הדוא"ל ההיא. אם האקר השיג גישה ל- Gmail שלי, הם יוכלו לקבל גישה לחשבון שלי כאן ב- MakeUseOf, חשבון Steam שלי וכל השאר.

למזרן יש כתב תיאור מצוין ומפורט לגבי האופן בו הוא נפרץ. זה מסביר כיצד האקרים השיגו גישה באמצעות נקודות תורפה באבטחת אמזון כדי להשתלט על חשבונו, השתמשו במידע הם הרוויחו משם גישה לחשבון אפל שלו ואז השתמשו בו כדי להיכנס לחשבון ה- Gmail שלו - ולכל הדיגיטל שלו החיים.

מצבו של גרנט היה שונה. האק של Mat לא היה עובד אם היה מפעיל 2FA בחשבון ה- Gmail שלו. במקרה של גרנט הם קיבלו את זה. הפרטים של מה שקרה לגרנט אינם ברורים כל כך, אך ניתן להסיק על כמה פרטים. גרנט כותב על חשבון האללו שלו:

אז עד כמה שאני יודע, ההתקפה למעשה החלה עם ספק הטלפונים הסלולריים שלי, שאיפשהו איכשהו רמת גישה או חברתית כלשהי הנדסה בחשבון גוגל שלי, שאיפשר אז להאקרים לקבל אימייל לאיפוס סיסמה מאינסטגרם, ונתן להם שליטה עליהם החשבון.

ההאקרים אפשרו העברת שיחות בחשבון הטלפון הנייד שלו. לא ברור אם זה מאפשר לשלוח אליהם את קוד ה- 2FA או שהם השתמשו בשיטה אחרת כדי לעקוף אותו. כך או כך, על ידי פשרות בחשבון הטלפון הנייד של גרנט הם קיבלו גישה ל- Gmail שלו ואז לאינסטגרם שלו.

הימנעות ממצב זה בעצמך

ראשית, המפתח העיקרי מכך הוא שלא 2FA נשבר ולא שווה להקים אותו. זוהי הגדרת אבטחה מעולה בה אתה אמור להשתמש; זה פשוט לא חסין כדורים. במקום להשתמש במספר הטלפון שלך לאימות, אתה יכול הפוך אותה לאבטחה יותר באמצעות Authy או Google Authenticator האם אימות דו-שלבי יכול להיות פחות מעצבן? ארבעה פריצות סודיות המובטחות לשיפור האבטחההאם אתה רוצה אבטחת חשבונות מוגנת נגד כדורים? אני ממליץ מאוד לאפשר מה שמכונה אימות "שני גורמים". קרא עוד . אם ההאקרים של גרנט הצליחו להפנות מחדש את טקסט האימות, זה היה עוצר אותו.

שנית, שקול מדוע אנשים ירצו לפרוץ לך. אם אתה מחזיק בשמות משתמש יקרים או בשמות דומיינים, אתה נמצא בסיכון גבוה יותר. באופן דומה, אם אתה סלבריטאי סביר יותר שתפרוץ 4 דרכים להימנע מפריצה כמו סלבעירומי סלבריטי שהודלפו בשנת 2014 עלו לכותרות ברחבי העולם. ודא שזה לא יקרה לך עם הטיפים האלה. קרא עוד . אם אתה לא נמצא באף אחד מהמצבים האלה, יש סיכוי גבוה יותר שתפרוץ אותך על ידי מישהו שאתה מכיר או בגרזן אופורטוניסטי לאחר שהסיסמה שלך ידלפה ברשת. בשני המקרים, ההגנה הטובה ביותר היא סיסמאות מאובטחות וייחודיות לכל שירות פרטני. אני באופן אישי משתמש 1 סיסמא שהוא דרך שימושית לאבטחת הסיסמאות שלך תן ל- 1Password for Mac לנהל את הסיסמאות והנתונים המאובטחים שלךלמרות התכונה החדשה של iCloud Keychain במערכת הפעלה X Mavericks, אני עדיין מעדיף את הכוח של ניהול הסיסמאות שלי ב- 1Password הקלאסי והפופולרי של AgileBits, עכשיו בגירסתה הרביעית. קרא עוד והוא זמין בכל פלטפורמה מרכזית.

סיסמא 1

שלישית, צמצם את ההשפעה של חשבונות רכזות. חשבונות רכזת הופכים את החיים לקלים עבורך אך גם עבור האקרים. הגדר חשבון דוא"ל סודי והשתמש בו כחשבון לאיפוס הסיסמה עבור השירותים המקוונים החשובים שלך. מאט עשה זאת אך התוקפים הצליחו להציג את האותיות הראשונות והאחרונות בו; הם ראו את m. היה קצת יותר דמיוני. עליך להשתמש בדוא"ל זה גם לחשבונות חשובים. במיוחד כאלה שמצורפים אליהם מידע פיננסי כמו אמזון. ככה, גם אם האקרים יקבלו גישה לחשבונות הרכזת שלך, הם לא יקבלו גישה לשירותים חשובים.

לבסוף, הימנע מפרסום מידע רגיש באופן מקוון. ההאקרים של Mat מצאו את הכתובת שלו באמצעות בדיקת WhoIs - המספרת מידע על מי הבעלים של אתר - מה שעזר להם להיכנס לחשבון האמזונס שלו. מספר התא של גרנט היה ככל הנראה זמין גם אי שם באינטרנט. שתי כתובות הדוא"ל לרכזות שלהן היו זמינות לציבור, מה שהעניק לפורצים נקודת התחלה.

אני אוהב 2FA אבל אני יכול להבין איך זה ישנה את דעתם של אנשים מסוימים על זה. אילו צעדים אתם נוקטים כדי להגן על עצמכם לאחר שפרצים של Mat Honan ו- Grant Blakeman?

נקודות זכות: 1 סיסמא.