Tvåfaktorautentisering (2FA) är en av de mest utmanade framstegen i online-säkerhet. Tidigare i veckan bröt nyheten att den hade hackats.
Grant Blakeman - en designer och ägare till @gb Instagram-kontot - vaknade för att hitta sitt Gmail-konto hade äventyrats och hackare hade stulit sitt Instagram-handtag. Detta var trots att 2FA aktiverats.
2FA: Den korta versionen
2FA är en strategi för att göra online-konton svårare att hacka. Min kollega Tina har skrivit en bra artikel om vad 2FA är och varför du borde använda det. Vad är tvåfaktorautentisering och varför du borde använda det Vad är tvåfaktorautentisering och varför du borde använda den Tvåfaktorautentisering (2FA) ) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet. Det används ofta i vardagen. Till exempel betalar med ett kreditkort krävs inte bara kortet, ... Läs mer; Om du vill ha en mer detaljerad introduktion bör du kolla in det.
I en typisk enfaktorautentiseringsinställning (1FA) använder du bara ett lösenord. Detta gör det otroligt sårbart; Om någon har ditt lösenord kan de logga in som du. Tyvärr är det här inställningen på de flesta webbplatser.
2FA lägger till en tilläggsfaktor: Vanligtvis en enstaka kod skickad till din telefon när du loggar in på ditt konto från en ny enhet eller plats. Någon som försöker bryta sig in på ditt konto behöver inte bara stjäla ditt lösenord utan också teoretiskt få tillgång till din telefon när de försöker logga in. Fler tjänster, som Apple och Google, implementerar 2FA Lock Down These Services Now With Two -Faktorautentisering Lås ned dessa tjänster nu med tvåfaktorautentisering Tvåfaktorautentisering är det smarta sättet att skydda dina onlinekonton. Låt oss ta en titt på några av de tjänster du kan locka ner med bättre säkerhet. Läs mer .
Grants historia
Grants berättelse är mycket lik Wired Writer Mat Honans. Mat hade hela sitt digitala liv förstört av hackare som ville få tillgång till hans Twitter-konto: han har användarnamnet @mat. Grant har på liknande sätt två-brev @ gb Instagram-kontot som gjorde honom till ett mål.
På hans Ello-konto beskriver Grant hur länge han har haft sitt Instagram-konto, har han jobbat med oönskade lösenordsåterställda e-postmeddelanden några gånger i veckan. Det är en stor röd flagg som någon försöker hacka på ditt konto. Ibland fick han en 2FA-kod för det Gmail-konto som fanns i sitt Instagram-konto.
En morgon var sakerna annorlunda. Han vaknade till en text som berättade att hans Google-konto lösenord hade ändrats. Lyckligtvis kunde han återfå åtkomst till sitt Gmail-konto, men hackarna hade agerat snabbt och raderade sitt Instagram-konto och stjäler @gb-handtaget för sig själva.
Vad som hände med Grant är särskilt oroande eftersom det inträffade trots att han använde 2FA.
Nav och svaga punkter
Både Mat och Grants hack berodde på hackare som använde svaga punkter i andra tjänster för att komma in i ett nyckelhubkonto: deras Gmail-konto. Härifrån kunde hackarna göra en standard lösenordsåterställning på något konto som är kopplat till den e-postadressen. Om en hackare fått åtkomst till min Gmail skulle de kunna få åtkomst till mitt konto här på MakeUseOf, mitt Steam-konto och allt annat.
Mat har skrivit ett utmärkt, detaljerat redogör för exakt hur han hackades. Det förklarar hur hackarna fick tillgång med svaga punkter i Amazons säkerhet för att ta över sitt konto, använde informationen de hämtat därifrån för att komma åt sitt Apple-konto och använde det för att komma in på sitt Gmail-konto - och hela hans digitala liv.
Grants situation var annorlunda. Matets hack skulle inte ha fungerat om han hade haft 2FA aktiverat på sitt Gmail-konto. I Grants fall kom de runt. Specifikationerna för vad som hände med Grant är inte så tydliga men vissa detaljer kan utläsas. Han skriver på sitt Ello-konto, säger Grant:
Så, så långt jag kan berätta, började attacken faktiskt med min mobilleverantör, som på något sätt tillät någon grad av åtkomst eller socialteknik till mitt Google-konto, vilket gjorde det möjligt för hackarna att få ett e-postmeddelande för återställning av lösenord från Instagram, vilket gav dem kontroll av kontot.
Hackarna aktiverade vidarekoppling på sitt mobilkonto. Oavsett om detta tillät 2FA-koden att skickas till dem eller de använde en annan metod för att komma runt det är oklart. Hur som helst, genom att äventyra Grants mobilkonto, fick de tillgång till hans Gmail och sedan hans Instagram.
Undvik denna situation själv
För det första är den viktigaste borttagningen från detta inte att 2FA är trasig och inte värt att sätta upp. Det är en utmärkt säkerhetsinställning du borde använda; det är bara inte kollisionsbeständigt. Snarare än att använda ditt telefonnummer för autentisering kan du göra det säkrare genom att använda Authy eller Google Authenticator. Kan tvåstegs verifiering vara mindre irriterande? Fyra hemliga hackar garanterade för att förbättra säkerheten Kan tvåstegs verifiering vara mindre irriterande? Fyra hemliga hackor som garanteras för att förbättra säkerheten Vill du ha kollisionsskyddad kontosäkerhet? Jag föreslår mycket att aktivera vad som kallas "tvåfaktorns" autentisering. Läs mer . Om Grants hackare lyckades omdirigera verifieringstexten skulle det ha stoppat det.
För det andra, överväga varför folk skulle vilja hacka dig. Om du har värdefulla användarnamn eller domännamn har du en ökad risk. På samma sätt, om du är en kändis är du mer sannolikt att hackas 4 sätt att undvika att bli hackad som en kändis 4 sätt att undvika att bli hackad som en kändis som läckte kändisnudder 2014 gjorde rubriker runt om i världen. Se till att det inte händer med dessa tips. Läs mer . Om du inte befinner dig i någon av dessa situationer är du mer sannolikt att hackas av någon du känner eller i en opportunistisk hack efter att ditt lösenord har läckt ut online. I båda fallen är det bästa försvaret säkert, unika lösenord för varje enskild tjänst. Jag använder personligen 1Password som är ett användbart sätt att säkra dina lösenord Låt 1Password för Mac Hantera dina lösenord och säkra data Låt 1Password för Mac Hantera dina lösenord och säkra data Trots den nya iCloud Keychain-funktionen i OS X Mavericks föredrar jag fortfarande kraften i hantera mitt lösenord i AgileBits klassiska och populära 1Password, nu i sin 4: e version. Läs mer och finns på alla större plattformar.
För det tredje minimera effekten av navkonton. Hub-konton gör livet enkelt för dig men också för hackare. Skapa ett hemligt e-postkonto och använd det som lösenordsåterställningskonto för dina viktiga onlinetjänster. Mat hade gjort detta, men angriparna kunde se de första och sista bokstäverna av det; de såg m••••[email protected]. Var lite mer fantasifull. Du bör också använda det här e-postmeddelandet för viktiga konton. Särskilt de som har ekonomisk information bifogad som Amazon. På det sättet, även om hackare får tillgång till dina navkonton, kommer de inte få tillgång till viktiga tjänster.
Slutligen, undvik att skicka känslig information online. Matts hackare hittade sin adress med hjälp av en WhoIs lookup - som berättar information om vem som äger en webbplats - vilket hjälpte dem att komma in i sitt Amazon-konto. Grants cellnummer var sannolikt tillgängligt någonstans på nätet också. Båda deras navadresser var offentligt tillgängliga vilket gav hackare en utgångspunkt.
Jag älskar 2FA men jag kan förstå hur detta skulle förändra vissa människors åsikter om det. Vilka steg tar du för att skydda dig själv efter Mat Honan och Grant Blakeman hacks?
Bildkrediter: 1Password.